Ошибки при уничтожении персональных данных

В работе с персданными есть особенно важный этап – уничтожение этих самых данных. Условия, сроки и процедура предусмотрены ст. 21 ФЗ № 266 от 14.07.2022. Но они не всегда соблюдаются. А нарушение порядка уничтожения персональных данных может дорого обойтись бизнесу, который их собирает, обрабатывает, хранит и передает.

Что может пойти не так

Уничтожение документов с соответствующими сведениями просрочено. Следить за сроками обработки данных должны ответственные сотрудники. Нет таких? Будьте готовы к просрочкам и связанным с ними последствиям.

Цель обработки персданных достигнута, но сведения остаются на носителях, в электронных архивах. Пока никто это не проверяет, все в порядке. Но если будет выявлена просрочка уничтожения персданных, компания заплатит крупный штраф.

Неправомерная обработка данных. Письменного согласия сотрудника нет, а сведения фигурируют в документах и базах работодателя.

Разрешение на обработку данных отозвано, но работа с ними не прекращена.

Исправляем ошибки

Сроки хранения документов, которые содержат персональные данные сотрудников, приводятся в приказе Росархива № 236 от 20.12.2019. При ведении кадрового документооборота с этим нормативно-правовым актом рекомендуем ознакомиться в первую очередь. Не лишней будет также периодическая актуализация сведений о сроках хранения документов с персональными данными. В некадровых случаях по умолчанию срок хранения персданных равен периоду их обработки.

По достижении цели обработки данных последние должны быть уничтожены в течение 30 дней (ст. 21 ФЗ № 152 от 27.07.2006). Рассмотрим на примере, как это работает. В компанию в апреле обращается сотрудник с заявлением о материальной помощи. Директор визирует заявление, издает приказ о начислении соответствующей суммы в том же месяце. Бухгалтерия производит выплату с 20 мая. Согласно ФЗ № 152, предоставленные сотрудником медицинские и другие данные, послужившие основанием для выделения материальной помощи, должны быть уничтожены в тридцатидневный срок от даты достижения цели их обработки, то есть до 20 июня.

Выявить неправомерную обработку данных может сам сотрудник, работодатель и контролирующая организация, например Роскомнадзор. В любом случае в течение трех дней с момента фиксации нарушения необходимо прекратить обработку данных, а в десятидневный срок их уничтожить. Также, согласно ст. 21 ФЗ № 152 от 27.07.2006, необходимо письменно уведомить сотрудника об уничтожении данных, а если о неправомерной обработке знает Роскомнадзор, и его тоже. Важно: если нарушение привело к тому, что доступ к персданным получили третьи лица, об этом в течение суток необходимо уведомить регулятора. А впоследствии в Роскомнадзор нужно отчитаться о результатах внутреннего расследования.

Отозвать согласие на обработку персданных сотрудник может в любое время. Работодатель обязан уничтожить соответствующие данные в течение 30 дней от даты получения запроса. Если отзыв согласия на обработку связан с недостоверностью данных, их изменением, порядок следующий: в течение 10 дней прекращаем обработку, в течение 7 дней с момента предоставления работником актуальных данных уничтожаем старые. Так же поступаем с данными, которые не являются обязательными для целей обработки.

Как уничтожать персональные данные, кто отвечает за выгрузку из ЭДО (база, регистрационные журналы и т.п.), какие акты оформлять и кто их подписывает, расскажут наши эксперты. Для получения консультации звоните!