Как компаниям уничтожать персональные данные с 1 марта 2023 года

Опубликовано: Подсказки бухгалтеру
Все работодатели обязаны уведомлять ркн об обработке персональных данных

За персональными данными стоит человек

Существенный блок изменений, внесенных Федеральным законом № 266-ФЗ от 14 июля 2022 года, направлен на то, чтобы восстановить баланс интересов оператора и гражданина, чьи персональные данные данные обрабатываются. 

На вебинаре, посвященном новым требованиям российского законодательства, представители Роскомнадзора отметили, что изменения были внесены, в том числе, с целью снизить число случаев, когда человек, находящийся в заведомо зависимом положении от операторов, вынужден давать «отмашку» на обработку информации о себе, и зачастую такое «согласие» не является ни добровольным ни информированным.

Достичь указанных целей должны следующие изменения закона:

Новые требования к содержанию договоров

Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы их субъекта. Также запрещены условия, допускающие в качестве условия заключения договора бездействие гражданина. Иными словами, согласие на их обработку теперь не может предполагаться «по умолчанию» (например, в случаях, когда человек, переходя на какую-либо страницу веб-сайта считается автоматически давшим такое согласие).  (п. 5 ч. 1 ст. 6 152-ФЗ).

Также нельзя забывать о действующем запрете на отказ в заключении договора с потребителем в случае, когда предоставление персональных данных не требуется по закону и не являются необходимыми для исполнения договора, и потребитель не желает такие данные предоставлять. Запрет установлен Федеральным законом О защите прав потребителей № 2300-1 от 07.02.1992, а за его несоблюдение в КоАП РФ недавно введены новые административные штрафы, размер которых может доходить до 10 тысяч рублей для должностных лиц и до 50 тысяч рублей для юридических лиц.

Запрет понуждения к сдаче биометрии

Отныне предоставление биометрических данных не может быть обязательным, а оператор не вправе отказывать в обслуживании в случае несогласия субъекта предоставить биометрические персональные данные и (или) дать согласие на их обработку за исключением случаев, предусмотренных законом (новая ч. 3 ст. 11 152-ФЗ).

Новый запрет может затронуть самые разные сферы жизни граждан. Например, при заключении договора с фитнес-клубом гражданин теперь может отказаться от предоставления отпечатка пальца или своего фотоизображения, которые часто используются для автоматизации прохода в клуб. Такой отказ не должен привести к невозможности заключения договора, в связи с чем фитнес-клубу как оператору необходимо будет найти иные способы взаимодействия с клиентом для обеспечения его прохода в клуб.

Сокращен срок ответа оператора гражданину

Срок ответа оператора на обращения гражданина сократился с 30 дней до 10 рабочих дней. Такой короткий срок позволит гражданам оперативно принимать меры реагирования в случае нарушения их законных прав и интересов. Так же быстро оператор обязан будет отвечать и Роскомнадзору. 

Когда компании должны уничтожать персональные данные

С 1 марта для организаций и ИП, обрабатывающих персональные данные физлиц, в том числе и для работодателей, был изменен порядок уничтожения персональных данных. Теперь компании должны подтверждать факт уничтожения таких данных в целях пресечения их незаконной обработки. Ранее никаких требований к документальному оформлению факта уничтожения персональных данных законодательством установлено не было. 

Обязанность по уничтожению персональных данных возникает в следующих случаях (ч.ч. 3−5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

  • при необоснованном получении персональных данных (например, получение персданных физлица без его согласия);
  • при неправомерной обработке персональных данных (незаконная передача персданных третьим лицам, необеспечение сохранности данных и т.д.);
  • при достижении целей обработки персональных данных (например, при истечении срока действия ранее исполненного договора);
  • при отзыве субъектом персональных данных согласия на обработку его персональных данных.

