Автор: Ксения Гордова, младший консультант по защите персональных данных компании Б-152.
Персональные данные – ценная информация, требующая бережного обращения и защиты. Каждая компания, работающая с персональными данными, обязана правильно организовать процесс их уничтожения при наступлении триггеров:
истечение установленных законодательством сроков хранения,
достижение сроков обработки;
невозможность достижения цели обработки ПДн;
отзыв согласия субъектом/расторжение договора;
выявление факта неправомерной обработки ПДн.
Своевременное неуничтожение ПДн может привести к серьезным последствиям – от штрафов до репутационных потерь.
С 1 марта 2023 года начал действовать новый нормативный акт Роскомнадзора - Приказ №179, который вводит строгие правила для подтверждения фактического уничтожения персональных данных. Поэтому в компании важно заранее разработать, внедрить и неукоснительно соблюдать эффективный алгоритм уничтожения ПДн.
Соблюдение требований законодательства (152-ФЗ «О персональных данных»)
Правовые нормы разграничивают понятия удаления и уничтожения персональных данных. Удаление – это прекращение доступа к данным или их изъятие из информационной системы, при этом возможность восстановления данных сохраняется. Уничтожение – это действия, после которых восстановление данных становится невозможным. Для уничтожения могут применяться различные методы, среди которых ликвидация физических носителей информации, если такая мера необходима - шредерирование, сожжение или уничтожение материальных носителей.
Федеральный закон №152-ФЗ «О персональных данных» обязывает уничтожать персональные данные в случаях:
При достижении целей их обработки или когда становится очевидной недостижимость заявленной оператором цели;
При истечении установленных сроков обработки;
При прекращении обработки по требованию субъекта;
При выявлении нарушений в обработке ПДн, включая случаи, неправомерного получения данных или их избыточном хранении, не обусловленном целями обработки.
Своевременное уничтожение персональных данных играет ключевую роль в информационной безопасности компании. Важно помнить, что невозможно скомпрометировать сведения, в том числе отсутствующие в информационных системах. Существует множество примеров утечек , когда в открытый доступ попадали данные, которые оператором обрабатывались без видимой цели, «про запас». В подобных ситуациях организация совершает сразу два нарушения: избыточное хранение ПДн и их утечку. Соблюдение требований по уничтожению персональных данных позволяет избежать подобных инцидентов и связанных с ними штрафных санкций и репутационного ущерба.
Исполнение требований закона по уничтожению данных повышает доверие клиентов и партнеров к организации. Они будут уверены, что конфиденциальная информация будет точно уничтожена и не попадет в чужие руки по прошествии установленных сроков хранения.
Ксения Гордова, младший консультант по защите персональных данных компании Б-152
Алгоритм удаления персональных данных
Для соблюдения законодательных требований и предотвращения возможных нарушений, в организации должен быть разработан и внедрен алгоритм уничтожения персональных данных.
Ключевые этапы алгоритма:
Выявление процессов обработки персональных данных, установление целей;
Выявление категорий субъектов (клиенты, сотрудники и т.д), чьи данные обрабатываются, и составление перечня обрабатываемых сведений по каждой категории.
Установление сроков обработкикаждой категории ПДн в соответствии с целями и требованиями законодательства.
Разработка процедуры уничтожения персональных данных. Механизм может быть автоматизированный (для информационных систем), смешанный (часть операций выполняется вручную) или полностью ручной. Процедура регламентируется локальным актом компании.
Обеспечение контроля за фактическим уничтожением персональных данных из информационных систем организации.
Определение методов уничтожения ПДн (стирание жестких дисков, сжигание бумажных носителей и проч.).
Назначение лиц, ответственных за исполнение процесса уничтожения ПДн.
Наладить процесс составления актов уничтожения ПДн в организации;
Утверждение разработанного алгоритма в локальных нормативных актах компании.
Таким образом, в организации выстраивается целостная система уничтожения персональных данных в соответствии с требованиями законодательства.
