Изменения по персональным данным с 01.03.2023: новые формы документов, требования ркн и необходимые действия для операторов пд

Опубликовано: Кибербухгалтерия
Уничтожение персональных данных сотрудников (зуп 3.1.23.812 / 3.1.27.23)

Как уничтожать персональные данные

Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Конкретный порядок уничтожения персональных данных законодательством не установлен. Данный порядок компания вправе определить самостоятельно, прописав его в отдельном локальном нормативном акте. В таком акте можно определить ситуации, когда требуется уничтожение персональных данных, а также способ их уничтожения.

В любом случае уничтожение должно предполагать, что персональные данные станут непригодными для дальнейшего использования, обработки и передачи – цифровые носители будут зачищены, а материальные носители – безвозвратно уничтожены.

Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководства компании. Этим приказом формируется комиссия из числа работников компании, в состав которой входит должностное лицо, ответственное за обработку персональных данных. Комиссия определяет перечень персональных сведений, подлежащих уничтожению. После этого комиссия приступает непосредственно к самому уничтожению данных.

Способ уничтожения персональных сведений компания выбирает самостоятельно. Если данные хранятся на бумажных носителях, эти носители могут быть, к примеру, сожжены, разорваны или измельчены через шредер до такой степени, чтобы их нельзя было восстановить.

Если информация хранится на машиночитаемых носителях (жестких дисках, флешках) или в информационной системе, она может быть уничтожена как путем физического уничтожения самого носителя, так и путем удаления информации из системы, форматирования диска или записи на него новой информации. И в том и в другом случае восстановление ранее содержащихся на носителе или в информационной системе сведений должно полностью исключаться.

После уничтожения компания должна документально оформить уничтожение персональных данных для целей возможного подтверждения данного факта в суде, в правоохранительных или контролирующих органах.

Будьте готовы к проверкам и помните об ответственности

Максим Лагутин, сооснователь консалтинговой компании Б-152:

Роскомнадзор проводит плановые и внеплановые проверки.

К плановым проверкам относятся выездные и документарные. В первом случае сотрудники ведомства приходят лично, во втором – просят предоставить заверенные копии документов. Компании получают уведомления за 3 дня – обычно это сообщение на имейл с уведомлением, подписанным электронно-цифровой подписью. Имейл орган берет из уведомления об обработке персональных данных, которое ранее направлял оператор.

Сейчас возможны как плановые, так и внеплановые проверки. Плановые проверки проводят с применением риск-ориентированного подхода в отношении операторов, которые относятся к категории высокого риска4. Внеплановые проверки инициируют в случае утечки данных5.

Проверочные мероприятия проводят и без взаимодействия с оператором. Роскомнадзор может изучить сайт компании и направить требование об устранении выявленных нарушений. Например, нарушением будет считаться установка на сайте кода JavaScript, чтобы сервис Google Analytics собирал статистику о посетителях, если об этом нет информации в политике обработки ПД.

Роскомнадзор может проверить наличие на сайте обработки cookie-файлов, отражение этой обработки в политике и ее соответствие п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ

Или может обратить внимание на формы сбора персональных данных («задайте вопрос», «обратная связь» и т.д.) – размещены ли под ними формы согласий на обработку ПД.

Привлекут внимание Роскомнадзора крупные компании, которые работают с большим объемом конфиденциальной информации, в том числе с биометрическими данными и специальными категориями ПД. Особенно если организация допускает нарушения и ей регулярно назначают штрафы

Также проверяющих заинтересуют компании, которые: осуществляют трансграничную передачу данных в недружественные страны; не проводят локализацию баз данных на территории России; обрабатывают данные несовершеннолетних в случаях, которые не описаны в законе или имеют иные цели.

После проверки компанию могут оштрафовать, например по ст. 13.11 или ст. 19.7 КоАП РФ. Чаще штрафы назначают за обработку избыточных данных, отсутствие в общем доступе политики обработки ПД, невыполнение требований субъекта ПД, несоблюдение условий по обеспечению сохранности ПД. Самый большой штраф предусмотрен за невыполнение требований по локализации ПД – при повторных нарушениях он составляет от 6 до 18 млн руб. (ч. 9 ст. 13.11 КоАП РФ).