В первых двух случаях компания обязана незамедлительно прекратить неправомерную обработку персональных данных и обеспечить правомерность обработки персональных данных. Если обеспечить законность обработки не удается, компания должна уничтожить имеющиеся в ее распоряжении персональные сведения, которые обрабатываются с нарушением установленных законодательством требований. 

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

  1. С 1 марта 2023 года изменен порядок уничтожения персональных данных.
  2. Теперь компании должны подтверждать факт уничтожения персданных в целях пресечения их незаконной обработки.
  3. Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных.
  4. Способ уничтожения персональных сведений компания выбирает самостоятельно.
  5. Если обработка персональных данных осуществляется вручную, без применения компьютеров, то их уничтожение нужно подтверждать специальным актом об уничтожении.
  6. Если компания обрабатывает персональные данные с использованием компьютерной техники, то их уничтожение должен подтверждать акт и выгрузка из журнала регистрации событий в информационной системе персональных данных.
  7. Форму акта об уничтожении персональных данных компания может составить в произвольной форме.
  8. Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Также уничтожению подлежат персональные данные, цель обработки которых была достигнута, и данные, согласие на обработку которых было отозвано. В этих случаях обеспечивать правомерность обработки персональных данных не требуется – данные попросту уничтожаются.

Персональные данные

Персональные данные — это информация, относящаяся к определенному лицу, которое может быть идентифицировано по этой информации

Защита персональных данных является важной задачей в современном мире, особенно с учетом новых технологий и возможностей передачи данных через сеть Интернет

С 1 марта 2023 года в России вступает в силу новое законодательство о персональных данных. Оно предусматривает дополнительные требования к обработке и защите персональных данных.

Операторы и обязанности

Операторами персональных данных являются организации, осуществляющие обработку персональных данных. Они обязаны обеспечить защиту персональных данных от несанкционированного доступа, изменения, уничтожения или распространения. Теперь операторы обязаны вести журналы обработки персональных данных и обеспечить их целостность.

Операторы также обязаны предоставить информацию о своей политике в отношении персональных данных и о мерах, предпринятых для их защиты. Они должны уведомлять субъектов персональных данных о целях и способах обработки и использования их данных.

Сроки хранения персональных данных

Новое законодательство устанавливает сроки хранения персональных данных. Операторы должны уничтожать персональные данные, если они стали ненужными для достижения целей их обработки, или если срок их хранения истек. Определенные категории персональных данных, такие как данные о рождении или паспортные данные, могут храниться в течение определенного периода, указанного в законе.

Передача персональных данных

Трансграничная передача персональных данных теперь требует дополнительных мер безопасности и соответствия. Операторы должны обеспечить защиту персональных данных при их передаче за пределы Российской Федерации и уведомить уполномоченный орган о такой передаче.

Операторы также обязаны уведомить субъектов персональных данных о передаче их данных за пределы России, если это предусмотрено законодательством.

Муниципальные службы и персональные данные

Муниципальные службы также подлежат новым требованиям по обработке персональных данных. Они обязаны обеспечить защиту персональных данных при их обработке и использовании.

Операторы муниципальных служб должны внести изменения в свою политику обработки персональных данных и обеспечить соответствие новым требованиям законодательства.

Будущие изменения

Новое законодательство о персональных данных является важным шагом в обеспечении защиты персональных данных граждан. Оно предусматривает дополнительные меры безопасности и права субъектов персональных данных.

В будущем могут быть внесены дополнительные изменения в законодательство о персональных данных с целью улучшения защиты персональных данных и соответствия международным стандартам.

