Каков законный порядок прекращения обработки персональных данных после подачи соответствующего заявления уволенным сотрудником? Каким образом нужно будет отчитаться об исполнении?

Главное

Вы обязаны уничтожить персональные данные субъекта в течение 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона N 152-ФЗ).

Персональные данные уничтожаются комиссией (иным должностным лицом), созданной (уполномоченным) на основании приказа оператора. Приказ составляется в произвольной форме. Комиссия должна определить и составить перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам (в частности, Законом N 152-ФЗ, Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Приказом Росархива от 20.12.2019 N 236, другими определяющими случаи и особенности обработки персональных данных федеральными законами).

Составленный комиссией перечень документов (носителей), подлежащих уничтожению, должен быть сверен с записями в акте о прекращении обработки персональных и на указанных документах (носителях).

Оператор должен уведомить субъекта об уничтожении его персональных данных.

Обоснование

Оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение):

• при отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных, - в течение 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона N 152-ФЗ);
• Документальное оформление факта уничтожения персональных данных в том числе при достижении цели обработки персональных данных либо при отзыве согласия на их обработку осуществляется в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 N 179 (далее - Требования) (ч. 7 ст. 21 Закона N 152-ФЗ).

Персональные данные уничтожаются комиссией (иным должностным лицом), созданной (уполномоченным) на основании приказа оператора. Приказ составляется в произвольной форме. В нем указывается состав комиссии - председатель и ее члены (например, начальник кадровой службы, главный бухгалтер, руководители структурных подразделений, секретарь организации и пр.), цель создания комиссии, функции, сроки ее работы, какие персональные данные и на каких носителях (бумажных, электронных) подлежат уничтожению, способы уничтожения персональных данных на бумажных носителях (электронных носителей) и другие необходимые сведения.

Комиссия должна определить и составить перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам (в частности, Законом N 152-ФЗ, Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Приказом Росархива от 20.12.2019 N 236, другими определяющими случаи и особенности обработки персональных данных федеральными законами).

Составленный комиссией перечень документов (носителей), подлежащих уничтожению, должен быть сверен с записями в акте о прекращении обработки персональных и на указанных документах (носителях).

Способами уничтожения персональных данных, определяемыми и утверждаемыми оператором, могут быть:

• для бумажных носителей персональных данных - разрезание, гидрообработка, сжигание, механическое уничтожение (например, пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения);
• для электронных носителей - стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска и т.п.

Затем осуществляется непосредственное уничтожение персональных данных на документах (носителях) без возможности их восстановления.

В зависимости от метода обработки персональных данных различают несколько способов подтверждения факта уничтожения персональных данных (п. п. 1, 2, 7 Требований):

• если персональные данные обрабатывались оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных;
• если персональные данные обрабатывались оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных;
• если персональные данные обрабатывались оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий.

Акт об уничтожении персональных данных должен содержать (п. 3 Требований):

• наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
• наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лиц, осуществляющих обработку персональных данных по поручению оператора (если обработка была поручена таким лицам);
• фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
• фамилию, имя, отчество (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженных материальных носителей, содержащих персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
• наименование информационных систем персональных данных, из которых были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации);
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

При этом акт об уничтожении персональных данных в электронной форме, подписанный электронной подписью в установленном порядке, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью (п. 4 Требований).

Выгрузка из журнала должна содержать (п. 5 Требований):

• фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные выше, недостающие сведения вносятся в акт об уничтожении персональных данных (п. 6 Требований).

Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных (п. 8 Требований).

Необходимо отметить, что оператор в случае прекращения обработки персональных данных направляет соответствующее уведомление уполномоченному органу по защите прав субъектов персональных данных в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона N 152-ФЗ).

Уничтоженные документы (носители), содержавшие персональные данные, должны быть списаны с книг и журналов учета (регистрации) данных документов (носителей).

Обратите внимание! Если при необходимости уничтожить персональные данные их уничтожение не будет осуществлено, организация-оператор может быть привлечена к административной ответственности (ч. 1 ст. 24 Закона N 152-ФЗ, ст. 13.11 КоАП РФ).

В Приложении к ответу Вы найдете:

• Вопрос Каков порядок уничтожения персональных данных операт.docx
• Вопрос Может ли работодатель отказать работнику в отзыве со.docx