В каких случаях компания обязана уничтожить персональные данные субъекта

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

(часть 3.1 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

(часть 5.1 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 — 5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

(часть 7 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

Источник

Как компаниям уничтожать персональные данные с 1 марта 2023 года

С 1 марта 2023 года для организаций и ИП изменился порядок уничтожения персональных данных. Рассказываем, кто и когда обязан уничтожать персональные данные, как это делать и как правильно подтвердить факт уничтожения.

Когда компании должны уничтожать персональные данные

С 1 марта для организаций и ИП, обрабатывающих персональные данные физлиц, в том числе и для работодателей, был изменен порядок уничтожения персональных данных. Теперь компании должны подтверждать факт уничтожения таких данных в целях пресечения их незаконной обработки. Ранее никаких требований к документальному оформлению факта уничтожения персональных данных законодательством установлено не было. 

Обязанность по уничтожению персональных данных возникает в следующих случаях (ч.ч. 3−5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

  • при необоснованном получении персональных данных (например, получение персданных физлица без его согласия);
  • при неправомерной обработке персональных данных (незаконная передача персданных третьим лицам, необеспечение сохранности данных и т.д.);
  • при достижении целей обработки персональных данных (например, при истечении срока действия ранее исполненного договора);
  • при отзыве субъектом персональных данных согласия на обработку его персональных данных.

В первых двух случаях компания обязана незамедлительно прекратить неправомерную обработку персональных данных и обеспечить правомерность обработки персональных данных. Если обеспечить законность обработки не удается, компания должна уничтожить имеющиеся в ее распоряжении персональные сведения, которые обрабатываются с нарушением установленных законодательством требований. 

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

  1. С 1 марта 2023 года изменен порядок уничтожения персональных данных.
  2. Теперь компании должны подтверждать факт уничтожения персданных в целях пресечения их незаконной обработки.
  3. Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных.
  4. Способ уничтожения персональных сведений компания выбирает самостоятельно.
  5. Если обработка персональных данных осуществляется вручную, без применения компьютеров, то их уничтожение нужно подтверждать специальным актом об уничтожении.
  6. Если компания обрабатывает персональные данные с использованием компьютерной техники, то их уничтожение должен подтверждать акт и выгрузка из журнала регистрации событий в информационной системе персональных данных.
  7. Форму акта об уничтожении персональных данных компания может составить в произвольной форме.
  8. Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Также уничтожению подлежат персональные данные, цель обработки которых была достигнута, и данные, согласие на обработку которых было отозвано. В этих случаях обеспечивать правомерность обработки персональных данных не требуется – данные попросту уничтожаются.

Как уничтожать персональные данные

Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Конкретный порядок уничтожения персональных данных законодательством не установлен. Данный порядок компания вправе определить самостоятельно, прописав его в отдельном локальном нормативном акте. В таком акте можно определить ситуации, когда требуется уничтожение персональных данных, а также способ их уничтожения.

В любом случае уничтожение должно предполагать, что персональные данные станут непригодными для дальнейшего использования, обработки и передачи – цифровые носители будут зачищены, а материальные носители – безвозвратно уничтожены.

Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководства компании. Этим приказом формируется комиссия из числа работников компании, в состав которой входит должностное лицо, ответственное за обработку персональных данных. Комиссия определяет перечень персональных сведений, подлежащих уничтожению. После этого комиссия приступает непосредственно к самому уничтожению данных.

Способ уничтожения персональных сведений компания выбирает самостоятельно. Если данные хранятся на бумажных носителях, эти носители могут быть, к примеру, сожжены, разорваны или измельчены через шредер до такой степени, чтобы их нельзя было восстановить.

Если информация хранится на машиночитаемых носителях (жестких дисках, флешках) или в информационной системе, она может быть уничтожена как путем физического уничтожения самого носителя, так и путем удаления информации из системы, форматирования диска или записи на него новой информации. И в том и в другом случае восстановление ранее содержащихся на носителе или в информационной системе сведений должно полностью исключаться.

После уничтожения компания должна документально оформить уничтожение персональных данных для целей возможного подтверждения данного факта в суде, в правоохранительных или контролирующих органах.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

  • наименование организации или ФИО предпринимателя и их адрес местонахождения;
  • ФИО лиц, чьи персональные данные были уничтожены;
  • ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
  • способ уничтожения персональных данных;
  • причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

  • ФИО лиц, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных и дату их уничтожения.

