Ответ на вопрос коллеги: Внеофисное хранение документов и защита персональных данных

Вопрос: Инвестиционная компания хранит свои документы у компании, которая предоставляет услуги по внеофисному хранению. Основная масса документов – финансовая документация, в которой указаны ФИО, паспортные данные и номера счетов клиентов. Служба безопасности настаивает на том, чтобы короба были обязательно опломбированы – говоря, что таково требование закона. К сожалению, я ничего не нашла в Консультанте по данному вопросу. Действительно ли появились такие требования, или безопасники просто перестраховываются?

Ответ: Федеральный закон от 14 июля 2022 года № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты РФ и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» установил, среди прочего:

• Новые обязанности оператора;
  
  
• Новые требования к локальным нормативным актам, регламентирующим работу с персональными данными в организации.

В законе, как Вы сами понимаете, требований по опломбировке коробов при передаче их на внеофисное хранение нет и быть не может :) Так что я прежде всего рекомендовала бы попросить безопасников дать ссылку на конкретную статью закона или пункт подзаконного нормативно-правового акта, в котором они об этом требовании прочитали :)

Опломбирование коробов действительно повышает безопасность документов и защиту персональных данных (ПДн), однако – имейте это в виду – не снимает с владельца документов ответственности в случае утечек; компания-владелец лишь получит дополнительные шансы компенсировать часть своих потерь за счёт иска к поставщику услуг.

Насколько я знаю, большинство компаний, предоставляющих услуги по внеофисному хранению, не возражает, если клиент опломбировывает свои короба. Но это возможно только в том случае, если предоставляются лишь услуги по хранению, но не по обработке (в этом случае невозможно, например, попросить поставщика что-то найти в коробе, отсканировать и прислать в электронном виде; или же провести частичное уничтожение материалов).

Если владелец документов передаёт на хранение короба с документами как «чёрные ящики» и если в учётной системе поставщика услуг есть только номера коробов, то компания-хранитель без нарушения пломбы доступа к персональным данным вообще не имеет.

При передаче на хранение документов третьему лицу, организация-владелец обязана соблюдать требования закона «О персональных данных» (если используется только услуга хранения без передачи части ПДн в информационную систему, от этих требований можно «отмазаться», ссылаясь на отсутствие автоматизированной обработки информации – этот момент стоит обсудить с юристом):

• Об информировании оператором субъекта персональных данных о том, у кого его персональные данные хранятся;
  
  
• Получение от субъекта ПДн письменного согласия на их обработку с указанием о том, что он согласен на передачу и хранение данных у третьего лица.

В случае опломбирования коробов, организации потребуется решить ряд организационных моментов:

• Определить ответственного за опломбирование коробов, организовать физическое опломбирование, документирование передачи коробов на хранение в опломбированном виде, учёт номеров одноразовых пломб;
  
  
• Организовать проверку целостности (в т.ч. сверку номеров) пломб при возврате коробов и соответствующее её документирование;
  
  
• Согласовать с хранителем процедуру действий в случае выявления нарушения целостности пломбировки или самого короба.

 Как мне кажется, раз уж требование по обеспечению безопасности коробов исходит от службы безопасности, то было бы логично сделать её ответственной за все дополнительные усилия (или заставить её материально компенсировать службе ДОУ соответствующие трудозатраты).

Ещё один вопрос, которые стоит обсудить с безопасниками – это вопрос о том, будут ли они расценивать факт нарушения целостности пломб на коробах как случай неправомерной или неумышленной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, и сообщать об этом, в соответствии с требованием закона «О персональных данных», в Роскомнадзор.

Для справки: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).