Для снижения рисков важно настроить внутренние системы обработки ПД и вести учет процессов обработки ПД, чтобы понимать, с какими данными и субъектами ПД вы работаете. Также необходимо назначить ответственного за организацию обработки ПД и провести обучение персонала, чтобы избежать нарушений в области персональных данных (п

1 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Что такое персональные данные

Конкретного перечня таких данных нет. В зависимости от своей деятельности разные организации собирают некоторые объемы информации о своих клиентах или работниках — данные, которые обрабатываются в компаниях, и относят к персональным. Однако федеральный закон «О персональных данных» выделяет виды данных:

  • Общие. Это базовая информация о человеке: ФИО, место регистрации, информация об образовании, о месте работы, контактные данные.
  • Специальные. Информация о личности: национальность, политические и религиозные убеждения, философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
  • Биометрические. Физиологические или биологические особенности человека: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и так далее.
  • Иные. Все остальное — например, уровень зарплаты, количество отпускных дней или членство в фитнес-клубе.

Когда человек регистрируется на онлайн-сервисах и указывает эти данные, этот шаг не делает эту информацию общедоступной. Для ее хранения и обработки сайты должны получать согласие.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

  • наименование организации или ФИО предпринимателя и их адрес местонахождения;
  • ФИО лиц, чьи персональные данные были уничтожены;
  • ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
  • способ уничтожения персональных данных;
  • причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

  • ФИО лиц, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных и дату их уничтожения.

Если выгрузка из журнала не позволяет указать все эти сведения, то недостающие сведения нужно указать в акте об уничтожении. Акт об уничтожении и выгрузка подлежат хранению в течение 3 лет с момента уничтожения персональных данных. 

Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Как запустить удаление персданных

Для запуска процедуры удаления персональных данных предусмотрено автоматизированное рабочее место Уничтожение персональных данных (Кадры – Сервис – Уничтожение персональных данных). В нем в табличной части Сроки хранения выводится список уволенных или непринятых сотрудников с указанием сроков хранения персональных данных.

По флажку Показать только с истекшим сроком хранения будут отображены уволенные сотрудники, для которых наступила дата окончания хранения персональных данных.

Срок хранения персональных данных начинает отсчитываться с 1 января года, следующего за годом последней операции по уволенному сотруднику в информационной базе.

Расчет даты окончания срока производится регламентным заданием Расчет сроков хранения персональных данных (Администрирование – Обслуживание – Регламентные операции – Регламентные и фоновые задания) по заданному расписанию.

Уничтожить персональные данные раньше окончания срока их хранения не получится.

Запуск обработки удаления персональных данных происходит по кнопке Создать акты. В окне Создание актов можно выбрать реквизиты для печатной формы Акта об уничтожении персональных данных.

Акт об уничтожении персональных данных – это документ, который фиксирует результат удаления персональных данных для каждого из обработанных сотрудников. В группе реквизитов Категории персональных данных отображается, какие персональные данные в каких объектах информационной базы были изменены.

Реквизиты Причина уничтожения и Способ уничтожения на результат обработки не влияют и используются только для печатных форм документа.

Требования Роскомнадзора

Порядок документального подтверждения уничтожения персональных данных нормативно не был урегулирован. Приказ Роскомнадзора устанавливает этот порядок и указывает, какие документы и основания подтверждают уничтожение ПД.

Уничтожение персональных данных, хранившихся на бумаге, подтверждает акт об уничтожении персональных данных. В нем нужно указать:

  • наименование юридического лица или ФИО физического лица и адрес оператора;
  • наименование юридического лица или ФИО физического лица, адрес лица, осуществляющего обработку ПД по поручению оператора;
  • ФИО физлица или иную информацию, чьи ПД были уничтожены;
  • ФИО и должность лиц, уничтоживших ПД, а также их подпись;
  • перечень категорий уничтоженных ПД;
  • наименование уничтоженных материальных носителей с ПД, с указанием количества листов каждого материального носителя (если ПД обработаны без использования средств автоматизации);
  • наименование информационной системы ПД, из которой были уничтожены ПД (в случае обработки ПД с использованием средств автоматизации);
  • способ уничтожения ПД;
  • причину уничтожения ПД;
  • дату уничтожения ПД.

