Защита персональных данных

Удаление персональных данных. Что нового с марта 2023 года

По правилам компания должна уничтожить персональные данные сотрудника в определенных случаях, например, если цели, для которых собирались данные, достигнуты или сотрудник в силу своих причин написал заявление на уничтожение. Расскажем, как действовать в такой ситуации в рамках новых норм. 
Удаление персональных данных. Что нового с марта 2023 года
Иллюстрация: Mika Ruusunen/unsplash

Как облегчить процесс

Чтобы избежать ненужной работы по уничтожению персональных данных, операторам важно избегать сбора избыточной информации о физлицах в бумажной или электронной форме и должным образом классифицировать информацию. 

Например, работодатели не должны собирать информацию о состоянии здоровья работников, если это не требуется по закону для конкретных профессий (письмо Роструда от 16.01.2023 № ПГ/32857-6-1). Незаконно полученная информация должна быть уничтожена, поэтому лучше вообще избегать запроса таких сведений, чтобы свести к минимуму необходимость удаления данных.

Определенная информация о сотруднике не всегда классифицируется как персональные данные отдельно от остальных сведений. Так, например, номер телефона сам по себе к такой категории не относится. Но в совокупности с ФИО физлица ситуация меняется, и номер телефона расценивается как персональные данные.

Приведите в порядок систему работы с персональными данными с помощью КСК ГРУПП. Настоящие профессионалы обеспечат 100% соответствие требованиям закона, без рисков штрафов от Роскомнадзора:

  • Приведут в порядок процесс обработки и хранения персональных данных.

  • Устранят все нарушения и исключат риски штрафных санкций в случае проверки.

  • Окажут консультационную поддержку по соблюдению требований закона.

Получить бесплатную консультацию

Ситуации, при которых документы подлежат уничтожению 

Закон от 27.07.2006 № 152-ФЗ устанавливает случаи обязательного уничтожения персональных данных. Также в законе указаны сроки, в течение которых организация обязана уничтожить информацию. Компании дается от 7 до 30 рабочих дней на удаление документов в зависимости от причины, по которой они уничтожаются. Например, при наличии заявления сотрудника прекратить обработку его персональных данных, работодателю выделяется 10 рабочих дней. А вот если сотрудник отозвал ранее выданное согласие на обработку сведений, то у работодателя будет целых 30 рабочих дней, чтобы ликвидировать информацию о персональных данных. 

Если физическое лицо отзывает свое согласие на обработку персональных данных или цель обработки достигнута, конкретные соглашения могут определять другие условия по срокам уничтожения этих данных

Также законодательство может устанавливать другие сроки хранения некоторых документов, содержащих персональные данные. Например, приказы, связанные с трудоустройством физических лиц и содержащие их персональные данные, должны храниться в течение 50/75 лет (п. 434 перечня, утвержденного приказом Федерального архива от 20.12.2019 № 236). 

Что подтвердит уничтожение персональных данных

С 1 марта 2023 года действуют правила подтверждения уничтожения персональных данных, утвержденные приказом Роскомнадзора от 28.10.2022 № 179 (ч. 7 ст. 21 закона № 152-ФЗ). Формат и содержание требуемых оператором документов будут различаться в зависимости от того, используются ли средства автоматизации при обработке данных.

В случае если обработка персональных данных осуществляется вручную, то есть без использования средств автоматизации, должен быть составлен соответствующий акт, который подтверждает уничтожение персональных данных граждан.

В случае использования для обработки средств автоматизации, например, компьютера, акт, подтверждающий уничтожение персональных данных, должен сопровождаться выгрузкой из журнала событий в информационной системе оператора. Это можно сделать с помощью ИТ-специалиста или самостоятельно.

Акт и выгрузка должны храниться в течение 3 лет с даты уничтожения персональных данных.

Как оформить акт

Акт об уничтожении персональных данных может быть составлен на бумаге или в электронном виде. Определенной формы документа нет, она может быть произвольной. Однако есть перечень обязательных реквизитов, которые должен содержать такой акт. Они указаны в приказе Роскомнадзора от 28.10.2022 № 179. Акт об уничтожении персональных данных должен включать следующие реквизиты:

В выгрузке из журнала отражаются такие сведения:

Наказание за отсутствие акта

Если проверяющие обнаружат правонарушения в ходе проверки, они признают требование об обязательном уничтожении персональных данных неисполненным и наложат штрафные санкции. К таким правонарушениям относится, например, отсутствие акта. 

