Обработка персональных данных любого человека всегда имеет определенную цель. Когда цель достигнута, персональные данные следует уничтожить. Этого требует закон. Давайте рассмотрим последовательность такого уничтожения и какие необходимы документы.
Алгоритм уничтожения персональных данных
Каждая организация определяет порядок работы с личной информацией о человеке. Предлагаем следующую последовательность ее удаления:
- Назначьте работника, ответственного за правильность обращения с данными.
- Составьте и утвердите локальный нормативный акт (ЛНА) с порядком уничтожения данных.
- Создайте комиссию, которая удалит информацию.
- Подготовьте сопроводительные документы.
- Уничтожьте носители персональных данных. Повредите (сломайте) материальный носитель информации (например, документы на бумаге мелко разрежьте (разорвите)) или удалите информацию с электронных носителей (например, исключите сведения из программы 1С).
- Подпишите документы.
Вам будет полезно узнать: что относится к персональным данным
Кто готовит документы для уничтожения персональных данных
Юридическое или физическое лицо, которые нанимают сотрудников, заключают договоры с гражданами, являются невольными владельцами индивидуальных данных. Не получится, например, оформить трудовой договор с работодателем, не сообщив ему Ф.И.О., адрес, реквизиты паспорта, СНИЛС и многое другое, относящееся к человеку. Таких лиц закон называет операторами.
Может пригодиться: как стать оператором персданных в реестре Роскомнадзора
Оператор назначает приказом ответственного работника. Он должен: контролировать соблюдение законодательства о персональных данных, принимать обращения от субъектов персональных данных (физических лиц) и работать с ними. В должностной инструкции такого сотрудника следует предусмотреть обязанность по подготовке документов, сопутствующих ликвидации данных.
Уничтожение персональных данных (ПД) — действия, после которых невозможно восстановить ПД в информационной системе или на материальных носителях. Согласие на уничтожение персональных данных от их владельца не требуется.
Документы готовятся не позднее дня уничтожения информации. Сроки следующие:
- 7 рабочих дней со дня, когда человек предоставил доказательства, что информация о нем получена незаконно или она не нужна для цели ее использования;
- 10 рабочих дней с даты, когда стало известно, что сведениями распоряжались незаконно, и когда законность нельзя соблюсти;
- 30 календарных дней с даты, когда:
- цель обработки данных достигнута;
- человек отозвал согласие на обработку информации о себе и нет необходимости ее больше хранить. В этих двух случаях 30-дневный срок меняется. Оператор и гражданин определяют иные сроки в заключенном соглашении;
- оператор не вправе обрабатывать сведения без согласия их владельца.
Тот, кто ликвидирует сведения о физическом лице, законом не определен. Руководитель организации вправе назначить одно ответственное лицо либо создать комиссию из 3-4 человек. Но, как показывает опыт, актирование производственных действий (мероприятий) все же происходит комиссионно. Комиссия создается на основании приказа. Председателем укажите лицо, ответственное в компании за организацию обработки персональных данных. В состав комиссии правильно включить работника, в отделе которого обрабатывались ликвидируемые данные (находится носитель такой информации), секретаря (делопроизводителя), иное лицо, исходя из специфики данных.
Эксперты КонсультантПлюс разобрали, каков порядок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку. Используйте эти инструкции бесплатно.
При подготовке приказа обратите внимание на его дату и сроки проведения подготовительных мероприятий (например, сроки на формирование (выборку) документов, подлежащих уничтожению). Они не должны выходить за рамки сроков, установленных на уничтожение оператором персональных данных.
Документы, сопровождающие уничтожение персональных данных
Ликвидацию сведений о гражданине необходимо подтвердить документом. Такое требование к уничтожению персональных данных в организации установлено в Приказе Роскомнадзора № 179 от 28.10.2022. Вид документа зависит от способа обработки данных.
Способ первый. Работа с материалами без использования средств автоматизации — составляется акт об уничтожении персональных данных.
Способ второй. Работа с материалами с использованием средств автоматизации — составляется акт и делается выгрузка из журнала регистрации событий в информационной системе персональных данных.
Типовой формы акта нет. Она разрабатывается самостоятельно. В акте указываются:
- наименование организации и ее адрес;
- информация о том, кому оператор поручил обработку сведений о гражданине (наименование, адрес);
- Ф.И.О. гражданина, сведения о котором ликвидированы;
- Ф.И.О., должность лиц, удаливших сведения, их подпись;
- перечень исключенных категорий (например, Ф.И.О., адрес, серия, номер паспорта, ИНН);
- наименование поврежденного материального носителя (указывается количество листов каждого документа (при обработке данных без использования средств автоматизации));
- наименование информационной системы, из которой исключены сведения (при обработке данных с использованием средств автоматизации);
- способ, причина, дата исключения.
Акт допустимо оформить в электронной форме и подписать электронной подписью. Такой акт равнозначен бумажному.
Актуальный бланк и образец этого документа есть в КонсультантПлюс Скачать бесплатно
Выгрузка из журнала должна содержать:
- Ф.И.О. гражданина, сведения о котором ликвидированы;
- перечень исключенных категорий;
- наименование информационной системы, из которой исключены сведения;
- причина, дата исключения.
Если выгрузка из журнала не содержит перечисленных сведений, они вносятся в акт.
При применении одновременно двух способов обработки данных оформляется и акт, и журнал. Такие документы хранят 3 года после удаления сведений.
Действия по хранению и уничтожению ПД взаимосвязаны. Акт об уничтожении персональных данных оформляют и тогда, когда истек срок хранения документов. Договоры, гражданско-правового характера, которые организация заключала с физическими лицами, хранятся 5 лет после истечения срока их действия или после прекращения обязательств по ним. После завершения сроков хранения договоры подлежат ликвидации с составлением акта. Определить сроки хранения документов поможет Приказ Росархива № 236 от 20.12.2019.
С целью учета, систематизации фактов ликвидации информации организация ведет журнал уничтожения персональных данных. В нем отмечают: номер и дату акта, дату и способ уничтожения, Ф.И.О. гражданина, исключенные о нем сведения, ответственное за эти действия лицо (лиц). Такой журнал облегчит и ускорит поиск нужных сведений.
Если причина ликвидации информации — ее неправомерная обработка (напомним, срок на удаление — 10 рабочих дней с даты выявления неправомерных действий), об уничтожении следует уведомить:
- гражданина, чьи сведения неправомерно обрабатывались, или его представителя;
- Роскомнадзор, если он направил запрос или обращение от гражданина или его представителя.
На заметку: как отозвать согласие на обработку персональных данных
Если материал о человеке не уничтожить в срок, грозит административная ответственность (ч. 5 ст. 13.11 КоАП РФ), штраф в размере:
| Правонарушители | Правонарушение совершено в первый раз, тыс. руб. | Правонарушение совершено повторно, тыс. руб. |
|---|---|---|
| Граждане | От 2 до 4 | От 20 до 30 |
| Должностные лица | От 8 до 20 | От 30 до 50 |
| ИП | От 20 до 40 | От 50 до 100 |
| Юридические лица | От 50 до 90 | От 300 до 500 |
Советуем прочитать: судебная практика по спорам о защите персональных данных
-
Князева Жанна
2023-12-19 07:18:39Акт об уничтожении персональных данных в Роскомнадзор не направляют. Его хранят 3 года после уничтожения сведений. Копию акта организация передает контролирующему органу по его запросу в рамках проводимой проверки. Проверку могут провести, в том числе, по жалобе гражданина.
