Автор Элина Муханова
Прежде чем удалять персональные эти, нужно проверить основания и условия ликвидации. Очень важно наладить взаимодействие между отделами, собирающими и возделывающими ПД, и отделом (Отдел — таксономический ранг в ботанике, микологии и бактериологии, аналогичный типу в зоологии) информационной безопасности, чтобы случайно не ликвидировать сведения, которые необходимы для развития бизнеса.
Что такое персональные данные
Персональные данные (ПД) – это сведения, позволяющие идентифицировать личность гражданина. Например, Ф.И.О., номер телефона, адрес, серия и номер паспорта. Точное определение содержится в ст. 3 п. 1 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Сам гражданин – это субъект персональных данных, а организация, которая занимается сбором и обработкой сведений, называется «оператор ПД». По сути, это любая компания, у которой есть собственная база клиентов. Ведь люди оставляют информацию о себе, когда оформляют заказы в интернет-магазинах, подписываются на рассылки, регистрируются на различных сервисах, скачивают и запускают мобильные приложения.
Поправка к ФЗ № 152 от 1 сентября 2022 года затрагивает сразу четыре важных аспекта:
Уведомлять Роскомнадзор об утечке ПД.
Соблюдать сроки реагирования на запросы субъекта ПД.
Обязанность публиковать политику конфиденциальности на всех страницах, где происходит сбор ПД, а также указывать, какие именно данные подлежат обработке, в течение какого времени и с какой целью.
Причем под уничтожением понимаются действия, в результате которых невозможно восстановить ПД и идентифицировать человека.
Сроки хранения и уничтожения ПД
Компания имеет право хранить персональные данные, пока не достигнет цели их обработки. Это может быть проведение маркетингового исследования, организация конкурса, оказание услуг по договору и т. д. Как только запланированные работы выполнены, организация обязана уничтожить собранные сведения в течение 30 суток. Также удалить их придется, если достижение цели обработки больше не преследуется. Например, собрали фокус-группу, но от проведения исследования отказались.
По закону обрабатывать ПД можно в том числе с согласия их владельца. Если гражданин решит отозвать свое согласие на обработку, оператор должен будет удалить сведения о нем также в течение 30 дней. Однако есть ситуации, когда мы по закону обязаны продолжить обрабатывать персональные данные и после отзыва согласия.
Кроме того, человек может потребовать от оператора прекращения обработки ПД. В этом случае у оператора есть только 10 рабочих дней на проведение процедуры.
Бывают ситуации, когда оператор самостоятельно выявляет нарушения при использовании персональных данных. Например, сотрудник запросил у клиента сведения, которые не требуются для достижения цели обработки. Удалить лишнюю информацию необходимо в течение 10 рабочих дней.
За несоблюдение правил предусмотрены штрафы до 100 тыс. рублей при первом нарушении и до 300 тыс. рублей при повторном.
Алгоритмы удаления персональных данных
Прежде чем удалять персональные данные, нужно проверить основания и условия ликвидации. Очень важно наладить взаимодействие между отделами, собирающими и обрабатывающими ПД (маркетинг, кадры, бухгалтерия, служба безопасности и т. д.), и отделом информационной безопасности, чтобы случайно не ликвидировать сведения, которые необходимы для развития бизнеса.
Вполне реально настроить автоматическое удаление информации для стандартных процедур обработки данных. Но когда причиной уничтожения становится отзыв согласия об обработке или расторжение контракта, важно определить место хранения соответствующей информации и группу субъектов, к которой относится их владелец. Как только место хранения сведений определено, запрос передается дальше, ответственным лицам. Администраторы выполняют удаление в базах данных и резервных копиях, после чего проводится проверка с подтверждением факта уничтожения сведений. Параллельно уничтожаются бумажные носители. Если обработкой занимаются третьи лица, такие как поставщики услуг, они тоже обязаны удалить ПД в своих системах.
После уничтожения необходимо составить акт об уничтожении персональных данных или получить его от третьих лиц, участвующих в цепочке обработки информации.
Заключительный этап – ответ субъекту ПД, если от него поступал запрос на удаление. При возможности нужно приложить соответствующий акт.
На что обращает внимание Роскомнадзор
Защитой прав субъектов персональных данных занимается Роскомнадзор. Этот государственный орган контролирует соблюдение законодательства, соответственно может проводить плановые и внеплановые проверки.
Вопросы к компании могут возникнуть в нескольких случаях:
-
Не предусмотрен перечень сотрудников, имеющих доступ к ПД.
-
Сотрудники не ознакомлены с федеральным законом № 152-ФЗ.
-
В организации не проводился внутренний аудит работы с ПД.
-
Политика обработки данных не опубликована или опубликована не на всех страницах, где она должна быть.
Поскольку субъектами ПД выступают не только клиенты и подписчики, но и сотрудники компании, согласие на обработку персональных данных нужно подписать с каждым из них. Для новых работников актуальные положения часто включаются в трудовой договор, но лучше собирать отдельные согласия.
Генеральному директору необходимо издать приказ, назначить ответственного за организацию обработки ПД, перечислить специалистов, которые работают с персональными данными. В большинстве случаев достаточно указать руководителей отделов, а также главного бухгалтера и самого генерального директора.
В политике обработки данных важно прописать все условия работы с ПД. В том числе, какие именно сведения собираются, с какой целью и как долго хранятся. Этот документ нужно разместить на всех страницах веб-ресурсов, на которых предусмотрен сбор информации (например, где есть форма заказа или обратной связи).
Желательно провести внутренний аудит, хотя компании и не обязаны этого делать. Его результаты помогут выявить слабые места и разработать эффективную процедуру уничтожения данных. А соответствующий акт или протокол станет преимуществом при общении с Роскомнадзором.
Дополнительная инвентаризация ПД, а также интеграция инструментов для обеспечения информационной безопасности и своевременного удаления информации помогут наладить внутренние процессы, соблюдать требования закона и не опасаться штрафов и претензий со стороны контролирующих органов.
