Научим разбираться в исламских финансах
Научим разбираться в исламских финансах
Пройти курс

Как уничтожить персональные данные сотрудников и не нарушить закон

Как уничтожить персональные данные сотрудников и не нарушить закон

1 марта 2023 года вступил в силу приказ Роскомнадзора, согласно которому все владельцы бизнеса обязаны вовремя уничтожать персональные данные сотрудников и подтверждать это актом. Раньше это требование не было обязательным, теперь за неуничтоженные вовремя данные можно получить штраф.

В статье расскажем, когда и какие данные нужно уничтожать, в какие сроки, и как это сделать правильно, и какими документами подтвердить.

Содержание

    Когда нужно уничтожать персональные данные сотрудников

    Персональные данные (ПД) – это любая информация и документы, позволяющие идентифицировать человека. К ним относятся ФИО, дата рождения, СНИЛС, ИНН, адрес, телефон, семейное положение, медицинская и генетическая информация, биометрия. При трудоустройстве сотрудник подписывает согласие на обработку ПД — этот пункт включен в трудовой договор или резюме. 
    Некоторые данные о физлицах не являются ПД без связи с другими. Например, номер телефона не относится к персональным данным, но в комплекте с ФИО человека приобретает такой статус. 
    Уничтожение ПД, согласно закону № 152 ФЗ «О персональных данных», – это действия, после которых данные невозможно восстановить на цифровом или бумажном носителе. В ст. 21 Закона «О персональных данных» прописаны случаи, когда и в какие сроки работодатель обязан уничтожить ПД сотрудников. Ниже расскажем об этом подробно. 
    Выявление неправомерной обработки данных — 10 рабочих дней. Например, отдел кадров без согласия сотрудницы хранит копию свидетельства о рождении ее ребенка-инвалида. Бухгалтеру так удобнее: не нужно каждый раз запрашивать документы, чтобы оформить ей отпуск по уходу за ребенком. Но, если сотрудница не хочет, чтобы эту информацию хранили в компании, то может потребовать ее уничтожить. Помимо работников, выявить неправомерный сбор и хранение ПД могут директор при внутреннем аудите или Роскомнадзор при проверке.
    Достижение целей обработки данных — 30 рабочих дней. Например, организация должна удалить резюме соискателей после закрытия вакансии, а личные данные сотрудников — после их увольнения. 
    Отзыв согласия на обработку данных – 30 рабочих дней. После увольнения человек может сам потребовать работодателя удалить его персональные данные. Для этого нужно написать заявление на отзыв ПД. В течение месяца после получения заявления работодатель, если еще не сделал этого, должен уничтожить данные и выслать бывшему сотруднику акт об уничтожении ПД, заверенный подписью.
    Требование уничтожить ПД – 7 рабочих дней. Если работодатель получил данные сотрудника неправомерно, то должен их уничтожить. Например, отдел кадров перед трудоустройством попросил сотрудника предоставить справку о несудимости, но по закону для работы по этой специальности такая справка не обязательна. 
    Работодатель не должен собирать и хранить подобные данные, но в реальности многие это делают, поэтому сотрудники имеют право сами требовать их уничтожения.
    Иногда работодатель не может уничтожить ПД в течение установленного срока: например, потому что сайт с данными сотрудников взломали мошенники. В этом случае нужно заблокировать и удалить данные в течение полугода.
    Кроме требований Закона «О персональных данных», существуют законы об архивах, которые контролируют сроки хранения документов. Например, работодатель обязан хранить приказы о приеме на работу, переводе, увольнении и другие подобные документы от 50 до 75 лет. Уничтожать их раньше установленных сроков нельзя.


