Продукты
Продукты
close
Menu
02
База знаний
05
Услуги
01
О нас
04
2024
Контакты
phone
e-mail:
Обучение
03
Как настроить уничтожение персональных данных по закону
13.01.2023
Перед удалением ПД необходимо проверить основания и условия ликвидации. Чтобы ненамеренно не ликвидировать важные для бизнеса сведения, нужно наладить взаимодействие между отделами, где собираются и обрабатываются персональные данные (маркетинг, бухгалтерия, кадры и др.), и отделом информационной безопасности.
08/07/23
Артем Артемов
Журналист RB.RU
Что такое персональные данные
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Персональные данные (ПД) — сведения, которые сообщают ключевую информацию о гражданине. Например, Ф.И.О., дата рождения, адрес. В ст. 3 п. 1 Федерального закона от 27.07.2006 № 152 «О персональных данных» содержится более точное определение. Гражданин является субъектом персональных данных, а организация, собирающая и обрабатывающая сведения, называется «оператором ПД». Таким оператором ПД может считаться любая компания с собственной базой клиентов, так как люди сообщают свои личные данные при заполнении форм на сайте, подписке на рассылки, оформлении заказов в интернет-магазинах.
С 1 сентября 2022 года вступили поправки к ФЗ № 152, включающие в себя важные аспекты:
• Необходимость оповещения Роскомнадзора об утечке персональных данных.
• Оперативное реагирование на запросы, поступающие от субъектов ПД.
• Установлена обязанность публикации политики конфиденциальности на всех страницах, где субъект оставляет ПД. Этот документ должен содержать в себе категории и перечень обрабатываемых данных, сроки их хранения и цель обработки.
• Необходимость оповещения Роскомнадзора об утечке персональных данных.
• Оперативное реагирование на запросы, поступающие от субъектов ПД.
• Установлена обязанность публикации политики конфиденциальности на всех страницах, где субъект оставляет ПД. Этот документ должен содержать в себе категории и перечень обрабатываемых данных, сроки их хранения и цель обработки.
Сроки хранения и уничтожения ПД
Персональные данные хранятся в компании с момента их получения до тех пор, пока организация не достигнет цели их обработки. Это может быть оказание услуг по договору, оформление сделки, финансовые переводы и т. д. После проведения работ ПД должны быть уничтожены в течение 30 дней. Также следует удалить сведения, если исчезла необходимость достигать запланированных целей. Допустим, не состоялось мероприятие, для которого ранее собирались данные участников.
По закону обработка ПД возможна только с согласия субъекта персональных данных. Если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан удалить сведения не позднее 30 дней. Между тем есть обстоятельства, когда оператор по закону должен продолжить работу с личными данными и после отзыва согласия.
Также человек имеет право обратиться к оператору с требованием прекратить обрабатывать его персональные данные. В таком случае на осуществление этой задачи есть только 10 рабочих дней.
Оператор иногда может самостоятельно выявить нарушения при использовании ПД. К примеру, если у клиента были запрошены сведения, которые не требуется для достижения цели обработки. В таком случае неиспользуемую информацию необходимо удалить в течение 10 рабочих дней.
При первом нарушении правил предусмотрен штраф до 100 тыс. рублей, при повторном — до 300 тыс. рублей.
По закону обработка ПД возможна только с согласия субъекта персональных данных. Если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан удалить сведения не позднее 30 дней. Между тем есть обстоятельства, когда оператор по закону должен продолжить работу с личными данными и после отзыва согласия.
Также человек имеет право обратиться к оператору с требованием прекратить обрабатывать его персональные данные. В таком случае на осуществление этой задачи есть только 10 рабочих дней.
Оператор иногда может самостоятельно выявить нарушения при использовании ПД. К примеру, если у клиента были запрошены сведения, которые не требуется для достижения цели обработки. В таком случае неиспользуемую информацию необходимо удалить в течение 10 рабочих дней.
При первом нарушении правил предусмотрен штраф до 100 тыс. рублей, при повторном — до 300 тыс. рублей.
Как организовать удаление персональных данных
Перед удалением ПД необходимо проверить основания и условия ликвидации. Чтобы ненамеренно не ликвидировать важные для бизнеса сведения, нужно наладить взаимодействие между отделами, где собираются и обрабатываются персональные данные (маркетинг, бухгалтерия, кадры и др.), и отделом информационной безопасности.
