2017-12-14
1157
Если компания обрабатывает персональные данные своих работников и клиентов, она относится к операторам таких данных. Закон устанавливает ряд обязанностей оператора в отношении: сбора данных,использования, хранения, защиты и т. д.В обязанности операторов персональных данных уничтожение персональных данных входит наряду с соблюдением правил сбора, обработки и хранения.
Уничтожение персональных данных — это действия, в результате которых сведения указанного характера перестают быть доступны и их невозможно восстановить (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Нередко при уничтожении персональных данных уничтожение данных происходит вместе с документом, которых их содержал. В законе есть прямое указание, что при необходимости компания ликвидирует материальные носители, которые содержали указанные сведения.
Когда появляется причина, по которой персональные данные подлежат уничтожению, компания должна выполнить установленные законом обязательства в надлежащем порядке и в срок. Основания, в соответствии с которыми компания обязана ликвидировать данные, указаны в ст. 20 и ст. 21 закона № 152-ФЗ.
|
|
|
Ø Основания для уничтожения персональных данных.
| Основание | Пример | Закон | |
| Владелец данных потребовал их ликвидировать. | Владелец обнаружил неполноту, недостоверность данных или узнал, что компания не вправе использовать их. | ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ | |
| Компания выявила, что данные обрабатываются неправомерно. | Сотрудник запросил у клиента информацию, которая не соответствует целям обработки. | ч. 3 ст. 21 закона № 152-ФЗ | |
| Компания достигла цели, для которой собирала и использовала данные. | Компания расторгает договорс клиентом. | ч. 4 ст. 21 закона № 152-ФЗ | |
| Владелец данных отозвал согласие на обработку информации о себе. | Работник, который предоставлял компании персональные сведения, увольняется. | ч. 5 ст. 21 закона № 152-ФЗ |
Для случаев ч. 4 и 5 ст. 21 закона № 152-ФЗ есть 2 исключения, при которых уничтожение персональных данных можно не проводить:
ü если иное условие присутствует в договоре между компанией и субъектом данных;
ü если компания на законных основаниях вправе обрабатывать данные без согласия субъекта.
Ø Порядок уничтожения персональных данных.
Процедура уничтожения документов, содержащих персональные данные, не зависит от причины ликвидации информации. В порядок уничтожения персональных данных входит:
1. Формирование комиссии по ликвидации данных. Комиссию создают на основании приказа руководителя компании. Как правило, в комиссии участвуют сам руководитель, начальник кадровой службы, секретарь организации, а также главный бухгалтер. По необходимости компания привлекает в комиссию других сотрудников, например, руководителя отдела по работе с клиентами. Приказ составляют в свободной форме. В документе перечисляют, что именно входит в функции комиссии (определить, какие персональные данные подлежат уничтожению и т. п.)
|
|
|
2. Непосредственное уничтожение соответствующей информации без возможности восстановления.
3. Издание акта уничтожения персональных данных. Документ также утверждает руководитель компании. Акт составляют в свободной форме.
Ø Сроки уничтожения персональных данных.
Когда появляется основание ликвидировать информацию, необходимо соблюдать сроки уничтожения персональных данных. Они зависят от основания ликвидации:
1. Если субъект данных потребовал уничтожить их, компания обязана сделать это в течение 7 (семи) рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
2. Если компания самостоятельно выявила нарушения в использовании информации, срок уничтожения персональных данных — 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ).
3. Когда компания достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигнута (ч. 4 ст. 21 закона № 152-ФЗ).
4. Если владелец данных отказался от дальнейшей обработки и отозвал согласие, компании нужно ликвидировать информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).
Если при необходимости ликвидировать персональные данные уничтожение персональных данных не осуществят, компания понесет ответственность в соответствии с положениями закона № 152-ФЗ и ст. 13.11 КоАП РФ.
