Экспертный материал
Алексей Залецкий | Эксперт в области информационной безопасности
Согласно новым требованиям, которые вступили в силу 1 марта 2023 года, каждая российская компания должна разработать и внедрить положение о персональных данных. Это требование обусловлено ростом важности и защищенности персональных данных. Как избавиться от документов без штрафа от инспектора, рассказываю в этой статье.Когда необходимо уничтожение документов, содержащих персональные данные
Положение о персональных данных – это документ, в котором компания устанавливает правила сбора, хранения, обработки и передачи персональных данных. Оно должно содержать требования к защите персональных данных, процедуры для их обработки, а также описание мер, которые компания предпринимает для обеспечения безопасности персональных данных.
Это требование распространяется на все компании, в том числе на малые и средние предприятия. Нарушение требований по обработке персональных данных может привести к штрафам и уголовной ответственности.
Существует несколько условий, при которых пора уничтожать персональные данные:
-
Истечение срока хранения данных
Компания обязана хранить персональные данные только в течение определенного периода времени, установленного законом. Когда этот срок истекает, организация должна уничтожить эту информацию.
-
Цель, для которой были собраны персональные данные, была достигнута или перестала быть актуальной
Если компания больше не нуждается в персональных данных для своей деятельности или цель, для которой они были собраны, больше не актуальна, то эти сведения должны быть уничтожены в срок до 30 дней (ч. 4 ст. 21 Закона № 152-ФЗ).
Кстати закон устанавливает и другой период хранения. Например, приказы об увольнении хранят 50-75 лет. Это значит, что даже после ухода сотрудника из компании, организация хранит эти документы в установленный срок.
-
Объект персональных данных потребовал их уничтожение
Если человек, о котором хранятся персональные данные, запросил их уничтожение, компания обязана выполнить его запрос.
-
Персональные данные получены незаконно
Если персональные данные были получены компанией незаконным способом, то они должны быть уничтожены.
-
Нарушение правил обработки персональных данных
Если компания нарушила правила обработки персональных данных, например, допустила утечку информации или нарушила права субъектов данных, она обязана уничтожить персональные данные.
Важно помнить, что компания должна уничтожить персональные данные безопасным способом, чтобы предотвратить возможность их восстановления. Также она должна вести учет этих сведений в соответствии с законодательством.
Все из перечисленных данных нужно обязательно уничтожить, в то время как другие можно хранить в течение длительного времени или даже вечно в зависимости от их характера, например:
-
документы и контракты, связанные с последующими правовыми спорами или налоговыми проверками, поэтому могут храниться на протяжении нескольких лет;
-
общие бизнес-документы: бухгалтерские и финансовые отчеты, договоры с поставщиками и подрядчиками;
-
клиентские данные, например, касающиеся истории заказов.
В целом, компании обязаны следить за персональными данными, которые они собирают, используют и хранят, и уничтожить данные, которые больше не нужны или их хранение более не соответствует законодательству.
Способы уничтожения персональных данных
Этот процесс зависит от типа носителя данных. Если информация находилась на бумажных носителях, сотрудники могут уничтожить ее путем измельчения (например, с помощью шредера) на мелкие части – такие, чтобы потом сведения нельзя было восстановить.
Чтобы уничтожить информацию, записанную на машиночитаемые носители, им нужно нанести неустранимое физическое повреждение. Это означает, что после этого возможность повторного использования или восстановления сведений будет исключена. Для этого необходимо деформировать носитель или нарушить его целостность.
Если файлы с персональными данными содержатся на жестком диске, нужно удалить их средствами операционной системы. Для этого необходимо произвести форматирование носителя вызовом специальной команды на компьютере или с помощью программных продуктов. Программное обеспечение, используемое для электронного уничтожения персональных данных, позволяет удалять не только файлы, но и метаданные, такие как дата и время создания, изменения или открытия файла. Это помогает дополнительно обезопасить личные сведения, удостоверяя обеспечение конфиденциальности.
Уничтожение персональных данных должно осуществляться безопасным и надежным способом, чтобы предотвратить возможность их восстановления и защитить личную информацию получателя. Компании также могут обратиться к профессиональным фирмам, которые предоставляют услуги электронного уничтожения данных.
Как уничтожить персональные данные: пошаговый алгоритм
Шаг 1: установите порядок уничтожения
Разработайте локальный акт об уничтожении персональных данных. В нем нужно прописать, при каких случаях организация осуществляет это удаление. Определите способы и инструменты, которые будете для этого использовать. Например, бумажные носители можно уничтожить с помощью шредера.
Также можно заключить со специализированной организацией договор об уничтожении документов и отдать ей выполнение этой процедуры.
Шаг 2: создайте комиссию по уничтожению персональных данных
Как правило, носители, которые содержат персональные данные, уничтожайте в специально отведенном для этого помещении. Выполнение ложится на специальную комиссию, чей состав и полномочия утверждены соответствующим приказом. Она составляет перечень документов для уничтожения с учетом сроков их хранения.
Шаг 3: зафиксируйте факт уничтожения
Комиссия отражает в специальном акте, что уничтожила документы, содержащие персональные данные сотрудников или клиентов. К этому акту с 1 марта 2023 года Роскомнадзором установлены специальные требования.
Что такое акт об уничтожении и как его составить
Акт об уничтожении – это документ, который компания оформляет после того, как персональные данные были уничтожены. Он содержит информацию о процедуре уничтожения, датах, способах, а также сведениях, которые были удалены. Оформление акта об уничтожении обязательно для компаний, осуществляющих обработку персональных данных, так как это помогает подтвердить соблюдение требований законодательства.
В акте об уничтожении должны быть:
-
дата уничтожения персональных данных;
-
краткое описание процедуры уничтожения персональных данных, включая методы и инструменты;
-
информация о персональных данных, которые были уничтожены, включая идентификаторы, дату сбора и др;
-
подпись уполномоченного сотрудника компании, ответственного за уничтожение персональных данных;
-
имя и подпись того, кто выполнил уничтожение, а также информация о том, кто его свидетельствовал;
-
дата подписания документа.
Кроме того, акт об уничтожении должен иметь номер и должен быть сохранен в течение установленного законодательством периода хранения. Копия акта об уничтожении должна быть отправлена субъекту персональных данных в случае запроса, а также может использоваться в качестве доказательства соблюдения компанией требований законодательства о персональных данных.
Кстати, акты об уничтожении персональных данных нужно хранить так же, как и бумажные версии – 3 года после факта уничтожения.
Важно отметить, что компания должна предоставить достаточно детальную информацию в акте об уничтожении и убедиться, что его подписал уполномоченный сотрудник. В случае возникновения вопросов о соблюдении требований законодательства, этот документ может быть использован в качестве доказательства выполнения обязательств и защиты информации.
