Сроки обработки ПДн
(Описываем сроки обработки ПДн, частично основываясь, например, на "Правилах обработки персональных данных в Министерстве труда и социальной защиты Российской Федерации", утвержденных приказом Министерства труда и социальной защиты РФ от 29 мая 2014г. №348н. В Правилах в разделе VII определены сроки обработки и хранения персональных данных, а в разделе VIII установлен порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований)
-для работников Оператора:
В соответствии с законодательством Российской Федерации Оператором определены и установлены следующие сроки обработки и хранения персональных данных:
- персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, о надбавках), подлежат хранению в кадровой службе в течение 2 (двух) лет с последующим формированием и передачей указанных документов в архив для хранения в установленном законодательством РФ порядке;
- персональные данные, содержащиеся в личных делах и личных карточках хранятся в кадровой службе в течение 10 (десяти) лет с последующим формированием и передачей указанных документов в архив для хранения в установленном РФ порядке;
- персональные данные, содержащиеся в приказах о поощрениях, материальной помощи подлежат хранению в течение 2 (двух) лет в кадровой службе с последующим формированием и передачей указанных документов в архив для хранения в установленном РФ порядке;
- персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях работников Оператора, подлежат хранению в кадровой службе в течение 5 (пяти) лет с последующим уничтожением.
-в общем случае можно использовать формулировки (с изменениями под конкретного Оператора), приведенную для банков в "Методических рекомендациях по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (утв. Банком России, АРБ, Ассоциацией региональных банков России (Ассоциация "Россия"):
Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, Приказом Росархива от 06.10.2000 "Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения", сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами <указать регулятора>.
(формулировки из ФЗ-152, главы 2. статьи 5, части 7)
Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Принципы и условия обработки ПДн
(формулировки из ФЗ-152, главы 2, статьи 5)
Обработка персональных данных Оператором осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения либо обезличивания по достижении целей обработки персональных данных, а также в случае утраты необходимости в их достижении или по требованию субъекта персональных данных.
(формулируя положения из ФЗ-152, главы 2, статьи6, выбираем те пункты, которые касаются деятельности Оператора)
Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в исследовательских, статистических или иных целях, при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен либо субъектом персональных данных, либо просьбе субъекта персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом Российской Федерации.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Оператор вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством на основании заключаемого с этим лицом договором. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, установленные настоящей Политикой и федеральным законом «О персональных данных».
В случае, если Оператор поручил обработку данных третьему лицу, ответственность перед субъектом персональных данных за действия этого лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
(формулировки из ФЗ-152, главы 2, статьи7)
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
(формулировки из ФЗ-152, главы 2, статьи10)
Обработка специальных категорий персональных данных Оператором производится только в случаях, предусмотренных федеральным законом «О персональных данных», а также в случаях и порядке, определяемом иными федеральными законами.
(формулировки из ФЗ-152, главы 2, статьи11)
Обработка биометрических персональных данных, на основании которых можно определить субъекта персональных данных у Оператора может производиться только с согласия субъекта персональных данных.
(формулировки из ФЗ-152, главы 2, статьи12)
Оператор вправе осуществлять трансграничную передачу персональных данных на территорию иностранного государства, обеспечивающего адекватную защиту прав субъектов персональных данных.
Трансграничная передача персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных осуществляется в случае:
- наличия согласия в письменной форме субъекта персональных данных;
- исполнение договора, стороной которого является субъект персональных данных;
- в иных случаях, предусмотренных законодательством РФ.
Права субъекта ПДн
(формулировки из ФЗ-152, главы 2, статьи9)
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено законодательством Российской Федерации;
- подпись субъекта персональных данных.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
(формулировки из ФЗ-152, главы 3, статьи14, части 7)
Субъект персональных данных имеет право:
1. на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона Российской Федерации;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
(формулировки из ФЗ-152, главы 3, статьи 14, части 2)
Сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
(формулировки из ФЗ-152, главы 3, статьи 14, части 3)
Сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
(формулировки из ФЗ-152, главы 4, статьи 20, части 2)
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положения Федерального закона «О персональных данных» или иного федерального закона Российской Федерации, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Обязанность представления доказательств обоснованности отказа в выполнении запроса лежит на Операторе.
(формулировки из ФЗ-152, главы 3, статьи 14, части 8)
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
(формулировки из ФЗ-152, главы 3, статьи 14, части 1)
2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
(формулировки из ФЗ-152, главы 3, статьи 17)
3. если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4. субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Продолжение следует…
