СЗПДн. Анализ. Основания и сроки обработки ПДн

Одни из наиболее частых вопросов, возникающих при обработке ПДн - это как определить сроки обработки ПДн и что делать если субъект ПДн отозвал согласие на обработку ПДн.

В принципе ничего сложного в этих вопросах нет. Надо для каждой цели обработки ПДн и для каждого типа субъектов ПДн, определить основания для обработки ПДн (не считая согласия) и сроки обработки ПДн установленные в различных нормативных документах.

Как видно из приведенной ниже таблицы, в большинстве случаев при отзыве согласия или прекращении действия договора не требуется немедленное уничтожение ПДн.

Результатом анализа будет например следующая таблица:
Наименование ИСПДн
Правовое основание для обработки ПДн(законодательный акт/статья, другие юридические документы)
Сроки и основание для хранения ПДн
ИСПДн обработки клиентских данных
1) Договор с клиентом
2) ГК РФ
1) До окончания срока договора
2) 3 года после окончания договора, для исков - Статья 196. ГК РФ
3) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
4) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки ПДн для пропуска посетителей
Согласие на обработку
1) архивное хранение - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки данных покупателей оборудования
Договор с покупателем
1) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
2) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки бухгалтерских данных сотрудников
1) Договор с сотрудником
2) Федеральный закон №213-ФЗ от 24.07.09 "О страховых взносах в ПФ РФ, ФСС, ФФОМС и ТФОМС.
3) Налоговый кодекс РФ
4)Гражданский кодекс
1) До окончания срока договора с сотрудником
2) Не менее пяти лет после года, в котором они использовались для составления бухгалтерской отчетности в последний раз - ст. 17 ФЗ-129 "О бухгалтерском учете" от 21.11.1996
3) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182

Комментарии

Сергей Борисов написал(а)…
От коллеги с одного форума поступило замечание, что

Перечни действуют только для органов гос. власти и подведомственных им организаций. См. Положение о Министрестве культуры, п. 5.2.9.
Svidin написал(а)…
Сергей, не путайте понятия "обработка ПДн" и "архивное хранение ПДн". Во многом второе исключает большую часть первого.
Сергей Борисов написал(а)…
Хранение ПДн - это один из видов обработки ПДн.

Как правило, если организация ещё обрабатывает персональные данные субъекта, договор с которым уже закончился, то вся обработка заключается в архивном хранении.
Svidin написал(а)…
Во-первых, как вы наверняка знаете, действие 152-ФЗ не распространяется на хранение архивных документов. Т.е., переведя документы в архив, вы уже не можете обрабатывать содержащуюся в них информацию в терминах 152-ФЗ - иначе бы все уже давно вместо ИСПДн создавали Архивы ;)))
Во-вторых, внимательно прочитайте п.3 ст.25 Закона об архивном деле ("ограничение на доступ к архивным документам"). Как я понимаю, доступ к архивным документам, содержащим ПДн, ограничен (на срок в 75 лет) и возможен только с согласия субъекта либо его наследников (после смерти первого).
Т.о., логика следующая: архивное хранение исключает возможность обработки ПДн (без согласия субъекта).
Сергей Борисов написал(а)…
в соответствии с ФЗ определения:
2) архивный документ - материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства;
9) архив - учреждение или структурное подразделение организации, осуществляющие хранение, комплектование, учет и использование архивных документов;

Основные уcловия ФЗ:
- обеспечивать сохранность
- хранить
- Пользователь архивными документами имеет право свободно искать и получать для изучения архивные документы
- доступ к архивным документам должен быть ограничен
- пользователь архивными документами имеет право использовать, передавать, распространять информацию ...

Так что ваша логика не совсем верна.
При условии ограничения доступа (применении мер) можно использовать архивные документы.

Согласие необходимо только для введения режима неограниченного доступа (читай - перевода в режим общедоступной информации).
Svidin написал(а)…
Архивные документы использовать безусловно можно(в исследовательских, статистических целях, при выдаче выписок, справок и т.п.). НО. В отношении ПДн - в тех пределах, в которых это не затрагивает права и свободы соответствующих субъектов. Если вы после достижения цели обработки ПДн переведете их в архив и будете так же продолжать их обрабатывать, как и раньше (например, обзванивать, обМэйливать бывших контрагентов физиков - конечно, если в договоре не было прописано согласие на это, и контакты лиц не общедоступные) - вы нарушите оба закона (152-й и "Архивный").
Сергей Борисов написал(а)…
Обмейливать клиентов - это изначально другая цель обработки ПДн на которую требуется согласие.

Речь шла о том случае, когда данные субъекта обрабатываются в целях исполнения договора.
Обычно компании не хотят или не могут сразу уничтожить все данные.

После окончания срока договора переводятся в архив.
Данные хранятся в архиве именно для того чтобы использоваться в исключительных случаях - при исках, судебных разбирательствах, проверках и т.п.

Когда речь идет об электронном виде - это значит что данные продолжают хранится в какой-то архивной базе данных.

И основная мысль была - что именно для такого архивного хранения и использования дополнительного согласия не требуется.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3