Работадатель может самостоятельно разработать форму акта об уничтожении и утвердить ее приказом руководителя

Но важно, чтобы такая форма содержала все вышеуказанные реквизиты

Роскомнадзор предусматривает создание акта об уничтожении ПД и в электронной форме.

В случае использования оператором средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются:

  • акт об уничтожении ПД;
  • выгрузка из журнала регистрации событий в информационной системе персональных данных.

Выгрузка из журнала должна содержать:

  • ФИО физлица или иную информацию, чьи ПД были уничтожены;
  • перечень категорий уничтоженных ПД;
  • наименование информационной системы ПД, из которой были уничтожены ПД;
  • причину уничтожения ПД;
  • дату уничтожения ПД.

В случае, если выгрузка из журнала не отражает эти сведения, то недостающие данные вносятся в акт об уничтожении ПД.

Акт об уничтожении ПД и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

Приказ Роскомнадзора вступит в силу 1 марта 2023 года и будет действовать до 1 марта 2029 года.

Каким образом возможно законное использование персональных данных?

   Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

  1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
  2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
  3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
  4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
  5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Что делать, если персональные данные утекли в Сеть

Проверить, фигурируют ли данные в каких-то утекших базах с помощью Telegram-бота от сетевого сообщества Data1eaks. Введя номер телефона, пользователь видит, через какие сервисы утекли данные. В этом случае лучше сменить пароль и отвязать все банковские карты, если они были привязаны к аккаунту.

Банки следят за утечками банковской информации, поэтому самостоятельно перевыпускают банковские карты, но если этого не произошло, нужно заблокировать карту и выпустить новую. Также рекомендуется сменить пароли для входа в приложения банков, соцсети и почтовые сервисы.

В остальном остается только смириться с фактом утечки. В интернете можно встретить объявления, в которых якобы за деньги удалят любую информацию, но нет гарантий, что такой исполнитель просто не заблокирует клиента после того, как получит аванс.

Стоит ли подавать в суд на компанию? Это возможно, но очень трудозатратно и без юриста почти невозможно. Сложно доказать, что владелец персональных данных понес убытки из-за утечки информации, а уж тем более, что ему был причинен моральный вред. Как минимум можно рассчитывать на штраф для компании, а как максимум — еще и на компенсацию. Суммы небольшие: до 1 млн рублей — штраф, порядка 10 000–150 000 рублей — компенсация.

Увеличили штрафы за нарушения законодательства о персональных данных

Контроль и ответственность операторов персональных данных за нарушения

Роскомнадзор контролирует операторов персональных данных в рамках контрольных мероприятий трёх типов:

  • инспекционный визит;
  • документарную проверку;
  • выездную проверку.

За невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, организацию могут привлечь к административной ответственности. Например, максимальный штраф для организации:

  • за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение – 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
  • за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение – 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
    Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

05.10.2022 Минцифры предлагает установить ответственность для ИП и должностных лиц за утечку персональных данных:

14.12.2022 Минцифры разработало законопроект, согласно которому штрафы за утечку персональных данных могут составить 3% от оборота компании (ТАСС).

Ответственность оператора

Неисполнение оператором предусмотренных Законом № 152-ФЗ требований, в том числе в части прекращения обработки и уничтожения персональных данных, влечет административную ответственность по ст. 13.11 КоАП РФ (ч. 1 ст. 24 Закона № 152-ФЗ).

Так, согласно КоАП РФ за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо уполномоченного органа о блокировании или уничтожении персональных данных в случае, если эти данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, размер штрафа составляет для организации от 50 тыс. до 90 тыс. руб., для должностных лиц от 8 тыс. до 20 тыс. руб.

При повторном правонарушении размер штрафа возрастет до 500 тыс. руб. для организаций и до 30 тыс. руб. для должностных лиц ( КоАП РФ).

Как уничтожение персональных данных реализовано в решениях на платформе 1С:Предприятие

В «Библиотеке стандартных подсистем» реализовано специальное рабочее место «Уничтожение персональных данных», которое доступно только пользователям с ролями:

  • Полные права
  • Добавление и изменение актов об уничтожении персональных данных.

Для включения функциональности в настройках программы должна быть включена опция «Уничтожать персональные данные» (в разделе «Настройки пользователей и прав» – «Защита персональных данных»).

