Нужно ли новое согласие на обработку персданных при смене фамилии?
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?
В нынешнем информационном обществе персональные данные играют основополагающую роль, поэтому их защита и своевременное уничтожение являются неотъемлемыми частями обязанностей бизнеса и государства. О нюансах уничтожения персданных, которые необходимо знать любой организации, говорим в статье.
Уничтожение персональных данных1 – это вид их обработки, подразумевающий действия, в результате которых:
В соответствии с Законом № 152‑ФЗ оператор (то есть организация или индивидуальный предприниматель, осуществляющий обработку персональных данных), обязан уничтожить персональные данные субъекта персданных (или обеспечить их уничтожение) в следующих ситуациях:
Сроки уничтожения персональных данных различаются в зависимости от причины (все они сведены в Таблицу):
Если оператор не может уничтожить персональные данные в указанные сроки, то он обязан предпринять меры для блокирования доступа к этим данным, а затем уничтожить их в течение 6 месяцев (ч. 6 ст. 21 Закона № 152‑ФЗ).
Обратите внимание: в случае передачи персональных данных другому лицу оператор должен установить обязательство получателя персональных данных уничтожить их после окончания целей их обработки или при утрате необходимости в их обработке. Обязательство по уничтожению можно прописать в договоре с третьим лицом или в отдельном соглашении о конфиденциальности полученной информации. Образец формулировок см. в Примере 1.
Пример 1. Условие в договоре об обязанности контрагента осуществить уничтожение персональных данных
По истечении срока обработки переданных Заказчиком персональных данных пользователей в случае отзыва согласия на обработку персональных данных, а также если станет известно, что персональные данные содержат неполную / неточную информацию, получены или обрабатываются с нарушением закона, Исполнитель обязан уничтожить полученные персональные данные пользователей в срок не позднее 3 рабочих дней с даты получения требования об этом или выявления обстоятельств, свидетельствующих о необходимости уничижения персональных данных пользователей.
В качестве подтверждения уничтожения переданных персональных данных пользователей Исполнитель направляет в адрес Заказчика заверенные копии акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных в течение 2 рабочих дней с даты оформления этих документов.
Порядок уничтожения персональных данных различается в зависимости от требований и специфики деятельности конкретной организации. Чтобы упорядочить этот процесс, его необходимо прописать в локальном нормативном акте организации (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Это можно сделать:
Уничтожение персональных данных осуществляет комиссия, сформированная приказом руководителя организации (реже это поручается отдельному должностному лицу). Требования к ее составу законом не установлены. В зависимости от размера компании и, соответственно, объема обрабатываемых персональных данных комиссия может быть
Поскольку организация должна провести анализ и определить, когда персональные данные перестают быть необходимыми для достижения целей, для которых они были собраны или иным образом обработаны, и, кроме того, необходимо следить, чтобы при уничтожении персональных данных не случилась их утечка и посторонние лица не получили бы к ним доступ:
Почему нельзя хранить копии документов с персданными в личном деле работника, читайте в № 8’ 2023
См. образец обязательства о неразглашении персональных данных в статье «Можно ли обязать держать зарплату в тайне?» в № 8’ 2020
Обычно комиссия осуществляет следующие действия:
1. Выявляет случаи, требующие уничтожения персданных.
2. Определяет перечень документов (носителей), которые подлежат уничтожению. Причем следует учитывать специальные сроки хранения документов, установленные Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. приказом Росархива от 20.12.2019 № 2363. Поэтому, например, если работник при увольнении попросит уничтожить его персональные данные, а они содержатся в приказе о приеме на работу, то этот документ должен храниться 50/75 лет4 и уничтожить его раньше установленного законодательством срока нельзя.
3. Определяет методы уничтожения персданных с учетом порядка и формы хранения документов, содержащих персданные (на бумаге или в электронном виде), а также возможностей организации. Выбрать следует наиболее подходящий метод, который обеспечит надежное и безвозвратное уничтожение данных:
Читайте статью «Хранение личных карточек и личных дел» в № 9’ 2017
Читайте статью «Как правильно формировать документы по личному составу» в № 8’ 2021
4. Оформляет документально процесс уничтожения. После завершения уничтожения организация должна выполнить проверку эффективности уничтожения, чтобы убедиться, что все персональные данные были полностью уничтожены и не могут быть восстановлены. Такая проверка состоит, в частности, в том, что факт уничтожения персональных данных, включая дату, время и способ уничтожения, должен быть документально зафиксирован. Это поможет обеспечить прозрачность и соответствие законодательным нормам. Требования к подтверждению уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 1795.
