Как документировать уничтожение персональных данных

Штраф за неуничтожение в заданные сроки персональных данных для организации сейчас доходит до 500 000 руб., и Госдума рассматривает законопроект о его увеличении в несколько раз! Поэтому давайте разберемся, в каких ситуациях, в какие сроки надо уничтожать персданные, как это документально подтвердить, сколько потом хранить такие доказательства. Правила документирования установлены Роскомнадзором – объясняем, что он требует. Показываем образцы приказа о создании комиссии, акта об уничтожении персданных, уведомления работника об уничтожении персональных данных, которые использовались неправомерно. Предлагаем формулировки для ЛНА о порядке уничтожения таких конфиденциальных сведений, для договоров об обязательстве контрагента уничтожить передаваемые ему персданные.

В нынешнем информационном обществе персональные данные играют основополагающую роль, поэтому их защита и своевременное уничтожение являются неотъемлемыми частями обязанностей бизнеса и государства. О нюансах уничтожения персданных, которые необходимо знать любой организации, поговорим в этой статье. Для начала дадим необходимый юридический базис.

Когда и в какие сроки уничтожать персданные

Уничтожение персональных данных 1 – ​это вид их обработки, подра­зумевающий действия, в результате которых:

  • становится невозможным восстановить содержание персональных данных в информационной системе и/или
  • уничтожаются материальные носители персональных данных.

В соответствии с Законом № 152‑ФЗ оператор (т.е. организация или индивидуальный предприниматель, осуществляющий обработку персональных данных) обязан уничтожить персональные данные субъекта персданных (или обеспечить их уничтожение) в следующих ситуациях:

  • при получении от субъекта персданных (или его представителя) сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки 2;
  • при выявлении неправомерной обработки персданных, если невозможно обеспечить ее правомерность 3;
  • после достижения цели обработки персданных 4;
  • при отзыве субъектом согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки 5;
  • при обращении субъекта с требованием о прекращении обработки его персданных 6.

Сроки уничтожения персональных данных различаются в зависимости от причины (все они сведены в Таблицу 1):

  • общий срок уничтожения составляет 30 дней и применяется, когда речь идет о достижении целей обработки или отзыве субъектом согласия на обработку его персданных (если их сохранение более не требуется для целей обработки). Надо учитывать, что в этих случаях может быть предусмотрен и иной срок с учетом конкретных обстоятельств, в частности 7:
    • он может быть определен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персданных, или иным соглашением между оператором и субъектом персданных;
    • когда оператор не вправе осуществлять обработку персданных без согласия субъекта персданных на основаниях, предусмотренных Законом № 152‑ФЗ или другими федеральными законами;
  • значительно более короткие сроки (по сравнению с общим) применяются в особых случаях – см. Таблицу 1.

Таблица 1. Сроки уничтожения персональных данных

Пример 1. Условие в договоре об обязанности контрагента осуществить уничтожение персональных данных

По истечении срока обработки переданных Заказчиком персональных данных пользователей в случае отзыва согласия на обработку персональных данных, а также если станет известно, что персональные данные содержат неполную / неточную информацию, получены или обрабатываются с нарушением закона, Исполнитель обязан уничтожить полученные персональные данные пользователей в срок не позднее 3 рабочих дней с даты получения требования об этом или выявления обстоятельств, свидетельствующих о необходимости уничижения персональных данных пользователей.

В качестве подтверждения уничтожения переданных персональных данных пользователей Исполнитель направляет в адрес Заказчика заверенные копии акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных в течение 2 рабочих дней с даты оформления этих документов.

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 840 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Утечка персональных данных: самые большие штрафы и уголовная ответственность

Самые большие штрафы грозят за несанкционированную передачу персональных данных (ПД): доходит до 3% с годовой выручки организации и до 500 000 000 рублей! Поэтому мы стали разбираться, какие требования есть к обеспечению безопасности ПД в информационных системах, какие отягчающие и смягчающие размер штрафа обстоятельства учитываются. За какие категории ПД грозит повышенный штраф. В таблице систематизируем, кого, за что и на сколько могут оштрафовать по КоАП РФ. Объясняем, за что «светит» уже уголовная ответственность, по которой могут быть не только крупные штрафы, но и лишение права занимать определенные должности и даже лишение свободы. Разбираемся также со штрафами за неуведомление Роскомнадзора об инциденте с утечкой ПД (либо нарушение срока уведомления – это должно быть сделано в течение 24 и 72 часов), а также за хранение ПД россиян за рубежом.