Несоблюдение норм по уничтожению ПДн влечет административные взыскания - штраф, от 60 до 300 тысяч рублей, а с 30 мая от 150 до 500 тысяч рублей, в соответствии с ч.1 и 1.1 ст.13.11 КоАП РФ. Поэтому планирование и выполнение алгоритма является неотъемлемой частью деятельности организации по защите персональных данных.
Сроки хранения персональных данных
Определение корректных сроков обработкиперсональных данных – важная составляющая процесса их законного уничтожения. В соответствии с 152-ФЗ, персональные данные должны храниться только на протяжении времени, необходимого для достижения заявленных целей их обработки и уничтожаться в течение 30 календарных дней с момента достижения цели обработки. По завершении целей, для которых собирались данные, или при отзыве субъектом согласия на обработку персональных данных, организация, являющаяся оператором ПДн, должна прекратить любую обработку с этими данными и обеспечить их полное уничтожение. Согласно частям 4 и 5 статьи 21 152-ФЗ, операторам предоставляется 30 дней на выполнение этой процедуры. Если технически это сделать невозможно, то компания обязана сначала заблокировать ПДн на 6 месяцев, а затем их уничтожить, в соответствии с ч.6 ст. 21 152-ФЗ.
Однако в ряде случаев законодательство допускает более длительное хранение персональных данных. Это касается специальных отраслевых норм. Например, бухгалтерская документация сведения о физических лицах может храниться и после достижения цели обработки ПДнв соответствии с требованиями Налогового кодекса РФ, нормативно-правовых актов о бухучете и архивном деле.
Период хранения персональных данных может продлеваться в некоторых случаях:
Когда это необходимо для выполнения договора.Даже если субъект обратится к нам за прекращением обработки ПДн, компания не может это сделать, пока договор с ним не будет исполнен или расторгнут.
При возникновении новых законных целей, которые не планировались изначально. Например, в случае выявления факта правонарушений в результате которого приченён ущерб собственности.
Для соблюдения иных законодательных требований.
В таких ситуациях компания может хранить ПДн дольше,. В любом случае, необходимо фиксировать сроки и основания хранения персональных данных в локальных актах компании во избежание нарушения закона
На что обратит внимание Роскомнадзор
При проверке процесса уничтожения персональных данных инспекторы Роскомнадзора тщательно изучат несколько ключевых аспектов:
Оценят наличие локальных актов, описывающих правила хранения и уничтожения персональных данных. Отсутствие таких документов будет расценено как нарушение.
Проанализируют подтверждение фактического уничтожения данных по истечении установленных сроков хранения. Согласно приказу No179, для автоматизированных систем требуется оформлять акт об уничтожении с указанными в нем реквизитами и прикладывать выгрузку из журнала событий информационной системы. Для неавтоматизированных систем достаточно акта с описанием уничтоженных носителей информации.
Проверят своевременность уничтожения, полноту уничтоженных сведений, правильность оформления актов.
Уделят внимание принятым в компании мерам и средствам защиты персональных данных от неправомерного доступа во время их хранения и обработки. Выявленные недостатки могут быть расценены как создание предпосылок для утечки конфиденциальной информации.
За нарушения, выявленные при проверке процесса уничтожения персональных данных, оператор может понести как административную, так и гражданско-правовую ответственность. Это может включать штрафы, возмещение ущерба и морального вреда субъектам персональных данных. Меры ответственности будут зависеть от тяжести и характера выявленных нарушений.
Заключение
Защита персональных данных – комплексная задача, требующая соблюдения требований законодательства на каждом этапе. Правильная организация процесса уничтожения данных по истечении сроков хранения является важнейшей составляющей законности обработки ПДн.
Четко выстроенный алгоритм действий, локальное регламентирование процедур, использование специальных средств защиты информации позволят компаниям минимизировать риски нарушений. А значит, избежать штрафов, репутационных потерь и сохранить доверие клиентов и партнеров.
Конфиденциальность персональных данных – залог успешного ведения бизнеса в современных реалиях.
Начать дискуссию