Хранение персональных данных

Поиск Лекций

Перечень действий с персональными данными, на совершение которых даётся согласие,

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, ___________________________________________________________________________________________________

Фамилия, имя, отчество субъекта персональных данных

Зарегистрированный(ая) по адресу: _______________________________________________________________________

(почтовый индекс, город, улица, № дома, кор., № кв.)

документ, удостоверяющий личность: _____________________________ серия _____________№___________________

вид документа

«____»_____________20_______ г. _______________________________________________________________________

дата выдачи кем, где выдан

в порядке, установленном Федеральным законом от 27.06.2006 года № 152-ФЗ «О персональных данных» согласен(на) с обработкой моих персональных данных (ПД) и данных, предоставленных по моей просьбе о контактных лицах (без их согласия, под мою ответственность) на случай утраты связи с СНТСН «МГТУ-88» и т.п., предоставленных лично мною или по моей просьбе в Правление Садового некоммерческого товарищества собственников недвижимости «МГТУ — 88» (далее – СНТСН «МГТУ — 88», Товарищество), расположенном в районе ст. Лопарская, с.п. Пушной Кольского района Мурманской области с целью обеспечения исполнения Товариществом со своей стороны и мной, со своей стороны, обязанностей, обязательств и компетенций, определённых в соответствии с положениями законодательства Российской Федерации, регулирующими гражданские правоотношения в хозяйственно-правовой сфере деятельности субъектов таких отношений, в частности, в деятельности некоммерческих товариществ и объединений граждан а также в целях:

— обеспечения соблюдения законов и иных нормативных правовых актов;

— ведения хозяйственной деятельности;

— персонального учёта сведений о деятельности члена Товарищества в СНТ и прилегающей территории (акты, заявления, обращения, уведомления и т.п.) о возможных действиях, характеризующих действие или бездействие члена Товарищества, а также хранение архивов этих данных на бумажных и/или электронных носителях;

— использования ПД в уставной деятельности, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях (кроме адреса регистрации (места жительства), №№ телефонов);

— для информационного оповещения и освещения деятельности на стендах (информационных досках), в сети Internet (кроме адреса регистрации (места жительства), №№ телефонов) по решению Общего собрания (ОС), Собрания уполномоченных представителей (СУП), Правления;

— с целью предоставления информации и/или доступа к ПД по требованию государственных служб и территориальных органов исполнительной власти;

— использование ПД в статистических и аналитических отчётах по вопросам учета, организации и предоставления сведений об уставной деятельности в соответствующие организации;

— обеспечения личной безопасности и безопасности имущества членов Товарищества;

— планирования, организации, регулировании и контроля деятельности Товарищества в уставных целях Правлением СНТСН «МГТУ-88» и ревизионной комиссией.

Перечень обрабатываемых персональных данных:

Срок действия согласия на обработку персональных данных

Ф.И.О.

2. Дата, место рождения.

3. №№ контактных телефонов.

4. Адрес регистрации места жительства.

5. Сведения документа, удостоверяющего личность.

6. Почтовый адрес; адрес электронной почты.

7. Сведения, поступающие в Правление согласно уставной деятельности, внутренних локальных актов, решений органов управления СНТСН и т.п.

Перечень действий с персональными данными, на совершение которых даётся согласие,

общее описание используемых оператором способов обработки:

Обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых без использования средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД с учётом действующего законодательства, локальных нормативных актов, решений ОС, СУП, П.

Мне известно, что обработка персональных данных осуществляется СНТСН на бумажных и электронных носителях без использования средств автоматизации.

Настоящим признаю, что СНТСН имеет право проверить достоверность предоставленных мною ПД.

Настоящее согласие действует до дня отзыва в письменной форме по моему личному заявлению или до дня смены пользователя (арендатора, собственника), закрепленного за мной участка.

В случае изменений персональных данных (смена фамилии, адреса места жительства, контактных №№ телефонов) обязуюсь в течение 30 дней предоставить измененные сведения в Правление СНТСН «МГТУ — 88».

Я оставляю за собой право отозвать своё согласие посредством составления соответствующего письменного документа, который может быть направлен мной в Правление СНТСН «МГТУ — 88» по почте заказным письмом с уведомлением о вручении либо передано мной лично в Правление Товарищества.

«____»______________20_____г. __________________ ____________________________ (подпись) (фамилия, и.о.)

©2015-2018 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Нарушение авторских прав и Нарушение персональных данных

Вопрос: Какие сроки хранения документов, содержащих персональные данные в медицинском центре?

Ответ:

Руководствуясь п.7 ст.5 закона от 27.07.2006  № 152-ФЗ, срок хранения персональных данных пациента  может быть установлен договором между медицинским учреждением и пациентом, если это не будет противоречить федеральному законодательству.

Обоснование ответа:

Бизнес требует навыков не только профессиональных, но предпринимательских и управленческих? Приходите в Клуб деловых игр и перговоров, прокачайте навыки руководителя! Подробнее о Переговорном клубе…

Для регистрации нажмите "заказать услугу":

Согласно п.7 ст.5 Федерального закона от 27.07.2006  № 152-ФЗ «О персональных данных» хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

При этом, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные могут использоваться работодателем при трудовых отношениях с работником, Пенсионным фондом, медицинскими учреждениями, страховыми компаниями, детскими учреждениями, коммунальными хозяйствами, транспортными компаниями  и прочими организациями и учреждениями, работающие физическими лицами. В каждом конкретном случае необходимо обращаться к законам, регулирующие определенный вид деятельности, в отношении того на кого возложена обязанность по порядку хранения и использованию персональных данных.

