28 ноября Минюст зарегистрировал приказ Роскомнадзора, устанавливающий на ближайшие шесть лет требования к уничтожению персональных данных работников.
Обязанность оператора
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», работодатель должен собирать, обрабатывать, хранить и уничтожать персональные данные (ПД) работников. Поэтому все работодатели являются операторами ПД.
Но хранить ПД без особых на то оснований запрещено и их нужно уничтожать в следующих случаях:
- ПД обработаны неправомерно;
- достигнуты цели сбора и обработки;
- владелец ПД требует их ликвидации;
- владелец ПД отозвал свое согласие на их обработку.
Уничтожить персональные данные нужно в срок:
- 7 дней по требованию субъекта ПД;
- 10 дней в случае неправомерной обработки ПД, выявленной самим оператором;
- 30 дней во всех остальных случаях.
Если оператор по каким-либо причинам не может уничтожить ПД в указанные сроки, то он обязан блокировать их и уничтожить в течение полугода.
Требования Роскомнадзора
Порядок документального подтверждения уничтожения персональных данных нормативно не был урегулирован. Приказ Роскомнадзора устанавливает этот порядок и указывает, какие документы и основания подтверждают уничтожение ПД.
Уничтожение персональных данных, хранившихся на бумаге, подтверждает акт об уничтожении персональных данных. В нем нужно указать:
- наименование юридического лица или ФИО физического лица и адрес оператора;
- наименование юридического лица или ФИО физического лица, адрес лица, осуществляющего обработку ПД по поручению оператора;
- ФИО физлица или иную информацию, чьи ПД были уничтожены;
- ФИО и должность лиц, уничтоживших ПД, а также их подпись;
- перечень категорий уничтоженных ПД;
- наименование уничтоженных материальных носителей с ПД, с указанием количества листов каждого материального носителя (если ПД обработаны без использования средств автоматизации);
- наименование информационной системы ПД, из которой были уничтожены ПД (в случае обработки ПД с использованием средств автоматизации);
- способ уничтожения ПД;
- причину уничтожения ПД;
- дату уничтожения ПД.
Работадатель может самостоятельно разработать форму акта об уничтожении и утвердить ее приказом руководителя. Но важно, чтобы такая форма содержала все вышеуказанные реквизиты.
Роскомнадзор предусматривает создание акта об уничтожении ПД и в электронной форме.
В случае использования оператором средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются:
- акт об уничтожении ПД;
- выгрузка из журнала регистрации событий в информационной системе персональных данных.
Выгрузка из журнала должна содержать:
- ФИО физлица или иную информацию, чьи ПД были уничтожены;
- перечень категорий уничтоженных ПД;
- наименование информационной системы ПД, из которой были уничтожены ПД;
- причину уничтожения ПД;
- дату уничтожения ПД.
В случае, если выгрузка из журнала не отражает эти сведения, то недостающие данные вносятся в акт об уничтожении ПД.
Акт об уничтожении ПД и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
Приказ Роскомнадзора вступит в силу 1 марта 2023 года и будет действовать до 1 марта 2029 года.
Возможны штрафы
Согласно статье 13.11 КоАП, за невыполнение оператором сроков блокирования или уничтожении ПД установлено административное наказание в виде штрафа:
- от 8 000 до 20 000 рублей – для должностных лиц;
- от 20 000 до 40 000 рублей – для ИП;
- от 50 000 до 90 000 рублей – для юридических лиц.