Далее рассмотрим вопросы оформления уничтожения персданных подробнее.
Документы-подтверждения зависят от метода обработки персональных данных в компании:
Акт об уничтожении персональных данных (см. образец в Примере 4) должен содержать6:
1) наименование и адрес оператора – юридического лица (для оператора-физлица – Ф.И.О.);
2) наименование и адрес лица, осуществляющего обработку персданных по поручению оператора;
3) Ф.И.О. субъекта или иную информацию, относящуюся к определенному лицу, чьи персональные данные были уничтожены;
4) Ф.И.О., должность лиц, уничтоживших персданные, а также их подписи;
5) перечень категорий уничтоженных персональных данных;
6) наименование уничтоженных материальных носителей, содержащих персданные, с указанием количества листов в отношении каждого носителя (в случае обработки персданных без использования средств автоматизации);
7) наименование информационных систем персональных данных, из которых были уничтожены персданные (в случае их обработки с использованием средств автоматизации);
См. статью «Акт в работе кадровой службы: особенности составления» в № 6’ 2016. В ней мы приводим много образцов актов, составляемых в различных ситуациях. Это позволит вам разработать свои бланки актов и электронные шаблоны для информационных систем
См. статью «Оформляем акты по правилам ГОСТ» в № 10’ 2020. В ней мы приводим много образцов актов, составляемых в различных ситуациях. Это позволит вам разработать свои бланки актов и электронные шаблоны для информационных систем
8) способ уничтожения персональных данных;
9) причину их уничтожения;
10) дату уничтожения персональных данных.
Кстати, акт может быть составлен в электронной форме, подписать его можно при помощи электронной подписи7.
Обратите внимание: закон не запрещает доработать уже привычный акт о выделении дел к уничтожению, включить в него указанные выше реквизиты. Тем не менее во избежание риска получения замечаний со стороны Роскомнадзора рекомендуем оформлять в рассматриваемых нами целях отдельный документ под названием «акт об уничтожении персональных данных».
Если же уничтоженный документ хранился на электронном носителе, то, как мы сказали ранее, дополнительно к акту о его уничтожении понадобится еще один отдельный документ – выгрузка из журнала.
Выгрузка из журнала должна содержать8:
1) Ф.И.О. субъекта или иную информацию, относящуюся к определенному лицу, чьи персональные данные были уничтожены;
2) перечень категорий уничтоженных персданных;
3) наименование информационной системы персональных данных, из которой были уничтожены персданные;
4) причину уничтожения персональных данных;
5) дату уничтожения.
Как видите, часть данных из выгрузки пересекается с актом, причем если выгрузка из журнала не позволяет указать какие-то из перечисленных сведений, то об этом следует сказать в акте об уничтожении персональных данных, внеся туда недостающие сведения (п. 6 Требований).
Имейте в виду, что акт об уничтожении и выгрузка из журнала должны храниться в организации в течение 3 лет с момента уничтожения данных.
Кроме того, в некоторых случаях оператор должен уведомить субъекта об уничтожении его персональных данных (а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы), в частности, если речь идет о неправомерно обрабатываемых данных, законность обработки которых обеспечить не удалось9. Такая ситуация возможна, например, когда работодатель обнаружил, что обрабатывает биометрические персональные данные (фотографию) без согласия работника. Если устранить обстоятельства, которые делают их обработку неправомерной, не удается (работник отказывается дать согласие), нужно прекратить их обработку в течение 3 рабочих дней с даты выявления, а в течение 10 рабочих дней (также с даты выявления) их уничтожить. Образец такого уведомления см. в Примере 5.
Пример 2. Фрагмент раздела «Уничтожение персональных данных» в Положении об обработке и защите персональных данных
…2.3. Комиссия производит отбор персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения не реже одного раза в год, а также незамедлительно при поступлении информации от субъектов персональных данных (их представителей), уполномоченного органа по защите прав субъектов персональных данных (случаи неправомерной обработки, отзыв согласия на обработку и т. п.).
2.4. Бумажные носители персональных данных, отобранные для уничтожения, после проверки их Комиссией и до уничтожения хранятся в специально выделенном обособленном помещении и опечатываются председателем Комиссии.
2.5. Уничтожение носителей, содержащих персональные данные, производится в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения персональных данных.
2.6. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.7. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:
2.7.1. Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения в бумагорезательной машине на мелкие части, исключающие возможность последующего восстановления информации.
2.7.2. Уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя или его сжигания.
