Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Хранение персональных данных

1054
10 ноября

Каждая компания или ИП так или иначе является оператором персональных данных и обязана соблюдать требования, предъявляемые к их хранению. Как правильно осуществлять указанную деятельность? Что будет считаться нарушением? В статье разъяснены правила, установленные законодательством, а также меры ответственности, предусмотренные за их нарушение.

Над статьей работали:
редактор: Бурцева Алла

Содержание

  1. Закон о хранении персональных данных
  2. Цели хранения персональных данных
  3. Порядок хранения персональных данных
  4. Способы хранения персональных данных
  5. Срок хранения персональных данных
  6. Место хранения персональных данных
  7. Ответственность за хранение персональных данных

Закон о хранении персональных данных

Деятельность по обработке персональных данных, в том числе их хранению,  регламентирована Федеральным законом от 27.07.2006 № 152-ФЗ.

Указанный нормативно-правовой акт не будет применяться в следующих случаях (ч. 2 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ):
• при обработке персонифицированных данных физлицами исключительно для личных и семейных нужд, но при условии, что это не влечет нарушения прав субъектов персональных сведений;
• организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле (Федеральный закон от 22.10.2004 № 125-ФЗ);
• обработке идентифицирующей информации, которая отнесена в установленном порядке к сведениям, составляющим государственную тайну.

Кроме этого, отдельные положения, касающиеся защиты персональных данных, можно найти и в иных законодательных актах. Так, они закреплены, например, в Трудовом кодексе РФ, в федеральных законах «О государственной гражданской службе РФ» и «О муниципальной службе в РФ» (глава 14 ТК РФ, ст. 42 Федерального закона от 27.07.2004 № 79-ФЗ, ст. 29 Федерального закона от 02.03.2007 № 25-ФЗ).

Цели хранения персональных данных

К персональным данным относится любая информация, позволяющая идентифицировать гражданина (ст.3 Федерального закона от 27.07.2006 № 152-ФЗ):
• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация;
• адрес проживания;
• номер телефона;
• семейное положение;
• наличие детей;
• факты биографии;
• ИНН (письмо Минкомсвязи РФ от 26.04.2017 № П11-1-085-9772);
• финансовое положение, в том числе сведения о заработной плате (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Кроме этого, объектом персональных данных могут быть даже фотографии человека, которые используются для установления его личности, например, на пропуске (письма Роскомнадзора от 10.02.2020 № 08АП-6782, Минцифры РФ от 17.07.2020 № ОП-П24-070-19433).

Любое лицо, которое собирает, хранит или передает персональные данные, признается оператором и обязано соблюдать требования, установленные для указанной деятельности (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Хранить персональные данные просто так оператор не может. Он обязан определить цель, с которой он осуществляет их обработку, и собирать только те данные, которые необходимы именно для ее достижения. Сбор информации, которая не является необходимой для обозначенной цели, запрещен и может повлечь для оператора наступление неблагоприятных последствий (ч. 2—5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ).

Так, трудовым законодательством установлено, что оператор хранения персональных данных может обрабатывать их в целях (ст. 86 ТК РФ):
• соблюдения законов и иных нормативных правовых актов;
• содействия работникам в трудоустройстве;
• получения сотрудниками образования и продвижения по службе;
• обеспечения личной безопасности работников;
• контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Каждая организация (ИП) должна закрепить положение об обработке персональных данных как сотрудников, так и клиентов в локальном акте. Это может быть положение о хранении персональных данных или же политика хранения.

Утвержденной формы указанного документа нет, поэтому оператор может составить его на свое усмотрение.

При разработке документа рекомендуем опираться на методические рекомендации, выпущенные Роскомназдором (рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ).

Указанный документ устанавливает, что цель обработки персональных данных может быть определена:
• из анализа правовых актов, регламентирующих деятельность оператора;
• исходя из целей фактически осуществляемой лицом деятельности и предусмотренной учредительными документами компании;
• в соответствии с бизнес-процессами в организации.