Для директоров штраф составит от 30 000 до 50 000 рублей, а для индивидуальных предпринимателей — от 50 000 до 100 000 рублей. Компаниям придется заплатить еще более солидные штрафы согласно ч. 5 ст. 13.11 КоАП

Чтобы избежать штрафов и соблюдать все необходимые требования, рекомендуется делегировать ответственность за уничтожение персональных данных назначенной комиссии.

Или доверьте настройку системы работы с персональными данными экспертам КСК ГРУПП. Есть несколько распространенных ошибок при работе с персональными данными:

  • Непредставление уведомления об обработке персональных данных в Роскомнадзор.

  • Отсутствие в компании политики в области обработки персональных данных.

  • Получение согласия на обработку не от всех субъектов персональных данных (работники, кандидаты и т.д.).

  • Несоответствие типовых форм сбора данных законодательным требованиям.

  • Отсутствие у оператора мест хранения персональных данных (материальных носителей).

  • Отсутствие в компании сотрудников, ответственных за обработку персональных данных и их безопасность.

Настоящие профессионалы КСК ГРУПП устранят все риски и решат задачу работы с персональными данными «под ключ».

Нужна ли комиссия

Порядок документирования уничтожения персданных компания или ИП определяет самостоятельно. Как правило, такой процесс регламентирован положением «О работе с персональными данными» или нужные процедуры прописывают в отдельном локальном нормативном акте (ЛНА). 

Ответственными за уничтожение данных является специально созданная комиссия или уполномоченное должностное лицо на основании приказа или распоряжения. Порядок работы этих лиц выглядит следующим образом:

  1. Определяется состав комиссии с указанием лица, ответственного за обработку подлежащих уничтожению документов в пределах установленных полномочий.

  2. Составляется перечень документов, подлежащих уничтожению.

  3. После утверждения акта осуществляется сверка перечисленных документов (носителей) с записями, после чего персональные данные уничтожаются в установленном порядке.

  4. Уничтоженные документы, содержащие персональные данные, подлежат списанию из журналов учета.

За счет реализации комиссионного подхода к уничтожению персональных данных снижается риск ошибочного уничтожения документов, содержащих персональные данные. Такой метод гарантирует, что персональные данные не будут уничтожены, если они все еще находятся в пределах утвержденного срока хранения или если цель их обработки не была достигнута. Данный комплекс мер способствует минимизации процессуальных нарушений и их возможных последствий.

Таким образом с 1 марта 2023 года есть обязательное актовое оформление уничтожения персональных данных. Подробности изложены в приказе Роскомнадзора от 28.10.2022 № 179

Помимо акта, при обработке персональных данных в электронном виде, также потребуется выгрузка из журнала событий в информационной системе. Форма акта и журнала, а также порядок уничтожения данных и их документального оформления утверждаются организацией или индивидуальным предпринимателем. 

Создается специальная комиссия или приказом назначается уполномоченное должностное лицо для проведения уничтожения данных. Способ уничтожения носителя персональных данных зависит от типа. Бумажные документы можно разрезать, сжечь или уничтожить механически. Стереть информацию с электронных носителей можно с помощью специальных программ, гарантирующих обнуление информации или другими методами. Первостепенное требование заключается в том, что персональные данные не могут быть впоследствии восстановлены.

Доверьте сложный учет и расчет налогов экспертам КСК ГРУПП

Аутсорсинг бухгалтерии сведет к минимуму риск ошибок и нарушений законодательства и сократит расходы на наемный персонал

Бесплатная консультация для пользователей Клерк.ру

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: ООО "КСК", ИНН: 7725685410, erid: LjN8KSUxs

🎯Как оценить емкость рынка, не привлекая внимание санит... специалистов!

Эксклюзивная управленка! Только на «Клерке»! Понимание того, сколько продукта может «переварить» рынок крайне важно для принятия управленческих решений. Например, о масштабировании бизнеса и экспансии в новый регион. Масштабироваться хотят многие, а вот возможность для дорогостоящего анализа рынка есть не у всех. Как же быть? Давайте разбираться вместе.

🎯Как оценить емкость рынка, не привлекая внимание санит... специалистов!
11

Начать дискуссию