Над статьей работали:
Автор: Сыскова Юлия
С первого марта 2023 года подтверждать уничтожение личной информации о гражданах нужно по-новому. Набор и содержание документов, которые должен оформить оператор, зависят от того, использует ли он при обработке персональных данных средства автоматизации. Подробности – в нашей статье.
Оператор обязан прервать обработку персональных данных или обеспечить ее прекращение лицом, действующим по его поручению, если выявлено, что она осуществляется неправомерно. Сделать это нужно в срок не более трех рабочих дней с даты выявления (ч. 3 ст. 21 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ).
По требованию гражданина оператор должен немедленно прекратить обрабатывать его данные, если он делал это для продвижения товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (ч. 2 ст. 15 закона № 152-ФЗ).
Если обеспечить правомерность обработки невозможно, в срок не более 10 рабочих дней с даты выявления неправомерной обработки персональных данных нужно уничтожить такие данные или обеспечить их уничтожение (ч. 3 ст. 21 закона № 152-ФЗ).
Об устранении допущенных нарушений или об уничтожении личной информации о гражданах нужно уведомить физическое лицо (его представителя), а также Роскомнадзор, если обращение было получено от него (ч. 3 ст. 21 закона № 152-ФЗ).
Если цели обработки персональных данных достигнуты, по общему правилу оператор должен прекратить их обрабатывать (обеспечить такое прекращение) и уничтожить персданные или обеспечить их уничтожение. Это нужно сделать в срок, не превышающий 30 дней с даты достижения цели обработки данных (ч. 4 ст. 21 закона № 152-ФЗ).
Если гражданин отозвал согласие на обработку своих личных данных, оператор по общему правилу обязан перестать их обрабатывать или обеспечить прекращение такой обработки. Если при этом сохранение личной информации более не требуется для целей обработки, то ее нужно уничтожить. Срок – не более 30 дней с даты поступления отзыва (ч. 5 ст. 21 закона № 152-ФЗ).
Если гражданин обратился с требованием о прекращении обработки персональных данных, оператор в течение 10 рабочих дней с момента получения требования должен прекратить ее или обеспечить ее прекращение. Исключение составляют случаи, предусмотренные подпунктами 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. Десятидневный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на 5 рабочих дней (ч. 5.1 ст. 21 закона № 152-ФЗ).
Если физлицо направило требование прекратить обработку данных, разрешенных для распространения, следует прекратить передачу, распространение, предоставление таких данных, доступ к ним. Действие согласия этого лица на обработку его личной информации, разрешенной для распространения, прекращается с момента поступления этого требования (ч. 12, 13 ст. 10.1 закона № 152-ФЗ).
Ликвидацию персональных данных, как правило, осуществляет комиссия, созданная приказом оператора. Приказ составляют в произвольной форме. В нем указывают:
• состав комиссии: председателя и членов. В комиссию могут входить, например, начальник кадровой службы, главный бухгалтер, руководители структурных подразделений, секретарь руководителя компании;
• цель создания комиссии и ее функции;
• сроки работы;
• какие персональные данные и на каких носителях (бумажных, электронных) подлежат уничтожению;
• способы уничтожения личных сведений о гражданах на бумажных носителях, электронных носителях;
• другую необходимую информацию.
Комиссия должна составить перечень документов (носителей), которые должны быть уничтожены, согласно установленным законодательством срокам.
Составленный комиссией перечень должен быть сверен с записями в акте о прекращении обработки персональных и на указанных документах (носителях).
Способы уничтожения личной информации о гражданах определяет оператор. Ими могут быть:
• для бумажных носителей персональных данных — разрезание, гидрообработка, сжигание, механическое уничтожение. Например, пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения;
• для электронных носителей — стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска.
Уничтоженные документы (носители), содержавшие персональные данные, должны быть списаны с книг и журналов учета (регистрации) данных документов (носителей).
Личные сведения граждан должны быть уничтожены во всех базах и на всех видах носителей. Нельзя уничтожить информацию в одних электронных базах, например, содержащих список клиентов, и сохранить ее в других базах (Постановление Четвертого арбитражного апелляционного суда от 09.07.2012 по делу № А10-125/2012).
Если при необходимости уничтожение данных не будет осуществлено, организация-оператор будет привлечена к административной ответственности (ч. 1 ст. 24 закона № 152-ФЗ, ст. 13.11 КоАП РФ).
Максимальный штраф компании за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных, их блокировке или уничтожении, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. рублей. За повторное правонарушение — 500 тыс. рублей (ч. 5, 5.1 ст. 13.11 КоАП РФ).
