Top.Mail.Ru

О сроке хранения на предприятии Политики обработки и защиты персональных данных

Вопрос
У нас на предприятии отдел информационных технологий издал приказ об утверждении Политики обработки и защиты персональных данных, в котором указано, что Политика актуализируется и заново утверждается 1 раз в год с момента утверждения предыдущей редакции Политики. Приказам по обработке и защите персональных данных следует присваивать 75 лет хранения. Учитывая, что по приказу Политика актуализируется 1 раз в год, насколько правильным будет хранить Политику 75 лет?
Отвечает

Если инициатором издания приказа был отдел информационных технологий, то можно предположить, что на него возложена ответственность за обеспечение безопасности персональных данных в информационных системах, которые внедрены на предприятии. Пожалуйста, проанализируйте содержание утвержденной Политики, возможно, данный документ должен называться совершенно иначе: если в нем регламентируются конкретные технологические и технические аспекты обработки и защиты персональных данных, то это должен быть скорее регламент, инструкция и т.п.

Ведь Политика как комплексный организационный документ должна фиксировать намерения, цели, систему принятия решений, распределение зон ответственности и показатели оценки деятельности организации в данной области. Политики издаются с целью реализации концепции долгосрочного развития, т.е. относятся к документам стратегического уровня управления организацией.

Если же по цели создания и содержанию утвержденный документ, действительно, соответствует названию вида, то уточните у начальника ИТ-отдела, по каким причинам данная Политика разрабатывалась как документ оперативного значения с обязательным ежегодным пересмотром.

Персональные данные обрабатываются и другими подразделениями, и даже без использования средств автоматизации. Поэтому в организациях и на предприятиях назначается должностное лицо (обычно один из заместителей руководителя), ответственное за организацию обработки персональных данных. А в рамках функции организации обработки и защиты персональных данных обычно разрабатывается Политика информационной безопасности и защиты персональных данных, в которой устанавливается система работы с информацией и документами, включая все виды документов, имеющих грифы ограничения доступа (кроме государственной тайны).

В Политике обработки и защиты персональных данных не должна содержаться конкретная информация, относящаяся к субъектам персональных данных, т.е. к определенным или определяемым физическим лицам. Кроме того, Политика не относится к документам по личному составу, и 75-летний срок хранения к ней применяться не может, поскольку в ней не фиксируются конкретные трудовые отношения работодателя и работников.

Политика обычно актуализируется и пересматривается в связи с изменениями внутренних и внешних факторов 1 раз в 3-5 лет (это управленческий цикл жизни организации, в течение которого она может достичь установленных Политикой целей, что потребует проанализировать ситуацию и наметить новые перспективы). Кроме того, любая политика пересматривается обычно в связи с изменениями действующего законодательства, при смене деятельности организации. Ежегодный пересмотр конкретной политики может быть установлен и на законодательном уровне (например, Федеральным законом №  402-ФЗ «О бухгалтерском учете» он установлен по отношению к учетной политике организации).

Стратегия, концепция, политика – относительно новые названия видов документов, которые стали широко применяться в корпоративном управлении. Эти документы по цели создания и содержанию следует рассматривать как часть подсистемы организационной документации системы организационно-распорядительной, а не плановой документации. Но поскольку в разделе 1 «Организация системы управления» ПТУД1 стратегия, концепция и политика не нашли отражения, то при определении срока хранения конкретной Политики обработки и защиты персональных данных рекомендуем соотнести ее содержание со статьями 267 или 268 ПТУД, которые предусматривают постоянный срок хранения (или до ликвидации организации).

Приказ, которым была утверждена данная Политика, также будет иметь постоянный срок хранения по ст. 19 а) ПТУД, поскольку подобные приказы нормативного характера об утверждении и введении в действие локальных нормативных актов организации являются приказами по основной деятельности, а не по личному составу.

Кроме того, в связи с упоминанием в вопросе 75-летнего срока хранения, обратите внимание на изменение сроков хранения документов по личному составу (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» скорректирован Федеральным законом от 02.03.2016 № 43-ФЗ). Документам по личному составу, созданным после 2003 года, теперь устанавливается в основном 50-летний срок хранения.

Сноски 1

  1. Здесь и далее под этим сокращением имеется в виду Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. приказом Минкультуры России от 25.08.2010 № 558). Вернуться назад
Оценить вопрос
s
В избранное

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Нужны ли согласия для хранения персданных опекаемых и опекунов?

Веду архив в организации, и у меня возник вопрос касательно персональных данных. Включаем ли мы персональные данные (скан паспорта, СНИЛСа, свидетельства о рождении, о браке, о расторжении брака и т.д.) в дело, если это документы опекаемых или опекунов?

Соотношение дат согласования, утверждения, исполнения

Разработан проект локального нормативного акта. К проекту прилагается лист согласования, в котором оформлены визы разработчика, контролера и согласовывающих подразделений. ЛНА вводится в действие приказом, который подписывается генеральным директором. Просим разъяснить, может ли дата согласования проекта ЛНА быть более ранней, чем дата утверждения или согласование и утверждение должны быть проведены одной и той же датой?

Скан-копии: исполняем, сдаем в архив?

В наш адрес поступают документы на бумажном носителе, скан-копии бумажных документов и электронные документы, подписанные ЭП. В период пандемии значительно увеличился объем скан-копий, поступивших в электронной форме по каналам электронной связи. Можно ли их регистрировать как входящие и направлять на рассмотрение? Учитывая специфику государственного органа, часть документов (скан-копий) будут формироваться в протоколы заседаний, в составе которых будут переданы на постоянное хранение в государственный архив. Какими нормативными актами регулируется процесс работы с этой категорией документов?

Копии распорядительных документов включать в акт об уничтожении?

Нужно ли включать в Акт об уничтожении такие документы, как, например, «Приказы по основной деятельности. Копии». Очень сильно спорим с коллегами по данному вопросу. Считаю, что все документы по номенклатуре имеют 2 варианта «списания» из делопроизводства: или в описи (постоянного и свыше 10 лет хранения), или в акт на уничтожение (до 10 лет). Коллеги считают ненужным включать в акт копии распорядительных документов, которые направляются в подразделения и формируются подразделениями в соответствующие дела по их номенклатуре дел.

Когда названия документов писать с большой буквы и брать ли в кавычки?

Когда в преамбуле и по тексту договора стоит писать названия видов документов («Договор», «Устав», «Доверенность») с большой буквы? Так многие делают, почему? Когда наименования видов документов стоит оформлять с большой буквы и когда с маленькой, например, «Инструкция по делопроизводству» или «инструкция по делопроизводству», «Положение о…» или «положение о…»? Когда их брать в кавычки, а когда нет? Есть какая-то логика или можно писать как угодно?

Как оформить документ ДСП: «обычный» и в области обороны

Можно ли у Вас получить пример оформления документов ДСП в соответствии с постановлением Правительства РФ от 26.11.2021 № 2052? В частности, несекретных сопроводительных писем с документами ДСП в приложении.

В каком порядке указывать должность, ученую степень и звание, ФИО?

В какой последовательности необходимо указывать в организационно-правовых документах должность, ученую степень, ученое звание, фамилию и инициалы? Есть ли правила?

Как правильно в деловой переписке сокращать двойные имена и двойные отчества адресата, написанные через дефис?

Подскажите, пожалуйста, как правильно в деловой переписке сокращать двойные имена и двойные отчества адресата, написанные через дефис, например, Хож-Ахмед Султанович, Халимат Абрек-Зауровна?