Занимаюсь персданными часто возникает вопрос о том, как правильно определить цели и, что не менее важно, сроки хранения персональных данных? Если это не сделать, субъект ПДн, пришедший в организацию, может затем послать ей запрос с просьбой представить доказательства, что после его ухода его ПДн уничтожены. Какой смысл тогда фиксировать эти данные?
Как решить этот конфликт? Для этого у нас есть два решения Росархива (помимо сроков прописанных в ТК, НК и ряде других федеральных законов):
- "Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения" (утвержден решением Росархива 06.10.2000 №153) (ред. от 27.10.2003)
- "Примерный перечень документов, образующихся в деятельности кредитных организаций, с указанием сроков хранения" (утв. Росархивом 10.03.2000)
Именно они определяют сколько должны храниться те или иные типы документов, в т.ч. и содержащие персональные данные. Например, книга учета посетителей должна храниться не менее 3-х лет. Столько же и разрешения на допуск к информации ограниченного доступа. Документы по выдаче кредитов необходимо хранить 5 лет, а отклоненные заявки на кредиты - 1 год. И т.д.
Используя эти документы и ссылаясь на них в положении о защите персональных данных, оператор может защитить себя от большого количества проблем в будущем.
ЗЫ. Это фрагмент из курса "
Что скрывает законодательство о персональных данных".
6 коммент.:
_rokky_
МИНИСТЕРСТВО КУЛЬТУРЫ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 17 августа 2004 г. N 39
ОБ ОТМЕНЕ ПРИМЕРНОГО ПЕРЕЧНЯ ДОКУМЕНТОВ,
ОБРАЗУЮЩИХСЯ В ДЕЯТЕЛЬНОСТИ КРЕДИТНЫХ ОРГАНИЗАЦИЙ,
С УКАЗАНИЕМ СРОКОВ ХРАНЕНИЯ
За некоторым исключением (например, личные дела отдела кадров) ПТУДОВДОСУСХ не устанавливает, что у тебя ПДн должны храниться, а не записи "прошел какой-то мужик, имя выговорить не смог", так что может не прокатить.
rokky: Спасибо. Но остается первое решение ;-)
Ригель: Может конечно. Но тут хоть какое-то обоснование.
Такая же штука с данными анализов в мед учреждении - прошу как говорится - ХРАНИТЬ ВЕЧНО !!!
А то ведь надо заводить флэшку тогда большую и на ней все хранить...
Вообще уже высказывались мнения о том, что все ПДн надо хранить централизованно зашифрованными и только кусочки при необходимости и с согласия выдавать операторам. С 2-мя ключами - только субъекту надоест что его обрабатывают - ключик сменил - оператор отдыхает..
А где же граница (желательно юридическая)между обработкой ПД как таковой и архивным делом?
Опять бремя доказывания возлагается на оператора?
Граница в 125-ФЗ "Об архивном деле"
Отправить комментарий