    Как уничтожить персональные данные сотрудника

    Данные сотрудников можно хранить на бумаге и цифровых носителях: в бухгалтерских и кадровых программам, страницах в соцсетях и сайте компании. Алгоритм уничтожения персональных данных выглядит так:
    • ответственное лицо формирует список документов для уничтожения;
    • документы сверяют со списком уничтожают их утвержденным компанией способом;
    • составляют акт об уничтожении документов;
    • электронные носители, если они есть, списывают и подтверждают это специальным актом. 
    Перед уничтожением документов, нужно прописать в локальных актах компании, например, в Положении об уничтожении ПД, основания для уничтожения и назначить приказом уполномоченное лицо, отвечающее за уничтожение ПД.
    Пример положения о порядке уничтожения ПД
    Так выглядит Положение о порядке уничтожения ПД (источник: www.mipt.ru)
    После этого нужно уничтожить данные. Бумажные документы можно сжечь, измельчить с помощью машинки, или отдать на утилизацию в специальную организацию, которая выдаст квитанцию об уничтожении документов. Электронные данные можно стереть с помощью специальных программ.
    Некоторые компании отдают бумажные документы в агентства по сбору макулатуры, но это небезопасно: такие компании не измельчают бумагу, и документы могут попасть к кому угодно.

    Составить акт об уничтожении ПД. Раньше Роскомнадзор только рекомендовал составлять акт, с 1 марта 2023 года это стало обязательным. В нем должны быть указаны:
    • название компании/ФИО работодателя и адрес;
    • наименование юрлица, которое осуществляет обработку ПД по поручению работодателя, если такое есть;
    • ФИО сотрудника, чьи данные уничтожили;
    • ФИО и должности лиц, которые уничтожили данные;
    • перечень категорий уничтоженных данных: счета-фактуры, трудовые договора и т.д.;
    • название материального носителя с указанием количества листов;
    • название информационной системы, из которой уничтожены данные;
    • причина, способ и дата уничтожения данных;
    • подписи лиц, уничтоживших ПД.
    Акт можно составить в бумажном и электронном виде с цифровой подписью.
    Пример акта об уничтожении ПД на электронном носителе
    Так выглядит акт об уничтожении ПД на электронном носителе (источник: www.stylishbag.ru)
    После уничтожения электронных данных, нужно сделать выгрузку из журнала регистрации событий в информационной системе. В выгрузке хранятся данные работодателя и сотрудника, перечень уничтоженных документов, дата уничтожения ПД. В бухгалтерских и кадровых программах этот документ формируется автоматически, но в некоторых из них нельзя сделать выгрузку в точном соответствии с требованиями Роскомнадзора: в этом случае недостающие сведения нужно внести в акт.
    После уничтожения данных нужно уведомить об этом сотрудника или его представителя в письменной форме, к письму приложить копию акта. Акты об уничтожении ПД и выгрузку из журнала нужно хранить в течение трех лет.
    Если при проверке Роскомнадзором акт об уничтожении данных отсутствует, или в нем есть ошибки и нарушения установленных сроков, компанию и должностных лиц оштрафуют.
    Ответственное лицоПервое нарушениеПовторное нарушение
    Должностное лицоот 8 до 20 тыс. ₽от 30 до 50 тыс. ₽
    ИПот 20 до 40 тыс. ₽от 50 до 100 тыс.₽
    Организацияот 50 до 90 тыс. ₽от 300 до 500 тыс. ₽
    Чтобы избежать лишних трат, нужно внимательно следить за сроками уничтожения ПД и правильно оформлять акты об их уничтожении. Часто Роскомнадзор приходит в компании с проверками из-за жалоб сотрудников, поэтому полезно периодически устраивать внутренний аудит и проверять, не хранятся ли в компании личные данные, которые забыли вовремя уничтожить.

    Коротко, увлекательно и с пользой о деньгах — в нашем телеграм-канале https://t.me/Life_Akbars. Присоединяйтесь!
    0 комментариев
    Вам будет интересно
    14.03
    Законы для бизнеса
    Как бизнесу защититься от утечек и не нарваться на штраф
    15.11
    Живем по закону
    Как номера россиян попадают в базы мошенников и как этому противостоять
    09.09
    Живем по закону
    Как обезопасить личную переписку
    22.04
    Развиваем
    Электронный документооборот
    04.08
    Законы для бизнеса
    Новые правила работы с персональными данными сотрудников

    Читайте также