Что делать операторам

Во избежание нарушений операторами внесенных изменений в законодательство и новых подзаконных актов Роскомнадзора, необходимо провести ряд мероприятий, в частности:

  • Проверить, зарегистрировано ли ваше юридическое лицо в реестре Роскомнадзора на сайте ведомства, и если нет – зарегистрироваться.
  • Провести внутренний анализ и корректировку действующих договоров с клиентами, а также шаблонов типовых договоров. 
  • Дополнить новыми положениями политику конфиденциальности и иные внутренние нормативные акты.
  • Актуализировать шаблоны согласий на обработку персональных данных, обеспечив, чтобы их тексты были не только конкретными, информированными и сознательными, то также предметными и однозначными.
  • Составить и утвердить положение о защите персональных данных, если такое положение   отсутствует в компании. 
  • Адаптировать свои системы к новым требованиям в части подтверждения уничтожения данных (приказ Роскомнадзора «Об утверждении требований к подтверждению уничтожения персональных данных», который вступит в силу с 1 марта 2023).
  • Провести оценку вреда в соответствии с новыми требованиями РКН (проект от 25 августа 2022 года приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (планируется вступление в силу 1 марта 2023 года). 

Залогом успеха в соблюдении операторами законодательства, включая изменения 2022 года, является не просто формальное соблюдение буквы закона. Не стоит забывать о том, что целью законодателя, в первую очередь, является соблюдение прав и свобод российских граждан, передающих свои персональные данные операторам, что может быть достигнуто совместными усилиями всех участников соответствующих правоотношений.
 

Марина Материк

Подтверждение уничтожения персональных данных: зачем это нужно

Подтверждение уничтожения персональных данных — это процесс, который гарантирует, что ПД были уничтожены согласно
законодательству. Акт об уничтожении подтверждает то, что личная информация была действительно стёрта и не подлежит
восстановлению. Содержание документа регулируется Приказом Роскомнадзора от 28.10.2022 № 179. Сам акт составляется в
свободной форме. 

Уничтожение персональных данных является одним из аспектов защиты цифровой информации, поэтому подтверждение ПД
закрепили на законодательном уровне. Этот процесс должен быть интегрирован с другими мерами, такими как ограничение
доступа к данным и обеспечение их конфиденциальности.

Уточнение порядка трансграничной передачи данных

В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.

Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).

Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.

Уведомление об изменении персональных данных: новый срок

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в
Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.

Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении
представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта
2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в
Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении
используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180

Изменения в работе с персональными данными с 1 марта 2023 года

С 1 марта 2023 года вступил в силу ряд нормативных правовых актов, которые необходимо учитывать работодателю при работе с персональными данными работников.

Рассмотрим изменения подробнее.

1. Оценка вреда, который может быть причинен субъектам персональных данных

Работодателю необходимо проводить оценку вреда, который может быть причинен субъектам персональных данных (работникам) в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон от 27.07.2006 № 152-ФЗ) (п. 5 ч.1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Оценивать вероятный вред нужно при обработке персональной информации в информационных системах (п. 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119).

Оценка вреда осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой работодателем (п. 1 Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» , утвержденных Приказом Роскомнадзора от 27.10.2022 № 178 (далее — Требования)).

Работодатель для целей оценки вреда определяет одну из степеней вреда, который может быть причинен работнику: высокая, средняя или низкая (п. 2 Требований).

Результаты оценки оформляются актом оценки вреда (п. 3 Требований).

Подробнее об оценке вреда читайте в справке «Персональные данные работников».

2. Подтверждение уничтожения персональных данных

В случаях, установленных законодательством, работодатель обязан уничтожить персональные данные или обеспечить их уничтожение (ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Приказом Роскомнадзора от 28.10.2022 № 179 утверждены Требования к подтверждению уничтожения персональных данных.

Подтвердить факт уничтожения персональных данных можно актом об уничтожении персональных данных либо выгрузкой из журнала регистрации событий в информационной системе персональных данных.

Обратите внимание, что способ подтверждения зависит от того, как осуществляется обработка персональных данных: с использованием средств автоматизации или без использования средств автоматизации. Еще больше информации об уничтожении персональных данных — в справке «Обработка персональных данных работника»

Еще больше информации об уничтожении персональных данных — в справке «Обработка персональных данных работника».

