Top.Mail.Ru

Как документировать уничтожение персональных данных

Штраф за неуничтожение в заданные сроки персональных данных для организации сейчас доходит до 500 000 руб., и Госдума рассматривает законопроект о его увеличении в несколько раз! Поэтому давайте разберемся, в каких ситуациях, в какие сроки надо уничтожать персданные, как это документально подтвердить, сколько потом хранить такие доказательства. Правила документирования установлены Роскомнадзором – объясняем, что он требует. Показываем образцы приказа о создании комиссии, акта об уничтожении персданных, уведомления работника об уничтожении персональных данных, которые использовались неправомерно. Предлагаем формулировки для ЛНА о порядке уничтожения таких конфиденциальных сведений, для договоров об обязательстве контрагента уничтожить передаваемые ему персданные.

В нынешнем информационном обществе персональные данные играют основополагающую роль, поэтому их защита и своевременное уничтожение являются неотъемлемыми частями обязанностей бизнеса и государства. О нюансах уничтожения персданных, которые необходимо знать любой организации, поговорим в этой статье. Для начала дадим необходимый юридический базис.

Когда и в какие сроки уничтожать персданные

Уничтожение персональных данных 1 – ​это вид их обработки, подра­зумевающий действия, в результате которых:

  • становится невозможным восстановить содержание персональных данных в информационной системе и/или
  • уничтожаются материальные носители персональных данных.

В соответствии с Законом № 152‑ФЗ оператор (т.е. организация или индивидуальный предприниматель, осуществляющий обработку персональных данных) обязан уничтожить персональные данные субъекта персданных (или обеспечить их уничтожение) в следующих ситуациях:

  • при получении от субъекта персданных (или его представителя) сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки 2;
  • при выявлении неправомерной обработки персданных, если невозможно обеспечить ее правомерность 3;
  • после достижения цели обработки персданных 4;
  • при отзыве субъектом согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки 5;
  • при обращении субъекта с требованием о прекращении обработки его персданных 6.

Сроки уничтожения персональных данных различаются в зависимости от причины (все они сведены в Таблицу 1):

  • общий срок уничтожения составляет 30 дней и применяется, когда речь идет о достижении целей обработки или отзыве субъектом согласия на обработку его персданных (если их сохранение более не требуется для целей обработки). Надо учитывать, что в этих случаях может быть предусмотрен и иной срок с учетом конкретных обстоятельств, в частности 7:
    • он может быть определен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персданных, или иным соглашением между оператором и субъектом персданных;
    • когда оператор не вправе осуществлять обработку персданных без согласия субъекта персданных на основаниях, предусмотренных Законом № 152‑ФЗ или другими федеральными законами;
  • значительно более короткие сроки (по сравнению с общим) применяются в особых случаях – см. Таблицу 1.

Таблица 1. Сроки уничтожения персональных данных

Пример 1. Условие в договоре об обязанности контрагента осуществить уничтожение персональных данных

По истечении срока обработки переданных Заказчиком персональных данных пользователей в случае отзыва согласия на обработку персональных данных, а также если станет известно, что персональные данные содержат неполную / неточную информацию, получены или обрабатываются с нарушением закона, Исполнитель обязан уничтожить полученные персональные данные пользователей в срок не позднее 3 рабочих дней с даты получения требования об этом или выявления обстоятельств, свидетельствующих о необходимости уничижения персональных данных пользователей.

В качестве подтверждения уничтожения переданных персональных данных пользователей Исполнитель направляет в адрес Заказчика заверенные копии акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных в течение 2 рабочих дней с даты оформления этих документов.

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 700 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Какая ЭК должна заниматься документами библиотечного фонда?

Необходимо списать документы из библиотечного фонда технической библиотеки организации. Есть постоянно действующая экспертная комиссия по экспертизе ценности документов, образующихся в процессе деятельности всех подразделений предприятия. Возможно ли издать приказ, который утвердит временную экспертную комиссию по экспертизе ценности документов библиотечного фонда ввиду его специфики?

Работа с персональными данными без ошибок: в вопросах и ответах

В конце мая мы провели онлайн-семинар «Работа с персональными данными без ошибок». По его итогам собрали ответы спикера Юлии Жижериной на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенной аргументацией. Можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА? Кого указывать в приказе о перечне лиц, имеющих доступ к персданным, можно ли его составить без Ф.И.О.? Надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах? Что делать, если работник отзывает свое согласие на обработку персданных? Сколько целей обработки персданных можно указать в одном согласии? Нужно ли согласие работника при добавлении его в общий чат мессенджера? И др.

Как не стать крайним, если в деле отсутствует документ

Своевременное обнаружение отсутствующих документов в деле или, наоборот, фиксация наличия полного комплекта документов при технической обработке дел могут в дальнейшем обезопасить от лишних претензий работников, ответственных за делопроизводство или архив организации. В чем уязвимость таких методов защиты, как составление внутренней описи документов дела, листа-заверителя, подшивка или переплет дела, включение данных о нем в опись дел. Что было бы оптимально делать, мы рассказали в статье.

Защита персональных данных и архивные документы

Распространяется ли закон о персданных на архивные документы? Какие документы считаются архивными? Заметим, что ответы на эти вопросы пока не однозначны. Как тогда архиву защищать персональные данные при ответе на запросы граждан, в т.ч. из-за рубежа? На какую нормативную базу можно опереться? Данная статья стала результатом подготовки ответов на вопросы наших читателей, которым сложно работать при отсутствии ясной и логичной нормативной базы.

Оформляем акты на уничтожение документов

В каком порядке в структурных подразделениях выявляются документы для уничтожения? Как описать в акте черновики, проекты и лишние экземпляры? Как составить сводный акт по организации о выделении к уничтожению документов, не подлежащих хранению? Какие графы таблицы и реквизиты в утвержденной форме акта не нужно заполнять, если ваша организация не является источником комплектования государственного или муниципального архива, а также если к уничтожению выделяются документы подразделений, еще не сданные в архив организации? Факт уничтожения нужно документировать отдельно. Какие варианты оформления при этом возможны?

Сроки хранения и индексы дел в акте о выделении документов к уничтожению

Какую утвержденную форму акта о выделении документов к уничтожению следует использовать, как ее адаптировать для нужд делопроизводства (когда документы уничтожаются в подразделениях до передачи в архив). Когда планируемые сроки хранения в номенклатуре дел будут отличаться от сроков в акте, по которым документы реально будут уничтожаться. Как в акте можно отразить «старые» сроки хранения и индексы дел по номенклатуре и «новые» сроки по актуальному Перечню документов. Поводом для написания этой статьи стал вопрос читателя.

К документам какого года применять новый Перечень со сроками хранения

18.02.2020 вступил в силу новый Перечень документов со сроками хранения. Что нужно сделать с номенклатурой дел на 2020 год до конца текущего года? По какому Перечню (новому или старому) определять сроки хранения документов, созданных до вступления в силу нового Перечня, но включаемых в опись на передачу в архив либо в акт о выделении к уничтожению сейчас – после 18.02.2020? Ответы на эти вопросы даны со ссылками на нормативные документы

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.