С 1 марта 2023 года действует приказ Роскомнадзора от 28.10.2022 № 179 с требованиями к подтверждению уничтожения персональных данных. Его должны выполнять все работодатели, поскольку они обрабатывают личную информацию о работниках. Разбираемся, когда нужно уничтожать персональные данные и как это подтвердить.
Скачайте образцы документов для работы: |
|
Образец акта об уничтожении персданных |
Когда нужно уничтожить персональные данные
В статье 21 Федерального закона от 27.07.2006 № 152-ФЗ описано три ситуации, когда оператор обязан удалить у себя личную информацию граждан.
1. Выявление неправомерной обработки персональных данных. Например, кадровик хранит у себя копии справки МСЭ, свидетельства о рождении, чтобы всякий раз не запрашивать их у работника при оформлении тому дней по уходу за ребенком-инвалидом. При этом письменное согласие сотрудника на обработку таких данных не получено.
Выявить факт неправомерной обработки может сам работодатель при внутреннем аудите, работник или Роскомнадзор при проверке или по жалобе работника. Оператор обязан не позднее 10 рабочих дней уничтожить персональные данные и сообщить об этом тому, кто обнаружил нарушение закона.
2. Достижение цели обработки персональных данных. Например, кадровик не может хранить у себя резюме соискателей после того, как вакансия закрыта. Или хранить личные данные уволенного работника. При достижении целей обработки персональные данные нужно уничтожить в течение 30 календарных дней.
3. Отзыв согласия субъекта на обработку персональных данных. Здесь на удаление личной информации оператору дается 30 календарных дней.
Требования Закона №152-ФЗ не противоречат законодательству об архивном деле, если соблюдать правила. Это значит не держать в отделе кадров копии, не предусмотренные нормативными актами, а все документы, надобность в которых истекла, передавать на хранение в архив или удалять.
Как организовать уничтожение персональных данных
Роскомнадзор определил порядок в приказе от 28.10.2022 № 179 Что нужно сделать работодателю, чтобы эти требования в организации выполнялись:
- Внести изменения в локальные акты, например, в Положение об уничтожении персональных данных. Такой документ может быть в компании, поскольку до издания приказа №179 подобных нормативных требований не было, и работодатели сами определяли, как им удалять лишнюю информацию.
- Утвердить форму акта и выгрузки из журнала регистрации событий по приказу №179 об уничтожении персональных данных, порядок их подготовки.
- Ознакомить должностных лиц с изменениями.
Уничтожение персональных данных по Закону №152-ФЗ не должно нарушать требования законодательства об архивном деле, в котором определены сроки хранения разных документов. Например, должностные инструкции с подписью работника об ознакомлении нужно держать 50 / 75 лет.
Чтобы не отправить «под нож» нужную информацию, все решения об уничтожении носителей с персональными данными лучше принимать комиссионно, аналогично экспертной комиссии в архивном делопроизводстве.
Как подтвердить уничтожение персональных данных при ручной обработке
Оператор может работать с личной информацией граждан с использованием средств автоматизации, то есть вычислительной техники, или без нее (ст. 3 Закона № 152-ФЗ). Работодатели часто используют смешанный способ, при котором часть персональных данных работников обрабатывается в цифровых информационных системах, например, 1С, а часть ведется на бумажных носителях.
Данные на бумажных носителях уничтожаются по акту. Требования к его содержанию приведены в п. 3 приказа Роскомнадзора №179. Унифицированного бланка нет, поэтому работодателю придется утвердить свой.
Скачать форму акта об уничтожении персональных данных по ссылке
Документ можно составить в электронном виде и подписать электронной цифровой подписью (подписями), принятыми в организации. Это допускается по приказу №179.
Обратите внимание! Уничтожение персональных данных по Закону №152-ФЗ — это действия, в результате которых становится невозможным восстановить их содержание в информационной системе и (или) в результате которых уничтожаются материальные носители с ними. |
Как подтвердить уничтожение персональных данных при автоматизированной и смешанной обработке
Удаление личной информации граждан из информационных систем оформляется двумя документами:
- Актом об уничтожении персональных данных. Можно использовать ту же форму, как и для ручной обработки.
- Выгрузкой из журнала регистрации событий в информационной системе персональных данных. Этот документ обычно формируется автоматически в прикладном программном решении.
В п. 5 приказа №179 приведены требования к содержанию выгрузки. Но прикладные программы у работодателя не всегда могут формировать ее именно с такими пунктами. В этом случае Роскомнадзор разрешает вносить недостающие сведения в акт.
Важно! Акт и выгрузка хранятся у работодателя в течение трех лет с даты уничтожения персональных данных. |
Как накажут за нарушение порядка уничтожения персональных данных
Приказ №179 Роскомнадзора действует с 1 марта 2023 года, поэтому правоприменительной практики по нему еще нет. Отдельной статьи в КоАП по нарушению порядка уничтожения персональных данных не предусмотрено.
Оператора привлекут к ответственности за неуничтожение личной информации по ч. 5 ст. 13.11 КоАП РФ. Это штраф для ИП от 20 000 о 40 000 рублей; для юридических лиц — от 50 000 до 90 000 рублей.
ПШтрафы за нарушения в работе с персональными данными составляют несколько десятков тысяч рублей. Не запутаться в требованиях и ничего не нарушить поможет наш экспресс-курс «Аудит персональных данных: чек-листы по проверке готовности к прохождению проверки Роскомнадзора». |