3. Взаимодействие с госорганами по вопросам защиты персональных данных

Работодатель обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ).

Порядок взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, утвержден Приказом ФСБ России от 13.02.2023 № 77.

В случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, работодатель обязан с момента выявления такого инцидента уведомить Роскомнадзор (ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Порядок и условия взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных в соответствии утвержден Приказом Роскомнадзора от 14.11.2022 № 187.

В системе «Помощник кадровика: Эксперт» содержится справка «Защита персональных данных работника».

У вас еще не установлена система «Помощник кадровика: Эксперт»?

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

  • наименование организации или ФИО предпринимателя и их адрес местонахождения;
  • ФИО лиц, чьи персональные данные были уничтожены;
  • ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
  • способ уничтожения персональных данных;
  • причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

  • ФИО лиц, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных и дату их уничтожения.

Если выгрузка из журнала не позволяет указать все эти сведения, то недостающие сведения нужно указать в акте об уничтожении. Акт об уничтожении и выгрузка подлежат хранению в течение 3 лет с момента уничтожения персональных данных. 

Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Сроки и требования

С 1 марта 2023 года вступают в силу новшества в законодательстве о персональных данных, которые касаются сроков и требований для операторов, обрабатывающих персональные данные граждан Российской Федерации.

Сроки

  • Операторы должны уведомить Роскомнадзор о начале обработки персональных данных не позднее чем за 30 дней до начала такой обработки.
  • Операторы должны уведомить Роскомнадзор о прекращении обработки персональных данных не позднее чем за 3 рабочих дня после прекращения.
  • Операторы должны уведомить субъектов персональных данных о смене целей обработки их персональных данных не позднее чем за 10 дней до внесения таких изменений.
  • Операторы должны уведомить субъектов персональных данных о факте утраты или уничтожения их персональных данных не позднее чем за 3 рабочих дня после такой утраты или уничтожения.

Требования

  • Операторы обязаны обеспечивать защиту персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
  • Операторы должны определить лиц, ответственных за обработку персональных данных, и уведомить Роскомнадзор о таких лицах.
  • Операторы должны предусмотреть меры по обеспечению безопасности персональных данных при их передаче через информационно-телекоммуникационные сети, включая сеть Интернет.
  • Операторы должны предоставить субъектам персональных данных возможность получения информации об обработке их персональных данных, включая информацию о целях обработки, органах, осуществляющих обработку, и о лицах, которым могут быть переданы их персональные данные.
  • Операторы должны получить согласие субъекта персональных данных на обработку его персональных данных, если такое согласие требуется в соответствии с федеральным законом или на основании его поручения.
  • Операторы должны уведомить субъектов персональных данных о существовании иностранных государств или иностранных организаций, которым может быть переданы их персональные данные при их обработке.

Согласие на обработку персональных данных без их распространения

С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.

Содержание согласия на обработку персональных данных

Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):

  • фамилию, имя, отчество субъекта персональных данных;
  • адрес субъекта персональных данных;
  • номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных;
  • номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Оформление согласия на обработку персональных данных

Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:

  • при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
  • при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
  • при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
  • и т.д.

Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.

Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.

Похожие записи:

  1. В каких случаях и в какие сроки надо подавать сведения по форме сзв-тд
  2. Приказ о назначении пособия по уходу за ребенком до 1,5 лет
  3. Правильно систематизируем, формируем и уничтожаем кадровые документы
  4. Самые длинные отпуска: кто в россии имеет право отдыхать 80 дней в год
0
Понравилась статья? Поделиться с друзьями:
Бухгалтерский фокус

Похожие записи:

  1. В каких случаях и в какие сроки надо подавать сведения по форме сзв-тд
  2. Приказ о назначении пособия по уходу за ребенком до 1,5 лет
  3. Правильно систематизируем, формируем и уничтожаем кадровые документы
  4. Самые длинные отпуска: кто в россии имеет право отдыхать 80 дней в год
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.