С первого марта 2023 года действуют правила подтверждения уничтожения персональных данных, утвержденные Приказом Роскомнадзора от 28.10.2022 № 179 (ч. 7 ст. 21 закона № 152-ФЗ, действующая с 01.03.2023). Набор и содержание документов, которые оператор должен оформить, зависят от того, использует ли он при обработке средства автоматизации.
Если обработка персональных данных проводится без использования средств автоматизации, то есть вручную, то для подтверждения факта уничтожения личных сведений граждан нужно составить соответствующий акт.
Если же обработка проводится с использованием средств автоматизации, например, при помощи компьютеров, то наряду с актом об уничтожении персональных данных потребуется сделать выгрузку из журнала регистрации событий в информационной системе оператора (далее – выгрузка из журнала).
Акт и выгрузку нужно хранить 3 года с момента уничтожения личных сведений.
Форма акта об уничтожении персональных данных не утверждена. Документ составляют в произвольной форме. При этом в акт об уничтожении данных нужно включить:
• название компании или Ф.И.О. физического лица – оператора персональных данных;
• адрес оператора;
• название компании или Ф.И.О. физического лица, которые обрабатывали личные сведения о гражданах по поручению оператора (при наличии такого поручения);
• Ф.И.О. субъектов персональных данных или другая информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены;
• Ф.И.О. и должности лиц, уничтоживших персональные данные и их подписи;
• перечень категорий уничтоженных данных;
• наименование уничтоженных материальных носителей с личной информацией граждан с указанием количества листов в отношении каждого такого носителя, если персданные обрабатывались без использования средств автоматизации, то есть на бумаге;
• наименование информационной системы персональных данных, из которой были уничтожены данные, если обработка велась с использованием средств автоматизации;
• способ уничтожения информации;
• причину уничтожения;
• дату уничтожения.
Акт может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью.
Выгрузка из журнала должна содержать следующие данные:
• Ф.И.О. субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи данные были уничтожены;
• перечень категорий уничтоженных сведений;
• наименование информационной системы, из которой они были уничтожены;
• причину уничтожения сведений;
• дату уничтожения.
При невозможности указать в выгрузке из журнала какие-либо сведения, их следует отразить в акте об уничтожении персональных данных.
Оператор обязан уничтожить персональные данные субъекта (обеспечить их уничтожение):
• при представлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что его личная информация является незаконно полученной или не является необходимой для заявленной цели обработки, — в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ);
• при выявлении неправомерной обработки личной информации, если невозможно обеспечить ее правомерность, — в течение 10 рабочих дней с даты выявления неправомерной обработки (ч. 3 ст. 21 закона № 152-ФЗ);
• при достижении цели обработки персональных данных — в течение 30 дней с даты достижения цели обработки (ч. 4 ст. 21 закона № 152-ФЗ);
• при отзыве гражданином согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных, — в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 закона № 152-ФЗ).
При достижении цели обработки персональных данных и при отзыве физлицом согласия на обработку его личной информации может применяться другой срок для уничтожения данных, если:
• он предусмотрен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• он предусмотрен иным соглашением между оператором и субъектом персональных данных;
• если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законом № 152-ФЗ или другими федеральными законами (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ).
Если уничтожить персональные данные в течение установленного срока невозможно, нужно их заблокировать и обеспечить уничтожение данных в срок не более шести месяцев. Иной срок может быть установлен федеральными законами (ч. 6 ст. 21 закона № 152-ФЗ).
Положение о порядке уничтожения персональных данных можно разработать в произвольной форме, так как нормативной нет. С документом нужно ознакомить под подпись тех работников, с чьей трудовой деятельностью он непосредственно связан (ч. 2 ст. 22 ТК РФ, п. 6 ч. 1 ст. 18.1 закона № 152-ФЗ).
Структура положения может быть следующей.
1. «Общие положения», в которых отражаются вопросы, регулируемые положением, порядок вступления документа в силу, внесения изменений и так далее.
2. «Порядок уничтожения персональных данных», где определяются случаи уничтожения данных, способы уничтожения, порядок подтверждения уничтожения информации.
Положение о порядке уничтожения персональных данных, как и любой другой локальный нормативный акт, издается и утверждается работодателем путем издания приказа, который подписывает руководитель организации или другое уполномоченное на это лицо. При наличии в организации представительного органа работников положение должно приниматься с учетом требований ст. 372 ТК РФ.
Вы можете оставить первый комментарий