Акт об уничтожении персональных данных или документов?

Во многих документах, которые мы привыкли выделять к уничтожению по акту, составленному по правилам Росархива, содержатся персональные данные. В марте 2023 года вступил в силу приказ Роскомнадзора, который потребовал документировать уничтожение персональных данных по своему акту (там должны фиксироваться иные сведения, его составлять очень трудоемко)! А штрафы за ошибки в работе с персданными большие. Помогаем вам их избежать. Вы поймете, когда надо оформлять уничтожение документов (в т.ч. содержащих персданные) по акту Росархива, а когда – по акту Роскомнадзора. А еще получите аргументацию для диалога с проверяющими, чтобы защитить себя. Отсутствие однозначных разъяснений от профильных ведомств (Росархива и Роскомнадзора) приводит к рискам, которые помогаем вам оценить и выбрать свой «маршрут следования».

Несанкционированный доступ к персональным данным, обрабатываемым без средств автоматизации

Многие бумажные документы содержат персональные данные (ПД). Какие штрафы грозят за разглашение ПД, обрабатываемых без средств автоматизации? Загадка: если проект документа создан на компьютере, потом его распечатали и подписали на бумаге, то можно считать, что документ обрабатывается без средств автоматизации? Объясняем, как провести грань между автоматической и «ручной» обработкой ПД. Какие требования предписывает выполнить постановление Правительства РФ для защиты ПД, обрабатываемых «вручную». Их полный список может вас напугать. Поэтому подсказываем, как «сильные мира сего» минимизируют его выполнение.

Акт о выделении документов к уничтожению из подразделений

Форма акта о выделении к уничтожению документов из архива утверждена и содержится в нормативном правовом акте Росархива. А форма акта для выделения к уничтожению документов из структурных подразделений (на этапе текущего делопроизводства) не утверждена. Как доработать для этих целей «архивный» акт? Как составить акт о выделении к уничтожению документов, находящихся на депозитарном хранении в стороннем коммерческом архиве? Каков алгоритм работы: как оформлять акты о выделении документов к уничтожению, как их согласовывать и утверждать, как отражать сам факт уничтожения, где потом хранить акты? Объясняем, кто что и в каком порядке должен делать.

Оформляем акты на уничтожение документов

В каком порядке в структурных подразделениях выявляются документы для уничтожения? Как описать в акте черновики, проекты и лишние экземпляры? Как составить сводный акт по организации о выделении к уничтожению документов, не подлежащих хранению? Какие графы таблицы и реквизиты в утвержденной форме акта не нужно заполнять, если ваша организация не является источником комплектования государственного или муниципального архива, а также если к уничтожению выделяются документы подразделений, еще не сданные в архив организации? Факт уничтожения нужно документировать отдельно. Какие варианты оформления при этом возможны?

Переписка с контрагентами как доказательство в суде

Как подтвердить дату отправки и доставки бумажной и электронной корреспонденции через «Почту России»? Какие варианты существуют? И надо ли нотариально заверять распечатки с сайта «Почты России» для суда? Как подтвердить отправку и получение документов через независимую службу доставки (CDEK и др.)? Какая электронная переписка может быть признана в качестве доказательства в суде: что кроме электронной почты, сообщений в мессенджерах и соцсетях может быть использовано? Каким критериям должна соответствовать такая переписка? Как самим можно снять скриншот с нее и приобщить к исковому заявлению или ходатайству в суд? Когда придется обратиться за заверением переписки к нотариусу? И как выглядит протокол ее осмотра нотариусом? Можно ли использовать в суде переписку из запрещенных мессенджеров? Как в договоре оговорить юридическую силу электронной переписки между сторонами (определить уполномоченных лиц, их контактные данные и каналы связи)?

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

К документам какого года применять новый Перечень со сроками хранения

18.02.2020 вступил в силу новый Перечень документов со сроками хранения. Что нужно сделать с номенклатурой дел на 2020 год до конца текущего года? По какому Перечню (новому или старому) определять сроки хранения документов, созданных до вступления в силу нового Перечня, но включаемых в опись на передачу в архив либо в акт о выделении к уничтожению сейчас – после 18.02.2020? Ответы на эти вопросы даны со ссылками на нормативные документы