СЗПДн. Анализ. Основания и сроки обработки ПДн

Одни из наиболее частых вопросов, возникающих при обработке ПДн - это как определить сроки обработки ПДн и что делать если субъект ПДн отозвал согласие на обработку ПДн.

В принципе ничего сложного в этих вопросах нет. Надо для каждой цели обработки ПДн и для каждого типа субъектов ПДн, определить основания для обработки ПДн (не считая согласия) и сроки обработки ПДн установленные в различных нормативных документах.

Как видно из приведенной ниже таблицы, в большинстве случаев при отзыве согласия или прекращении действия договора не требуется немедленное уничтожение ПДн.

Результатом анализа будет например следующая таблица:
Наименование ИСПДн
Правовое основание для обработки ПДн(законодательный акт/статья, другие юридические документы)
Сроки и основание для хранения ПДн
ИСПДн обработки клиентских данных
1) Договор с клиентом
2) ГК РФ
1) До окончания срока договора
2) 3 года после окончания договора, для исков - Статья 196. ГК РФ
3) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
4) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки ПДн для пропуска посетителей
Согласие на обработку
1) архивное хранение - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки данных покупателей оборудования
Договор с покупателем
1) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
2) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки бухгалтерских данных сотрудников
1) Договор с сотрудником
2) Федеральный закон №213-ФЗ от 24.07.09 "О страховых взносах в ПФ РФ, ФСС, ФФОМС и ТФОМС.
3) Налоговый кодекс РФ
4)Гражданский кодекс
1) До окончания срока договора с сотрудником
2) Не менее пяти лет после года, в котором они использовались для составления бухгалтерской отчетности в последний раз - ст. 17 ФЗ-129 "О бухгалтерском учете" от 21.11.1996
3) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182

Комментарии

Сергей Борисов написал(а)…
От коллеги с одного форума поступило замечание, что

Перечни действуют только для органов гос. власти и подведомственных им организаций. См. Положение о Министрестве культуры, п. 5.2.9.
26 декабря 2010 г. в 23:24
Svidin написал(а)…
Сергей, не путайте понятия "обработка ПДн" и "архивное хранение ПДн". Во многом второе исключает большую часть первого.
3 марта 2011 г. в 23:22
Сергей Борисов написал(а)…
Хранение ПДн - это один из видов обработки ПДн.

Как правило, если организация ещё обрабатывает персональные данные субъекта, договор с которым уже закончился, то вся обработка заключается в архивном хранении.
4 марта 2011 г. в 04:42
Svidin написал(а)…
Во-первых, как вы наверняка знаете, действие 152-ФЗ не распространяется на хранение архивных документов. Т.е., переведя документы в архив, вы уже не можете обрабатывать содержащуюся в них информацию в терминах 152-ФЗ - иначе бы все уже давно вместо ИСПДн создавали Архивы ;)))
Во-вторых, внимательно прочитайте п.3 ст.25 Закона об архивном деле ("ограничение на доступ к архивным документам"). Как я понимаю, доступ к архивным документам, содержащим ПДн, ограничен (на срок в 75 лет) и возможен только с согласия субъекта либо его наследников (после смерти первого).
Т.о., логика следующая: архивное хранение исключает возможность обработки ПДн (без согласия субъекта).
4 марта 2011 г. в 23:01
Сергей Борисов написал(а)…
в соответствии с ФЗ определения:
2) архивный документ - материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства;
9) архив - учреждение или структурное подразделение организации, осуществляющие хранение, комплектование, учет и использование архивных документов;

Основные уcловия ФЗ:
- обеспечивать сохранность
- хранить
- Пользователь архивными документами имеет право свободно искать и получать для изучения архивные документы
- доступ к архивным документам должен быть ограничен
- пользователь архивными документами имеет право использовать, передавать, распространять информацию ...

Так что ваша логика не совсем верна.
При условии ограничения доступа (применении мер) можно использовать архивные документы.

Согласие необходимо только для введения режима неограниченного доступа (читай - перевода в режим общедоступной информации).
9 марта 2011 г. в 04:56
Svidin написал(а)…
Архивные документы использовать безусловно можно(в исследовательских, статистических целях, при выдаче выписок, справок и т.п.). НО. В отношении ПДн - в тех пределах, в которых это не затрагивает права и свободы соответствующих субъектов. Если вы после достижения цели обработки ПДн переведете их в архив и будете так же продолжать их обрабатывать, как и раньше (например, обзванивать, обМэйливать бывших контрагентов физиков - конечно, если в договоре не было прописано согласие на это, и контакты лиц не общедоступные) - вы нарушите оба закона (152-й и "Архивный").
9 марта 2011 г. в 23:27
Сергей Борисов написал(а)…
Обмейливать клиентов - это изначально другая цель обработки ПДн на которую требуется согласие.

Речь шла о том случае, когда данные субъекта обрабатываются в целях исполнения договора.
Обычно компании не хотят или не могут сразу уничтожить все данные.

После окончания срока договора переводятся в архив.
Данные хранятся в архиве именно для того чтобы использоваться в исключительных случаях - при исках, судебных разбирательствах, проверках и т.п.

Когда речь идет об электронном виде - это значит что данные продолжают хранится в какой-то архивной базе данных.

И основная мысль была - что именно для такого архивного хранения и использования дополнительного согласия не требуется.
10 марта 2011 г. в 00:51
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...