Для стандартных процедур обработки данных можно организовать автоматизированное удаление информации. Но если уничтожение вызвано расторжением контракта или отзывом согласия об обработке, важно определить место хранения необходимых сведений и к какой группе субъектов относится их владелец. После определения места хранения информации, запрос передается ответственным лицам. Администраторы удаляют ПД в базах данных и резервных копиях, затем осуществляется проверка с подтверждением факта их уничтожения. Параллельно этому ликвидируются бумажные носители. Если П Д обрабатывают третьи лица, например, поставщики услуг, они также обязаны удалить информацию в своих системах.
После ликвидации данных необходимо составить акт об уничтожении ПД или получить его от третьих лиц, которые участвовали в обработке информации.
Заключительным этапом является ответ владельцу персональных данных, если от него поступал запрос на удаление. Если есть возможность, нужно приложить соответствующий акт.
Для стандартных процедур обработки данных можно организовать автоматизированное удаление информации. Но если уничтожение вызвано расторжением контракта или отзывом согласия об обработке, важно определить место хранения необходимых сведений и к какой группе субъектов относится их владелец. После определения места хранения информации, запрос передается ответственным лицам. Администраторы удаляют ПД в базах данных и резервных копиях, затем осуществляется проверка с подтверждением факта их уничтожения. Параллельно этому ликвидируются бумажные носители. Если П Д обрабатывают третьи лица, например, поставщики услуг, они также обязаны удалить информацию в своих системах.
После ликвидации данных необходимо составить акт об уничтожении ПД или получить его от третьих лиц, которые участвовали в обработке информации.
Заключительным этапом является ответ владельцу персональных данных, если от него поступал запрос на удаление. Если есть возможность, нужно приложить соответствующий акт.
Когда у Роскомнадзора возникают вопросы к компании
Роскомнадзор является государственным органом по защите прав субъектов ПД. Для осуществления контроля за соблюдением законов он может проводить как плановые, так и внеплановые поверки.
Предусмотрен ли перечень работников компании, имеющих доступ к персональным данным.
01
Ознакомлены ли сотрудники с федеральным законом № 152-ФЗ «О персональных данных.
02
Проводился ли в компании внутренний аудит работы с ПД.
03
Опубликована ли политика обработки данных на всех страницах сайта, где происходит сбор личной информации.
04
На что обращает внимание Роскомнадзор:
Согласие на обработку ПД необходимо подписывать не только с клиентами и подписчиками, но и со всеми работниками компании, так как они также являются субъектами персональных данных. Некоторые трудовые договоры включают в себя актуальные положения для новых сотрудников, но лучше оформить согласие отдельным документом.
Компании необходимо издать приказ о назначении ответственного за организацию обработки персональных данных, указать сотрудников, работающих с личной информацией. Чаще всего будет достаточно перечислить руководящий состав отделов, а также главного бухгалтера и гендиректора.
Политика обработки данных должна включать в себя все условия работы с персональными данными. Необходимо обозначить, какая информация собирается, цели сбора и cроки ее хранения. Политику обработки данных нужно разместить на всех страницах сайта, где посетители указывают личные сведения (это может быть форма обратной связи, регистрационная форма и др.)
Внутренний аудит поможет выявить слабые места компании и разработать действенную процедуру ликвидации персональных данных. Хотя аудит является необязательным, он может стать преимуществом при проверках Роскомнадзора.
Инвентаризация процессов сбора и обработки персональных данных, интеграция инструментов для обеспечения ИБ, удаление информации в положенные сроки помогут наладить внутренние процессы компании, соблюдать закон и не волноваться о штрафах и претензиях со стороны контролирующих органов.
Компании необходимо издать приказ о назначении ответственного за организацию обработки персональных данных, указать сотрудников, работающих с личной информацией. Чаще всего будет достаточно перечислить руководящий состав отделов, а также главного бухгалтера и гендиректора.
Политика обработки данных должна включать в себя все условия работы с персональными данными. Необходимо обозначить, какая информация собирается, цели сбора и cроки ее хранения. Политику обработки данных нужно разместить на всех страницах сайта, где посетители указывают личные сведения (это может быть форма обратной связи, регистрационная форма и др.)
Внутренний аудит поможет выявить слабые места компании и разработать действенную процедуру ликвидации персональных данных. Хотя аудит является необязательным, он может стать преимуществом при проверках Роскомнадзора.
Инвентаризация процессов сбора и обработки персональных данных, интеграция инструментов для обеспечения ИБ, удаление информации в положенные сроки помогут наладить внутренние процессы компании, соблюдать закон и не волноваться о штрафах и претензиях со стороны контролирующих органов.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме