По закону ИП и организации обязаны удалить персональные данные человека по его первому требованию. С 1 марта 2023 года эту операцию нужно будет документально подтверждать. Рассказываем, как правильно удалить информацию, чтобы избежать претензий со стороны Роскомнадзора.
Кто отвечает за удаление персональных данных
Для ведения коммерческой деятельности все ИП и организации в той или иной мере собирают персональные данные:
«Персональные данные (ПД) – это любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных)».
Персональными считаются любые сведения, с помощью которых можно идентифицировать человека: ФИО, дата рождения, номер телефона, адрес (прописки, проживания, почтовый и e-mail), данные паспорта, фотографии и пр. Если вы собираете и храните такую информацию, то автоматически становитесь оператором персональных данных:
«Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных».
Получается, что за удаление персональных данных (а также правильное обращение с собранной информацией) отвечает оператор – это может быть самозанятый, ИП, организации и даже простые граждане.
Когда нужно удалять персональные данные
Есть несколько ситуаций, при которых оператор обязан прекратить обработку персональных данных и удалить их без возможности восстановления:
- Неправомерное использование ПД: проще говоря, вы не получили от человека разрешение на хранение и обработку его персональной информации. При выявлении подобного факта у оператора есть 3 рабочих дня, чтобы прекратить любое использование полученных сведений. После этого можно обратиться к человеку за разрешением: если он не даст согласие на обработку персональных данных, у оператора будет 10 рабочих дней на удаление этих сведений.
- Отзыв согласия на обработку ПД: оператор прекращает обработку персональных данных, а затем в течение 30 дней удаляет эту информацию (если иное не предусмотрено договором между субъектом и оператором персональных данных).
- Достижение целей обработки ПД. К примеру, информацию собирали в рамках проведения маркетингового исследования. После того, как все сведения собрали, обобщили и обработали, данные респондентов нужно уничтожить в течение 30 дней.
- Требование о прекращении обработки ПД: оператор в течение 10 дней должен прекратить обработку информации, за исключением ситуаций, когда персональные данные нужны суду, органам власти, а также для охраны здоровья человека, либо исполнения заключенных ранее договоров (п. п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных). При необходимости срок можно увеличить не более чем на 5 дней – для этого нужно направить субъекту ПД мотивированное уведомление.
Чтобы обезопасить себя со стороны Роскомнадзора, бизнес должен подготовить соответствующие документы («Политика в отношении обработки персональных данных») с пунктами о прекращении использования и удаления ПД.
Как правильно удалять персональные данные клиентов
Вся процедура удаления состоит из четырех обязательных шагов:
- издание приказа об уничтожении;
- формирование специальной комиссии;
- непосредственное удаление данных;
- составление акта об уничтожении (новые правила подтверждения удаления ПД вступят в силу с 1 марта 2023 года) и внесение соответствующей записи в специальный журнал.
Порядок уничтожения прописывают в локальных нормативных актах компании: указывают, как и когда проводят уничтожение подобных данных. К примеру:
- для бумажных документов используют измельчитель (шредер), методы сожжения или химического разложения;
- для электронных – метод затирания информации или физическое уничтожение носителя (диска), запись поверх старой информации новой (такой шаг не позволит применить программное обеспечение для восстановления утерянных данных), форматирование носителя.
В комиссию по уничтожению ПД обязательно нужно включить сотрудника, ответственного за работу с подобными сведениями. Первое, что должна сделать комиссия – составить перечень документов для уничтожения.
Как подтвердить уничтожение персональных данных
Способы уничтожения зависят от типа документов (бумажные, электронные), механизма их обработки (ручной режим, с применением автоматических программ) и хранения. Соответственно, различается и отчетная документация об уничтожении:
- если данные обрабатывали в ручном режиме, нужно составить акт об уничтожении;
- если использовали программное обеспечение, то помимо акта нужно обязательно произвести выгрузку из журнала регистрации событий в информационной системе компании;
- бумажные акты заверяются «живой» подписью, электронные – с помощью ЭЦП. Последнюю можно бесплатно оформить в ФНС.
Правительство не предусмотрело единых форм акта и журнала, поэтому предприниматели и организации должны их разработать самостоятельно.
При заполнении акта указывают:
- дату уничтожения сведений;
- данные оператора (ИП, организации);
- данные ответственного лица;
- количество и виды уничтоженных носителей;
- наименование информационной системы, из которой сделали выгрузку данных;
- основания для уничтожения ПД;
- выбранный способ уничтожения.
Акт и выгрузку оператор обязан хранить в течение 3 лет с момента уничтожения личных сведений.
Ответственность за нарушение правил обработки и удаления персональных данных
Отказ от удаления ПД (приостановки обработки сведений) или нарушение сроков этой процедуры влечет за собой штраф:
- для физических лиц (например, самозанятых) – от 2000 до 4000 р.;
- для должностных лиц – от 8000 до 20 000 р.;
- для индивидуальных предпринимателей – от 20 000 до 40 000 р.;
- для юридических лиц – от 50 000 до 90 000 р.
При использовании ПД без согласия субъекта, штраф для физических лиц составит от 6000 до 10 000 р., должностных лиц и ИП– от 20 000 до 40 000 р., для юридических лиц – от 30 000 до 150 000 р.