Работодателей обязали подтверждать уничтожение персданных

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах. Уничтожение персданных осуществляется путем ликвидации самих материальных носителей информации, на которых эти данные находятся, либо путем уничтожения данных с материальных носителей информации.

В общем случае субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (ч. 1 ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

Закон конкретизируют случаи, когда персданные должны быть уничтожены. Это необходимо сделать, в том числе, в случае:

• выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора;
• достижения цели обработки персданных;
• отзыва лицом - субъектом персданных согласия на их обработку;
• истек срок хранения документов с персданными;
• лицо потребовало прекратить обработку его персданных.

Сотрудник может предъявить требование о прекращении обработки его ПД. Такое право у него появляется в случае наличия доказательств, подтверждающих, что данные:

• являются неполными, устаревшими или неточными;
• получены незаконным способом;
• не являются обязательными для заявленной цели обработки.

Работодатель обязан прекратить обработку ПД сотрудника в течение 10-ти рабочих дней после получения от него соответствующего требования. При наличии причин, по которым невозможно прекратить обработку ПД в этот срок, его можно продлить на 5 рабочих дней. Для этого работнику направляется мотивированное уведомление с указанием причин, по которым невозможно сразу прекратить обработку (ч. 5.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Уничтожить ПД нужно в срок, не превышающий 7-ми рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

До недавнего времени законодательно установленного порядка подтверждения факта уничтожения персданных не было. Роскомнадзор рекомендовал каждой компании устанавливать его самостоятельно.

Наиболее распространенными способами документальной фиксации уничтожения ПД субъекта было оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждалась самим оператором.

Приказ Роскомнадзора от 28.10.2022 № 179 восполнил этот пробел и утвердил Требования к подтверждению уничтожения персональных данных. Документ действует с 1 марта 2023 года.

Роскомнадзор установил порядок подтверждения уничтожения ПД в зависимости от того, происходит ли обработка персданных с использованием средств автоматизации или без. Так, если обработка персональных данных осуществляется оператором:

• без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных;
• с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются – акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

В случае если обработка ПД осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются – акт об уничтожении персональных данных и выгрузка из журнала.

Акт об уничтожении персональных данных и выгрузка из журнала организация обязана хранить в течение 3-х лет с момента уничтожения персональных данных.