1 марта 2023 года вступил в силу приказ Роскомнадзора, согласно которому все владельцы бизнеса обязаны вовремя уничтожать персональные данные сотрудников и подтверждать это актом. Раньше это требование не было обязательным, теперь за неуничтоженные вовремя данные можно получить штраф.
В статье расскажем, когда и какие данные нужно уничтожать, в какие сроки, как это сделать правильно и какими документами подтвердить.
Когда нужно уничтожать персональные данные сотрудников
Персональные данные (ПД)– это любая информация и документы, позволяющие идентифицировать человека. К ним относятся ФИО, дата рождения, СНИЛС, ИНН, адрес, телефон, семейное положение, медицинская и генетическая информация, биометрия. При трудоустройстве сотрудник подписывает согласие на обработку ПД — этот пункт включен в трудовой договор или резюме.
Некоторые данные о физлицах не являются ПД без связи с другими. Например, номер телефона не относится к персональным данным, но в комплекте с ФИО человека приобретает такой статус.
Уничтожение ПД, согласно закону № 152 ФЗ «О персональных данных», – это действия, после которых данные невозможно восстановить на цифровом или бумажном носителе. В ст. 21 Закона «О персональных данных» прописаны случаи, когда и в какие сроки работодатель обязан уничтожить ПД сотрудников. Ниже расскажем об этом подробно.
Выявление неправомерной обработки данных— 10 рабочих дней. Например, отдел кадров без согласия сотрудницы хранит копию свидетельства о рождении ее ребенка-инвалида. Бухгалтеру так удобнее: не нужно каждый раз запрашивать документы, чтобы оформить ей отпуск по уходу за ребенком. Но, если сотрудница не хочет, чтобы эту информацию хранили в компании, то может потребовать ее уничтожить. Помимо работников, выявить неправомерный сбор и хранение ПД могут директор при внутреннем аудите или Роскомнадзор при проверке.
Достижение целей обработки данных— 30 рабочих дней. Например, организация должна удалить резюме соискателей после закрытия вакансии, а личные данные сотрудников — после их увольнения.
Отзыв согласия на обработку данных – 30 рабочих дней. После увольнения человек может сам потребовать работодателя удалить его персональные данные. Для этого нужно написать заявление на отзыв ПД. В течение месяца после получения заявления работодатель, если еще не сделал этого, должен уничтожить данные и выслать бывшему сотруднику акт об уничтожении ПД, заверенный подписью.
Требование уничтожить ПД– 7 рабочих дней. Если работодатель получил данные сотрудника неправомерно, то должен их уничтожить. Например, отдел кадров перед трудоустройством попросил сотрудника предоставить справку о несудимости, но по закону для работы по этой специальности такая справка не обязательна.
Работодатель не должен собирать и хранить подобные данные, но в реальности многие это делают, поэтому сотрудники имеют право сами требовать их уничтожения.
Иногда работодатель не может уничтожить ПД в течение установленного срока: например, потому что сайт с данными сотрудников взломали мошенники. В этом случае нужно заблокировать и удалить данные в течение полугода.
Кроме требований Закона «О персональных данных», существуют законы об архивах, которые контролируют сроки хранения документов. Например, работодатель обязан хранить приказы о приеме на работу, переводе, увольнении и другие подобные документы от 50 до 75 лет. Уничтожать их раньше установленных сроков нельзя.
Как уничтожить персональные данные сотрудника
Данные сотрудников можно хранить на бумаге и цифровых носителях: в бухгалтерских и кадровых программам, страницах в соцсетях и сайте компании. Алгоритм уничтожения персональных данных выглядит так:
- ответственное лицо формирует список документов для уничтожения;
- документы сверяют со списком уничтожают их утвержденным компанией способом;
- составляют акт об уничтожении документов;
- электронные носители, если они есть, списывают и подтверждают это специальным актом.
Перед уничтожением документов, нужно прописать в локальных актах компании, например, в Положении об уничтожении ПД, основания для уничтожения и назначить приказом уполномоченное лицо, отвечающее за уничтожение ПД.
После этого нужно уничтожить данные. Бумажные документы можно сжечь, измельчить с помощью машинки, или отдать на утилизацию в специальную организацию, которая выдаст квитанцию об уничтожении документов. Электронные данные можно стереть с помощью специальных программ.
Некоторые компании отдают бумажные документы в агентства по сбору макулатуры, но это небезопасно: такие компании не измельчают бумагу, и документы могут попасть к кому угодно.
Составить акт об уничтожении ПД. Раньше Роскомнадзор только рекомендовал составлять акт, с 1 марта 2023 года это стало обязательным. В нем должны быть указаны:
- название компании/ФИО работодателя и адрес;
- наименование юрлица, которое осуществляет обработку ПД по поручению работодателя, если такое есть;
- ФИО сотрудника, чьи данные уничтожили;
- ФИО и должности лиц, которые уничтожили данные;
- перечень категорий уничтоженных данных: счета-фактуры, трудовые договора и т.д.;
- название материального носителя с указанием количества листов;
- название информационной системы, из которой уничтожены данные;
- причина, способ и дата уничтожения данных;
- подписи лиц, уничтоживших ПД.
Акт можно составить в бумажном и электронном виде с цифровой подписью.
После уничтожения электронных данных нужно сделать выгрузку из журнала регистрации событий в информационной системе. В выгрузке хранятся данные работодателя и сотрудника, перечень уничтоженных документов, дата уничтожения ПД. В бухгалтерских и кадровых программах этот документ формируется автоматически, но в некоторых из них нельзя сделать выгрузку в точном соответствии с требованиями Роскомнадзора: в этом случае недостающие сведения нужно внести в акт.
После уничтожения данных нужно уведомить об этом сотрудника или его представителя в письменной форме, к письму приложить копию акта. Акты об уничтожении ПД и выгрузку из журнала нужно хранить в течение трех лет.
Если при проверке Роскомнадзором акт об уничтожении данных отсутствует, или в нем есть ошибки и нарушения установленных сроков, компанию и должностных лиц оштрафуют.
| Ответственное лицо | Первое нарушение | Повторное нарушение |
|---|---|---|
| Должностное лицо | от 8 до 20 тыс. ₽ | от 30 до 50 тыс. ₽ |
| ИП | от 20 до 40 тыс. ₽ | от 50 до 100 тыс.₽ |
| Организация | от 50 до 90 тыс. ₽ | от 300 до 500 тыс. ₽ |
Чтобы избежать лишних трат, нужно внимательно следить за сроками уничтожения ПД и правильно оформлять акты об их уничтожении. Часто Роскомнадзор приходит в компании с проверками из-за жалоб сотрудников, поэтому полезно периодически устраивать внутренний аудит и проверять, не хранятся ли в компании личные данные, которые забыли вовремя уничтожить.
Источник: LifeProfit