Так, ст. 86, 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов. Соответствующие нормы необходимо закрепить в локальном нормативном акте  Общества о персональных данных, где нужно указать в том числе форму (на бумажном носителе или в электронном виде), сроки и место хранения персональных данных.

Сроки хранения документов, в том числе содержащие персональные данные, определены Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры РФ от 25.08.2010 № 558.

В частности, личные дела  работников, подлинные личные документы (трудовые книжки, дипломы, аттестаты, удостоверения, свидетельства), трудовые договоры (служебные контракты), трудовые соглашения, договоры подряда, не вошедшие в состав личных дел, а также личные карточки работников — 75 лет. (См. Об изменении в кадровом учете в 2017 году)

 Расчетные (расчетно-платежные) ведомости и документы к ним, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и других выплат, заявления на получение стандартных налоговых вычетов по НДФЛ, справки по форме 2 -НДФЛ — 5 лет. (См. Об особенностях заполнения деклараций по НДФЛ

В отношении срока хранения персональных данных медицинскими учреждениями, нужно руководствоваться законодательством, регулирующего деятельность в области здравоохранения. Согласно пп.12 п.1 ст.79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» обязанность по хранению медицинской документации возложена на медицинскую организацию. Закон термина «медицинская документация» не раскрывает.

Поэтому для определения сроков хранения информации о персональных данных, можно руководствоваться приказом Минздрава России от 22.01.2001 № 12 «О введении в действие отраслевого стандарта «термины и определения системы стандартизации в здравоохранении». В соответствии с данным приказом медицинскими документами являются специальные формы документации, ведущиеся медицинским персоналом, в котором регламентируются действия, связанные с оказанием медицинских услуг. Кроме того, формы медицинских документов регламентированы  приказ ом Министерства здравоохранения СССР от 04.10.1980 № 1030 (утратившим силу в 1998 году), но применяющей в соответствии с рекомендациями Минздравсоцразвития России (письмо от 30.10.2009 № 14-6/242888). С 2015 года начал действовать новый Приказ Минздрава России от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению». К таким документам относятся медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях; медицинская карта стационарного больного; различного рода медицинские справки, выписки из амбулаторной карты, медицинской карты  и другие.

Сроки хранения медицинской документации регламентированы указанным выше приказом Минкультуры РФ, а так же приказом Приказ Министерства здравоохранения СССР  от 04.10.1980 № 1030. Например, медицинские карты амбулаторных больных      5 лет, медицинские карты стационарных больных- 25 лет, а различные справки – 3 года.

Получение персональных данных у работника

Согласно ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) обработка персональных данных осуществляется с согласия самого работника и их следует получить у него лично.

При этом, если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение

Следует помнить, что согласие необходимо также от претендента на замещение вакантной должности на период принятия работодателем решения о приеме либо отказе в приеме на работу; для включения соискателя в кадровый резерв работодателя.

Решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо.

Из данного правила есть исключение.

В частности, не требуется согласие на обработку персональных данных работника (соискателя), получаемых, из документов (сведений), предъявляемых при заключении трудового договора; по результатам обязательного предварительного медицинского осмотра о состоянии здоровья; от кадрового агентства, действующего от имени соискателя; из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

В соответствии со ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных — расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Исключения составляют случаи, когда субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные сделаны общедоступными субъектом персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия. Полный перечень содержится в ст. 10 Закона № 152-ФЗ.

Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Данный документ является обязательным и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства (ч.ч. 1, 2 ст. 5.27 КоАП РФ).

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

Кроме того, поскольку персональные данные относятся к информации, доступ к которой ограничен, то лицо, получившее доступ к ней в связи с исполнением служебных или профессиональных обязанностей может быть привлечено к ответственности по ст. 13.14 КоАП РФ за разглашение подобной информации.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации является уголовно наказуемым деянием.

Не стоит забывать про дисциплинарную, материальную и гражданско-правовую ответственность.

Если при обработке персональных данных организацией нарушаются права работника, то следует обратиться в ближайшее территориальное управление Роскомнадзора или прокуратуру.

Старший помощник прокурора округа по правовому обеспечению

Возврат к списку

Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):

  1. Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
  2. Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
  3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  4. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  6. Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен.

В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:   

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример.

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах.Пример.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.

9. Проект системы защиты информационной системы персональных данных.Пример.

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.Пример.

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных.Пример.

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти здесь и здесь.

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.

18. Положение о разграничении прав доступа к обрабатываемым персональным данным.Пример.

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных.Пример.

21.

Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.

24. Журнал учета средств защиты информации(перечень технических средств).Пример.

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

Пример и ещё один.

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример.

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее.

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.

32. Форма ответа на запрос субъекта персональных данных.Пример.

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на legal4advice@gmail.com.