Если выгрузка из журнала не позволяет указать все эти сведения, то недостающие сведения нужно указать в акте об уничтожении. Акт об уничтожении и выгрузка подлежат хранению в течение 3 лет с момента уничтожения персональных данных. 

Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Источник

29.11.2022 Роскомнадзор опубликовал Требования к подтверждению уничтожения персональных данных. Приказом ведомства были утверждены требования к содержанию и форме форма акта об уничтожении персональных данных и к выгрузке из журнала регистрации событий в информсистеме персональных данных

Уничтожим персональные данные? Или как нужно удалять персональные данные с 01.03.2023

Иллюстрация Sarah Grillo/Axios

Роскомнадзор опубликовал требования к тому, как с 1 марта 2023 года подтверждать уничтожение личной информации о гражданах. Набор и содержание документов, которые оператор должен будет сформировать, зависят от того, использует ли он при обработке средства автоматизации.

Напомним, что согласно п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) «О персональных данных» (далее – «Закона о персональных данных»):

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Т.е. оператором может быть и самозанятый, и ИП, а также юридические лица, если они обрабатывают персональные данные.

Если оператор, например, применяет эти средства без одновременной «обработки вручную», он составит:

  • акт об уничтожении с обязательными элементами для него;
  • выгрузку из журнала регистрации событий в информсистеме персональных данных. В документ можно не включать обязательные элементы для выгрузки.

Согласно п. 3 Требований к подтверждению уничтожения персональных данных, утвержденных приказом Роскомнадзора от 28.10.2022 № 179 акт об уничтожении персональных данных должен содержать:

а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);

в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;

д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);

з) способ уничтожения персональных данных;

и) причину уничтожения персональных данных;

к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

В случае составления цифрового акта, который заверили электронной подписью, его будут считать равнозначным бумажному с собственноручной подписью.

Акт и выгрузку придется хранить 3 года с момента уничтожения личных сведений.

Сейчас операторы сами определяют, как документально фиксировать уничтожение персональной информации.

Напомним, что прекращение обработки персональных данных осуществляется в следующих случаях

  1. Если выявлено, что обработка осуществляется неправомерно, прекратите в срок не более 3 рабочих дней с даты этого выявления обработку персональных данных или, обеспечьте ее прекращение лицом, действующим по вашему поручению (ч. 3 ст. 21 Закона о персональных данных).
  2. По требованию субъекта персональных данных вы обязаны немедленно прекратить обработку его данных, если она осуществляется для продвижения товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (ч. 2 ст. 15 Закона о персональных данных).
  3. Если обеспечить правомерность обработки персональных данных невозможно, в срок не более 10 рабочих дней с даты выявления неправомерной обработки персональных данных уничтожьте такие персональные данные или обеспечьте их уничтожение (ч. 3 ст. 21 Закона о персональных данных).
  4. Уведомьте физическое лицо (его представителя) об устранении допущенных нарушений или об уничтожении персональных данных, а также Роскомнадзор, если обращение (запрос) получено от него (ч. 3 ст. 21 Закона о персональных данных).
  5. Если цели обработки персональных данных достигнуты, вы по общему правилу должны прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). Это нужно сделать в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных (ч. 4 ст. 21 Закона о персональных данных).
  6. Если субъект персональных данных отозвал согласие на обработку его персональных данных, вы по общему правилу должны прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению). Если при этом сохранение персональных данных более не требуется для целей обработки персональных данных, вы по общему правилу должны уничтожить такие данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению). Это нужно сделать в срок не более 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона о персональных данных).
  7. Если субъект персональных данных обратился к вам с требованием о прекращении обработки персональных данных, вы обязаны в течение 10 рабочих дней с даты получения требования прекратить ее или обеспечить ее прекращение (если обработка осуществляется другим лицом). Исключение – случаи, предусмотренные п. п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на 5 рабочих дней (ч. 5.1 ст. 21 названного Закона).
  8. Если субъект персональных данных направил требование прекратить обработку данных, разрешенных для распространения, прекратите передачу, распространение, предоставление таких данных, доступ к ним. Действие согласия этого субъекта на обработку его персональных данных, разрешенных для распространения, прекращается с момента поступления этого требования (ч. 12, 13 ст. 10.1 Закона о персональных данных).
  9. Если уничтожить персональные данные в течение установленного срока невозможно, заблокируйте персональные данные или обеспечьте их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению) и обеспечьте уничтожение данных в срок не более 6 месяцев. Иной срок может быть установлен федеральными законами (ч. 6 ст. 21 Закона о персональных данных).