2.7.3. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске персонального компьютера, удаляются средствами операционной системы компьютера с последующим очищением «Корзины».
2.7.4. В случае допустимости повторного использования носителя CD-RW, DVD-RW, USB-накопителя применяется программное удаление содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
Пример 3. Приказ о создании постоянно действующей комиссии по уничтожению документов
Пример 4. Акт об уничтожении персональных данных
Пример 5. Уведомление работника об уничтожении неправомерно использованных персональных данных
КоАП РФ устанавливает ответственность за невыполнение обязанностей, предусмотренных законодательством о персональных данных. Однако отдельной ответственности за невыполнение обязательных требований закона по уничтожению персданных, нарушение порядка уничтожения, невключение обязательных сведений в акт или выгрузку об уничтожении персданных в настоящее время не установлено. Вместе с тем Роскомнадзору есть за что привлечь компанию, в том числе и когда не был составлен акт об уничтожении персданных (или он был составлен неправильно).
Так, за невыполнение в установленные сроки требования субъекта персональных данных (или его представителя) либо Роскомнадзора об уничтожении персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, предусмотрена ответственность по ч. 5 ст. 13.11 КоАП РФ:
В случае повторного совершения данного правонарушения штраф (по ч. 5.1 ст. 13.11 КоАП РФ) возрастет:
Также оператор может быть привлечен к административной ответственности в случае создания ситуации обеспечения неправомерного или случайного доступа к персональным данным, если это повлекло их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных (ч. 6 ст. 13.11 КоАП РФ). За это деяние может быть наложен штраф:
Ну и, наконец, согласно Закону № 152‑ФЗ, субъект персональных данных вправе требовать возмещения вреда, причиненного ему в результате неправомерной обработки его персональных данных (например, если на его просьбу прекратить обработку компания не отреагировала уничтожением персональных данных). Заявлен может быть как материальный вред, так и моральный.
Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков (см., например, дело № 33-27368/2023, рассмотренное Московским городским судом 10.07.2023, ответчиком по которому выступило ООО «Яндекс.Еда»).
Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!
Для того, чтобы оставить комментарий, необходимо авторизоваться
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?
Закон о персональных данных требует от работодателей назначить ответственного за организацию обработки персданных. Это может быть сам генеральный директор, а также HR или другое уполномоченное лицо. Но многие не в курсе, что часто одним ответственным не обойтись. Все дело в постановлении Правительства РФ от 01.11.2012 № 1119, которым утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных. Согласно документу обеспечивать такую защиту в определенных случаях должен либо специально уполномоченный работник, либо отдельное структурное подразделение. Автор объясняет, когда в организации такой ответственный сотрудник может быть один, а в какой ситуации понадобится целый отдел; каким критериям он должен соответствовать; можно ли привлечь специалиста(ов) по аутсорсингу; какая ответственность грозит, если вовсе не назначить ответственное лицо. Приводит наглядную таблицу с описанием условий установления уровней защищенности персональных данных при их обработке в информационной системе, которую удобно использовать на практике, чтобы сориентироваться в своих обязанностях в данной сфере. Дает алгоритмы действий работодателя в зависимости от конкретных ситуаций и образец приказа об утверждении перечня работников, имеющих доступ к персональным данным в информационной системе, а также рекомендации, как обеспечить самый простой на сегодняшний день способ защиты. Это необходимый минимум, который должен быть у всех!
Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.
Из статьи узнаете: что представляет собой исследование на полиграфе; как регламентируется его использование в российском законодательстве; в чем может быть польза от его применения работодателем, какие риски следует принимать во внимание; как сейчас складывается практика использования полиграфа в трудовых и связанных с ними отношениях. В вашем распоряжении – образцы формулировок в локальные нормативные акты и трудовые договоры, согласий на прохождение работниками и соискателями психофизиологического исследования с применением полиграфа и на обработку общих и специальных категорий персональных данных.
По ТК РФ работодателю в конкретных случаях необходимо уведомлять работников в определенный срок. Свели в таблицу перечень случаев, о которых ТК РФ требует работодателя предупреждать работника в письменном виде под подпись (с указанием сроков, нарушение которых может дорого обойтись организации). Объяснили, как оформлять уведомления на бумаге (11 примеров): дали состав обязательных реквизитов, образцы готовых документов, варианты оформления отметки о получении документа работником и отметки с его ответом на предложение работодателя. Показали журнал регистрации уведомлений. Разобрались со сложным вопросом документирования факта и даты выполнения работодателем своей обязанности, если работник отказывается расписываться в получении уведомления на экземпляре работодателя.
Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.
Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?