Порядок хранения персональных данных

В первую очередь нужно сказать, что для законного хранения персональных данных необходимо получить согласие их носителей (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Получать его не потребуется только в случаях, когда обработка сведений (пп. 2—11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ):
• необходима для осуществления и выполнения функций и обязанностей, возложенных на оператора законодательством. А также для достижения целей, определенных международным договором, участником которого является Россия;
• осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• требуется для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с об исполнительном производстве;
• необходима для исполнения полномочий государственных и муниципальных органов власти, определенных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», в том числе и для регистрации субъекта персональных данных на едином или региональном портале государственных и муниципальных услуг;
• производится для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по его инициативе;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов носителя персональных данных, если при этом получение его согласия невозможно;
• требуется для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы владельца персональных данных;
• осуществляется в статистических или иных исследовательских целях. При этом в обязательном порядке информация должны быть обезличена;
• осуществляется в целях повышения эффективности государственного или муниципального управления, в иных целях, предусмотренных федеральными законами от 24.04.2020 № 123-ФЗ и от 31.07.2020 № 258-ФЗ;
• осуществляется с целью последующего опубликования или обязательного раскрытия в соответствии с федеральным законом.

В согласии должны быть указаны следующие сведения (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ):
• Ф.И.О., адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе. Если согласие подписывает представитель лица, необходимо указать идентичную информацию о нем, а также реквизиты документа, подтверждающего его полномочия;
• наименование или Ф.И.О. и адрес оператора, получающего согласие от лица;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора (если обработка будет поручена такому лицу);
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также способ его отзыва;
• подпись субъекта персональных данных.

Кроме этого, организации и ИП, которые намерены осуществлять обработку и хранение персонифицированных данных, обязаны об этом уведомлять Роскомнадзор. Исключением являются только следующие случаи (ч. 1, 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
• производится обработка данных, включенных в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
• обработка данных необходима с целью обеспечения безопасности на транспорте.

Оператор может поручить хранение информации другому лицу. Так, в последнее время стало популярным так называемое облачное хранение. В этом случае лицо, действующее по поручению, может не получать согласие носителя данных, так как оно должно быть получено самим оператором. Интересно, что указанное лицо несет ответственность за соблюдение правил по хранению информации только перед оператором. А тот уже, в свою очередь, отвечает перед субъектом персональных данных (ч. 3—5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Данные, хранящиеся у оператора, должны быть точными и актуальными. Поэтому он обязан принять меры по устранению различных неточностей и неполноты данных (ч. 6 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ).

Передача персональных сведений третьим лицом возможна только с согласия их носителя, за исключением ситуаций, прямо указанных в нормативных актах (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ). Например, передача данных без получения предварительного разрешения возможна:
• если это необходимо в целях предупреждения угрозы жизни и здоровью работника (ст. 88 ТК РФ);
• когда передаются персональные данные, содержащиеся в реестре собственников помещений в многоквартирном доме в целях созыва и организации проведения общего собрания собственников (ч. 3.1 ст. 45 ЖК РФ);
• при предоставлении информации нотариусу (ст. 15 Основ законодательства Российской Федерации о нотариате, утвержденных ВС РФ 11.02.1993 № 4462-1);
• при предоставлении полиции с целью проведения расследования уголовного дела или дела об административном правонарушении и прочие случаи (п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ).

По требованию субъекта персональных данных оператор обязан предоставить следующую информацию (ч. 7 ст. 14, ч. 1 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ):
• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые способы обработки информации;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных законодательством;
• иные сведения.

При осуществлении обработки данных оператор обязан принимать следующие меры, которые позволят должным образом исполнить возложенные на него обязанности, а именно (ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ):
• назначить сотрудника, ответственного за организацию обработки персональных данных (актуально для компаний). С этой целью руководитель должен издать соответствующий приказ;
• издать локальные акты, которые определяют:
 политику оператора в отношении обработки персональных данных;
 для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных;
 категории субъектов информации;
 способы, сроки обработки и хранения сведений;
 порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
• применять правовые, организационные и технические меры по обеспечению безопасности персональных данных (ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ);
• осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям действующего законодательства (Постановление Правительства РФ от 01.11.2012 № 1119);
• оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей (Приказ Роскомнадзора от 27.10.2022 № 178);
• ознакомить работников оператора, осуществляющих обработку персональных данных, с положениями законодательства о персданных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, обеспечить их обучение.

Способы хранения персональных данных

Каждый оператор самостоятельно выбирает способ хранения персонифицированной информации и закрепляет его в соответствующем внутреннем документе.

Хранить данные можно с помощью средств автоматизации или без таковых (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом автоматизированной обработкой считается способ с применением вычислительной техники. Какая именно это должна быть техника, законодательством не закреплено.
Обработка же без использования средств автоматизации предполагает непосредственное участие человека в процессе. Хранение в данном случае будет производиться на материальных носителях, например, на бумаге (пп. 1, 4 Постановления Правительства РФ от 15.09.2008 № 687).