Напомним, что обязательным документом для предприятий, которые обрабатывают персональные данные, является Политика в отношении обработки персональных данных (это может быть и положение), в этом документе обязательно должны быть включены разделы или пункты о прекращении использования персональных данных, в том числе об их удалении. Относительно минимального пакета документов мы уже писали в статье:

Мы публикуем данную статью с тем, чтобы вы могли заранее подготовиться к вступлению в силу данного нормативно-правового акта. Вы должны обратить внимание, что и сейчас нужно удалять персональные данные, т.к. это требование закона.

По статистике очень много штрафов и наказной выносятся за то, что персональные данные не были удалены вовремя.

Документ: Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 № 71167).

Источник

В октябре 2022 года были утверждены Требования к подтверждению уничтожения персональных данных, то есть к порядку уничтожения персональных данных (далее – ПД) и соответствующим документам.

Из статьи вы узнаете:

  • что такое уничтожение ПД;
  • когда и в какие сроки следует уничтожать ПД;
  • каков порядок документального оформления факта уничтожения ПД и какие изменения ждут кадровиков с 1 марта 2023 года.

Общие положения

В соответствии со ст. 3 Федерального закона № 152-ФЗ[1] персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу – субъект ПД.

Оператором ПД является работодатель, поскольку он самостоятельно или с другими лицами осуществляет обработку ПД. В работе с ПД субъектов этих данных важно помнить, что в определенных случаях у оператора есть обязанность по их уничтожению.

Уничтожение ПД – это один из видов их обработки, в результате которого:

  • становится невозможным восстановить содержание ПД в информационной системе ПД и (или)
  • уничтожаются материальные носители ПД.

Таким образом, под уничтожением ПД понимается безвозвратное прекращение их существования путем уничтожения с носителя без ликвидации самого носителя либо путем его уничтожения (в частности, документы на бумажном носителе, которые содержат ПД). В дальнейшем, в результате соответствующих действий, не должно остаться возможности для восстановления информации при помощи специального программного обеспечения.

У оператора ПД есть обязанность по уничтожению ПД или обеспечению их уничтожения по определенным правилам, в определенные сроки и с оформлением своих действий определенными документами.

Когда и в какие сроки необходимо уничтожать персональные данные 

ПД можно обрабатывать и хранить в той форме, которая позволяет определить субъекта ПД, и не дольше, чем того требуют цели обработки – если срок хранения ПД не уставлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД (ч. 4 ст. 21 Федерального закона № 152-ФЗ).

Обратите внимание

Когда при обработке ПД реализуются несколько целей, обязанность оператора ПД по уничтожению и обезличиванию возникает с момента достижения последней из них.

Цели обработки и сроки хранения определяются в соответствии:

  • с Федеральным законом № 152-ФЗ;
  • Федеральным законом № 125-ФЗ[2];
  • Перечнем 2019[3];
  • другими федеральными законами, определяющими случаи и особенности обработки ПД.

Постановление Арбитражного суда Московского округа

Если срок хранения не установлен или закончился, то ПД необходимо уничтожить или обезличить. В Таблице мы собрали информацию по срокам и условиям уничтожения ПД со ссылкой на нормы законодательства.

Сроки уничтожения персональных данных

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 14.07.2022; далее – Федеральный закон № 152-ФЗ).

[2] Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» (в ред. от 11.06.2021).

[3] Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. приказом Росархива от 20.12.2019 № 236).

Материал публикуется частично. Полностью его можно прочитать в журнале «Секретарь-референт» № 1, 2023.

Источник

Понравилась статья? Поделить с друзьями:
  • В какое время могут проводиться строительные работы в жилых микрорайонах
  • В какое время можно производить строительные работы в московской области
  • В какое время разрешены ремонтные работы в многоквартирном доме в москве
  • В какой срок нужно подать европротокол в страховую компанию потерпевшему
  • В какой страховой компании лучше застраховать автомобиль по осаго отзывы