В списке можно отфильтровать документы согласий на обработку персональных данных с истекшим сроком, а также составить «Акт об уничтожении персональных данных». При проведении акта произойдет полное уничтожение персональных данных выбранного субъекта в справочнике «Физические лица», а также в следующих связанных с ним объектах:

  • Справочник «Контрагенты»
  • Справочник «Организации»
  • Справочник «Контактные лица»
  • Регистр сведений «Документы физических лиц»
  • Справочник «Пользователи»

Из документа можно вывести печатные формы «Акта об уничтожении персональных данных» и «Выгрузки из журнала» – по закону они подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

В «Мониторинге законодательства» опубликованы сроки реализации данной функциональности в типовых конфигурациях 1С, где предусмотрена работа с персональными данными физических лиц.

Также функциональность уже реализована в 1С:Документооборот 2.1.33 (КОРП и ДГУ) и планируется к реализации в 1С:Документооборот КОРП 3.0.12.
 

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Уничтожение персональных данных

С первого марта 2023 года вступают в силу утвержденные приказом Роскомнадзора от 28.10.2022 №179 Требования к подтверждению уничтожения персональных данных (далее – Требования).

По новым правилам подтверждением уничтожения персональных данных является Акт об уничтожении персональных данных, который должен содержать:

  • наименование оператора;
  • ФИО субъекта персональных данных;
  • ФИО, должность лиц, уничтоживших персональные данные, их подпись;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные и наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • способ уничтожения персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.

При автоматизированной обработке персональных данных в дополнение к указанному акту следует осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных. В отличие от Акта, выгрузка должна содержать в себе меньшее количество информации, а именно:

  • ФИО субъекта персональных данных;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы;
  • причину и дату уничтожения персональных данных.

Указанные документы могут быть оформлены как на бумажном носителе, так и в электронной форме.

Процедура

С марта 2023 года, чтобы уничтожить персональные данные (ПД), надо будет сформировать комиссию, которая проведет процедуру. Подтвердить уничтожение сведений нужно будет двумя документами: актом об уничтожении ПД и выгрузкой из журнала регистрации событий в информационной системе ПД.

Если компания обрабатывает данные без информсистем, понадобится только акт. Срок хранения документов — три года. Электронный акт с цифровой подписью будут равнозначным бумажному. (Приказ Роскомнадзора от 28.10.2022 N 179)

Уничтожают персональные данные после того, как истечет срок их хранения или компания достигнет цели обработки документов, если сроки их хранения закон не определяет. Например, нет причин оставлять в кадрах копию свидетельства о рождении ребёнка, после того как назначили работнику пособие по уходу за ребенком.

Для уничтожения ПД необходимо соблюдать следующий алгоритм:

  • Этап № 1. Установить порядок уничтожения персональных данных. Разработать локальный акт об уничтожении персональных данных, это может быть также включено в Положение о ПД. В нем прописать, в каких случаях компания уничтожает личные данные. Определите, какие способы для этого использовать.
  • Этап № 2. Создать комиссию по уничтожению ПД.
  • Носители, которые содержат ПД, уничтожать в специально отведенном для этих целей помещении компании. Ее состав и полномочия утверждаются соответствующим приказом. В состав комиссии входят председатель и как минимум еще два сотрудника. Также нужно включать в комиссию работника, ответственного за обработку документов, которые планируется уничтожить.
  • Этап № 3. Зафиксировать уничтожение ПД. Отразить в специальном акте, что уничтожены документы, которые содержат ПД работников. Требования к такому акту с 1 марта 2023 года устанавливает Приказ Роскомнадзора от 28.10.2022 N 179.

Похожие записи:

  1. Доказательства при разделе имущества бывших супругов
  2. Списание долгов при банкротстве физических лиц
  3. Пошаговая инструкция по подключению оплаты по qr-коду через сбер и тинькофф для предпринимателей
  4. Остаток отпуска в 1с 8.3 зуп
0
Понравилась статья? Поделиться с друзьями:
Сервер Бухгалтерии

Похожие записи:

  1. Доказательства при разделе имущества бывших супругов
  2. Списание долгов при банкротстве физических лиц
  3. Пошаговая инструкция по подключению оплаты по qr-коду через сбер и тинькофф для предпринимателей
  4. Остаток отпуска в 1с 8.3 зуп
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.