Независимо от способа хранения персонифицированных сведений, оператор обязан обеспечить их безопасность. Определен и перечень мер, которые необходимо предпринять, а именно (ч. 1, 2 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ, пп. 13 — 15 положения, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687):
• определение угроз безопасности персональных данных при их обработке в информационных системах;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных;
• применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
• использование для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
• оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на компьютерные инциденты;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с указанными сведениями в инфосистеме;
• контроль за принимаемыми мерами по обеспечению безопасности.

Срок хранения персональных данных

Закон «О персональных данных» устанавливает, что хранить их допускается ровно столько, сколько это необходимо для достижения поставленной оператором цели. Как только необходимость в использовании персонифицированных сведений отпала, их полагается сразу уничтожить или обезличить. Осуществить уничтожение при этом необходимо в течение 30 дней после достижения поставленной цели. При этом если в указанный срок у оператора нет возможности уничтожить данные, он обязан заблокировать их и удалить в срок не позднее 6 месяцев (ч. 7 ст. 5, ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Кроме этого, срок хранения может быть установлен договором, стороной или выгодоприобретателем которого является субъект персональных данных.

Для некоторых случаев период, в течение которого должен храниться документ, содержащий личную информацию, определяется законодательством. Так, трудовым законодательством установлено, что документы (это касается и копий) должны сохраняться в течение (п. 438 перечня, утвержденного Приказом Росархива от 20.12.2019 № 236):
• трех лет, если они принадлежат претендентам на замещение вакантных должностей, не допущенным к участию в конкурсе и не прошедшим конкурсный отбор;
• одного года, когда речь идет о лицах, не принятых на работу.

Важно, что указанные сроки хранения применяются вне зависимости от вида носителя (п. 4.2 инструкции, утвержденной Приказом Росархива от 20.12.2019 № 237).

Место хранения персональных данных

Хранение данных о гражданах нашей страны должно осуществляться на территории России, в том числе и в случае получения их посредством Интернета. В качестве исключения из указанного правила установлены следующие случаи (пп. 2—4, 8 ч. 1 ст. 6, ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ):
• обработка сведений осуществляется для достижения целей, предусмотренных международным договором РФ или законом;
• данные хранятся в связи с участием лица в судопроизводстве;
• сведения получены с целью исполнения полномочий государственными или муниципальными органами исполнительной власти;
• данные необходимы для осуществления журналистами их профессиональной деятельности или для проведения научной, литературной или иной творческой работы.

Ответственность за хранение персональных данных

В случае нарушения требований законодательства относительно правил хранения персонифицированной информации оператора привлекут к ответственности.

Так, если были сохранены сведения, которые не соответствуют цели сбора данных, определенной самим оператором, ему грозит штраф в размере (ч. 1 ст. 13.11 КоАП РФ):
• от 10 до 15 тыс. рублей — для граждан;
• от 50 до 100 тыс. рублей — для должностного лица;
• от 150 до 300 тыс. рублей — для компаний.

За повторное деяние предусмотрено более суровое наказание (ч. 1.1 ст. 13.11 КоАП РФ):
• для граждан размер санкции составит уже от 15 до 30 тыс. рублей;
• должностного лица — от 100 до 200 тыс. рублей;
• юридических лиц — от 300 до 500 тыс. рублей.

Если хранение производилось без получения предварительного согласия лица, размер наказания составит (ч. 2 ст. 13.11 КоАП РФ):
• от 10 до 15 тыс. рублей — для граждан;
• от 100 до 300 тыс. рублей — для должностных лиц;
• от 300 до 700 тыс. рублей — для юридических лиц.

Повторное совершение противоправного деяния приведет к назначению внушительного штрафа. Например, для компаний он может составить уже от 1 до 1,5 млн рублей, а для ИП — до 1 млн рублей (ч. 2.1 ст. 13.11 КоАП РФ).

Хранение сведений с использованием баз данных, находящихся не на территории РФ, повлечет ответственность в виде штрафа в размере (ч. 8 ст. 13.11 КоАП РФ):
• от 30 до 50 тыс. рублей — для граждан;
• от 100 до 200 тыс. рублей — для должностных лиц;
• от 1 до 6 млн рублей — для компаний.

Если указанное нарушение будет зафиксировано повторно, ответственность повысится. Так, компании может грозить санкция уже в размере до 18 млн рублей (ч. 9 ст. 13.11 КоАП РФ).

