Данный материал выражает мнение автора и носит рекомендательный характер. Материал основан на нормативных актах, действующих на момент публикации.
Как осуществляется сбор персональных данных, и сколько времени хранятся документы, содержащие персональные данные?
(Д. Жорокпаева, специалист по вопросам труда и заработной платы, 3 июня 2025 г.)
Вправе ли компания сканировать и хранить документы, содержащие персональные данные, по следующим категориям физлиц:
- сотрудники, работающие по трудовому договору;
- лица, привлекаемые на основании гражданско-правовых договоров (ГПХ)?
Какие условия (наличие письменного согласия субъекта персональных данных) необходимо соблюдать для законной обработки таких данных?
Существуют ли ограничения в части сроков хранения отсканированных документов, содержащих персональные данные?
Согласно Закону РК от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее - Закон) персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 Закона.
Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях: использования персональных данных субъектов предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства РК.
Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 Закона.
Согласно статье 12 Закона накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории РК.
Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством РК.
Согласно статье 25 Закона собственник и (или) оператор обязаны:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами РК;
1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;
