О чем речь. Персональные данные — это любая информация, по которой человека можно хотя бы косвенно идентифицировать: имя и фамилия, номер телефона,
Если бизнес получает такие данные о сотрудниках, клиентах, контрагентах, то он становится оператором персональных данных. Закон обязывает операторов персональных данных правильно получать, хранить и уничтожать сведения.
Раньше не было обязательного порядка, как уничтожать данные. Операторы персональных данных поступали по своему усмотрению.
Что случилось. Роскомнадзор утвердил требования к уничтожению персональных данных. Их надо исполнять с 1 марта 2023 года.
Набор и содержание документов об уничтожении зависят от того, использовал ли оператор при обработке данных средства автоматизации — программы, сервисы — или делал все вручную, например в Excel или на бумаге.
Если оператор собирал данные без сервисов, он составляет только акт об уничтожении персональных данных.
Если оператор собирал данные с помощью сервисов, надо составить:
- акт об уничтожении персональных данных;
- выгрузку из журнала регистрации событий в информационной системе персональных данных.
Если оператор собирал данные одновременно с помощью сервисов и вручную:
- акт об уничтожении с обязательными элементами для него;
- выгрузку из журнала регистрации событий в информсистеме персональных данных. В документ можно не включать обязательные элементы для выгрузки.
Акт можно сделать в электронном виде и заверить электронной подписью.
В пункте 3 требований Роскомнадзора перечислили, что писать в акте. А в пункте 5 — что должно быть в выгрузке.
Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные требованиями, недостающие сведения вносят в акт об уничтожении.
Акт и выгрузку придется хранить 3 года с момента уничтожения личных сведений. Отчитываться об уничтожении данных не надо.
Что это значит для бизнеса. С 1 марта 2023 года уничтожать персональные данные надо с учетом требований Роскомнадзора.
Однако прямого наказания за нарушение новых норм нет. Когда Роскомнадзор при проверке обнаружит, что оператор уничтожает данные неправильно, выдаст предписание об устранении нарушения. Если оператор не исправится, его оштрафуют за неисполнение предписания на сумму до 20 000 ₽.