В случае когда в установленные законом сроки не была уничтожена или заблокирована персонифицированная информация, может быть назначен штраф в размере (ч. 5 ст. 13.11 КоАП РФ):
• от 2 до 4 тыс. рублей — для физического лица;
• от 8 до 20 тыс. рублей — для должностного лица;
• от 20 до 40 тыс. рублей — для ИП;
• от 50 до 90 тыс. рублей — для организации.

Отдельная ответственность предусмотрена для операторов, которые хранят информацию неавтоматизированным способом. Так, в случае если произошла утечка данных, лицу будет назначен штраф в размере (ч. 6 ст. 13.11 КоАП РФ):
• от 1,5 до 4 тыс. рублей — для граждан;
• от 8 до 20 тыс. рублей — для должностного лица;
• от 20 до 40 тыс. рублей — для ИП;
• от 50 до 100 тыс. рублей — для компаний.

За утечку данных в иных случаях установлена дифференцированная ответственность в зависимости от объема сведений, попавших к третьим лицам. Например, если незаконно была передана информация более чем на 1 тыс. субъектов, но менее чем на 10 тыс. человек, компании может грозить штраф в размере от 3 до 5 млн рублей (ч. 12 ст. 13.11 КоАП РФ).

Если произошла передача данных более чем 100 тыс. субъектов, организации уже грозит санкция в размере от 10 до 15 млн рублей (ч. 14 ст. 13.11 КоАП РФ).

Кроме этого, за совершение правонарушения лицом, которые ранее было подвергнуто наказанию за аналогичное правонарушение, которое привело к утечке данных, установлены так называемые оборотные штрафы. Так, компании может грозить денежное наказание в размере от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение.

Если же нарушитель не осуществлял деятельность в прошедшем календарном году, то для определения размера штрафа будет учитываться выручка за предшествующую дате выявления правонарушения часть календарного года, в котором было выявлено административное правонарушение. При этом наказание не может быть менее 20 и более 500 млн рублей (ч. 15 ст. 13.11 КоАП РФ).

За незаконное хранение информации установлена и уголовная ответственность. Так, лицо будет привлечено к ответственности в виде одного из альтернативных наказаний (ч. 1 ст. 272.1 УК РФ):
• штрафа в размере до 300 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до 1 года;
• принудительных работ на срок до 4 лет;
• лишения свободы на срок до 4 лет.

Если же незаконно были использованы персональные данные несовершеннолетних лиц,  наказание будет строже и преступнику может быть назначено одно из следующих наказаний (ч. 2 ст. 272.1 УК РФ):
• штраф в размере до 700 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
• принудительные работы на срок до 5 лет;
• лишение свободы также на срок до 5 лет.

Совершение указанных выше преступлений при наличии отягчающих обстоятельств, таких как:
 наличие корыстной заинтересованности ;
 причинение крупного ущерба (свыше 1 млн рублей) (прим. 2 к ст. 272 УК РФ);
 совершение группой лиц по предварительному сговору;
 лицо воспользовалось своим служебным положением;

повлечет применение одной из следующих альтернативных санкций (ч. 3 ст. 272.1 УК РФ):
• штрафа в размере до 1 млн рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• принудительные работы на срок до 5 лет со штрафом до 1 млн рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• лишение свободы на срок до 6 лет со штрафом до 1 млн рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

Также Уголовный кодекс РФ предусматривает такие квалифицирующие составы, как (ч. 4 — 6 ст. 272.1 УК РФ):
• совершение деяния, сопряженного с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) перемещением носителей с указанной информацией;
• совершение деяния, повлекшего тяжкие последствия либо совершенного организованной группой;
• создание и (или) обеспечение функционирования информационного ресурса, заведомо предназначенного для незаконных хранения, передачи компьютерной информации, содержащей персональные данные, полученной незаконным путем.

Лицо, виновное в совершении действий, повлекших причинение материального вреда владельцу персональных данных, должно его возместить (ч. 1 ст. 1064, ч. 1 ст. 1068 ГК РФ).
Кроме этого, оператор обязан компенсировать субъекту персонифицированных данных моральный вред, независимо от возмещения вреда имущественного (ч. 2 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ).

1

"Кадровое дело"

Бесплатный электронный сборник содержит важную информацию, связанную с ведением кадрового учета, образцы заполнения документов, а также рекомендации экспертов и чиновников.

Нажимая на кнопку, вы даете свое согласие на обработку персональных данных и соглашаетесь с политикой обработки персональных данных

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь