Как облегчить процесс
Чтобы избежать ненужной работы по уничтожению персональных данных, операторам важно избегать сбора избыточной информации о физлицах в бумажной или электронной форме и должным образом классифицировать информацию.
Например, работодатели не должны собирать информацию о состоянии здоровья работников, если это не требуется по закону для конкретных профессий (письмо Роструда от 16.01.2023 № ПГ/32857-6-1). Незаконно полученная информация должна быть уничтожена, поэтому лучше вообще избегать запроса таких сведений, чтобы свести к минимуму необходимость удаления данных.
Определенная информация о сотруднике не всегда классифицируется как персональные данные отдельно от остальных сведений. Так, например, номер телефона сам по себе к такой категории не относится. Но в совокупности с ФИО физлица ситуация меняется, и номер телефона расценивается как персональные данные.
Приведите в порядок систему работы с персональными данными с помощью КСК ГРУПП. Настоящие профессионалы обеспечат 100% соответствие требованиям закона, без рисков штрафов от Роскомнадзора:
Приведут в порядок процесс обработки и хранения персональных данных.
Устранят все нарушения и исключат риски штрафных санкций в случае проверки.
Окажут консультационную поддержку по соблюдению требований закона.
Ситуации, при которых документы подлежат уничтожению
Закон от 27.07.2006 № 152-ФЗ устанавливает случаи обязательного уничтожения персональных данных. Также в законе указаны сроки, в течение которых организация обязана уничтожить информацию. Компании дается от 7 до 30 рабочих дней на удаление документов в зависимости от причины, по которой они уничтожаются. Например, при наличии заявления сотрудника прекратить обработку его персональных данных, работодателю выделяется 10 рабочих дней. А вот если сотрудник отозвал ранее выданное согласие на обработку сведений, то у работодателя будет целых 30 рабочих дней, чтобы ликвидировать информацию о персональных данных.
Если физическое лицо отзывает свое согласие на обработку персональных данных или цель обработки достигнута, конкретные соглашения могут определять другие условия по срокам уничтожения этих данных.
Также законодательство может устанавливать другие сроки хранения некоторых документов, содержащих персональные данные. Например, приказы, связанные с трудоустройством физических лиц и содержащие их персональные данные, должны храниться в течение 50/75 лет (п. 434 перечня, утвержденного приказом Федерального архива от 20.12.2019 № 236).
Что подтвердит уничтожение персональных данных
С 1 марта 2023 года действуют правила подтверждения уничтожения персональных данных, утвержденные приказом Роскомнадзора от 28.10.2022 № 179 (ч. 7 ст. 21 закона № 152-ФЗ). Формат и содержание требуемых оператором документов будут различаться в зависимости от того, используются ли средства автоматизации при обработке данных.
В случае если обработка персональных данных осуществляется вручную, то есть без использования средств автоматизации, должен быть составлен соответствующийакт, который подтверждает уничтожение персональных данных граждан.
В случае использования для обработки средств автоматизации, например, компьютера, акт, подтверждающий уничтожение персональных данных, должен сопровождаться выгрузкой из журнала событий в информационной системе оператора. Это можно сделать с помощью ИТ-специалиста или самостоятельно.
Акт и выгрузка должны храниться в течение 3 лет с даты уничтожения персональных данных.
Как оформить акт
Акт об уничтожении персональных данных может быть составлен на бумаге или в электронном виде. Определенной формы документа нет, она может быть произвольной. Однако есть перечень обязательных реквизитов, которые должен содержать такой акт. Они указаны в приказе Роскомнадзора от 28.10.2022 № 179. Акт об уничтожении персональных данных должен включать следующие реквизиты:
В выгрузке из журнала отражаются такие сведения:
Наказание за отсутствие акта
Если проверяющие обнаружат правонарушения в ходе проверки, они признают требование об обязательном уничтожении персональных данных неисполненным и наложат штрафные санкции. К таким правонарушениям относится, например, отсутствие акта.
Для директоров штраф составит от 30 000 до 50 000 рублей, а для индивидуальных предпринимателей — от 50 000 до 100 000 рублей. Компаниям придется заплатить еще более солидные штрафы согласно ч. 5 ст. 13.11 КоАП.
Чтобы избежать штрафов и соблюдать все необходимые требования, рекомендуется делегировать ответственность за уничтожение персональных данных назначенной комиссии.
Или доверьте настройку системы работы с персональными данными экспертам КСК ГРУПП. Есть несколько распространенных ошибок при работе с персональными данными:
Непредставление уведомления об обработке персональных данных в Роскомнадзор.
Отсутствие в компании политики в области обработки персональных данных.
Получение согласия на обработку не от всех субъектов персональных данных (работники, кандидаты и т.д.).
Несоответствие типовых форм сбора данных законодательным требованиям.
Отсутствие у оператора мест хранения персональных данных (материальных носителей).
Отсутствие в компании сотрудников, ответственных за обработку персональных данных и их безопасность.
Настоящие профессионалы КСК ГРУПП устранят все риски и решат задачу работы с персональными данными «под ключ».
Нужна ли комиссия
Порядок документирования уничтожения персданных компания или ИП определяет самостоятельно. Как правило, такой процесс регламентирован положением «О работе с персональными данными» или нужные процедуры прописывают в отдельном локальном нормативном акте (ЛНА).
Ответственными за уничтожение данных является специально созданная комиссия или уполномоченное должностное лицо на основании приказа или распоряжения. Порядок работы этих лиц выглядит следующим образом:
Определяется состав комиссии с указанием лица, ответственного за обработку подлежащих уничтожению документов в пределах установленных полномочий.
Составляется перечень документов, подлежащих уничтожению.
После утверждения акта осуществляется сверка перечисленных документов (носителей) с записями, после чего персональные данные уничтожаются в установленном порядке.
Уничтоженные документы, содержащие персональные данные, подлежат списанию из журналов учета.
За счет реализации комиссионного подхода к уничтожению персональных данных снижается риск ошибочного уничтожения документов, содержащих персональные данные. Такой метод гарантирует, что персональные данные не будут уничтожены, если они все еще находятся в пределах утвержденного срока хранения или если цель их обработки не была достигнута. Данный комплекс мер способствует минимизации процессуальных нарушений и их возможных последствий.
Таким образом с 1 марта 2023 года есть обязательное актовое оформление уничтожения персональных данных. Подробности изложены в приказе Роскомнадзора от 28.10.2022 № 179.
Помимо акта, при обработке персональных данных в электронном виде, также потребуется выгрузка из журнала событий в информационной системе. Форма акта и журнала, а также порядок уничтожения данных и их документального оформления утверждаются организацией или индивидуальным предпринимателем.
Создается специальная комиссия или приказом назначается уполномоченное должностное лицо для проведения уничтожения данных. Способ уничтожения носителя персональных данных зависит от типа. Бумажные документы можно разрезать, сжечь или уничтожить механически. Стереть информацию с электронных носителей можно с помощью специальных программ, гарантирующих обнуление информации или другими методами. Первостепенное требование заключается в том, что персональные данные не могут быть впоследствии восстановлены.
Доверьте сложный учет и расчет налогов экспертам КСК ГРУПП
Аутсорсинг бухгалтерии сведет к минимуму риск ошибок и нарушений законодательства и сократит расходы на наемный персонал
Бесплатная консультация для пользователей Клерк.ру
Реклама: ООО "КСК", ИНН: 7725685410, erid: LjN8KSUxs
Начать дискуссию