Важно
МТС приведет тарифы к уровню апреля-мая 2024 года 
Защиту персональных считают одной из первоочередных задач для организаций. Недостаток информации о необходимых процедурах приводит к юридическим рискам и нарушениям. В своей практике я узнала, что правильное ведение журналов помогает не только в случае аудита, но и смягчает последствия при возникновении конфликтных ситуаций. Поделюсь опытом и расскажу о том, в каких журналах и как нужно фиксировать уничтожение персональных данных для обеспечения безопасности организации.
Навигация
Коротко о главном: 5 пунктов
- Удалять персональные данные можно только тогда, когда они больше не нужны или истек срок хранения.
- Работодатель обязан записывать, какие сведения и когда были уничтожены, чтобы всё было по закону.
- Для подтверждения удаления составляют специальный акт, а если данные были в компьютере — нужна ещё выгрузка из программы.
- Вести отдельный журнал при этом не обязательно, но он помогает отслеживать порядок и защищаться от ошибок.
- Такая забота о документах показывает, что фирма серьёзно относится к безопасности личных сведений сотрудников.
Уничтожение персональных данных работодателем: главное
Уничтожение персональных данных работодателем — это важный процесс, который требует внимания и соблюдения норм. С точки зрения законодательства, работодатель несет ответственность за защиту личной информации сотрудников, и ликвидация таких данных должна проводиться ответственно и безопасно, что обезопасит работодателя от претензий Роскомнадзора.
Для информации: что относится к персональным данным
Во-первых, важно понимать, что удаление персональных данных не является случайным действием. Оно должно происходить только после того, как данные потеряли свою необходимость или срок хранения истек. Работодатель обязан проводить анализ, какие данные нуждаются в хранении и какие из них необходимо удалить. Например, уничтожить сведения необходимо:
- по запросу их владельца (ч. 1 ст. 14, ч. 3 ст. 20 ФЗ № 152);
- при выявлении неправомерной обработки (ч. 3 ст. 21 ФЗ № 152);
- при достижении цели обработки (ч. 4 ст. 21 ФЗ № 152);
- при отзыве согласия на обработку (ч. 5 ст. 21 ФЗ № 152).
Во-вторых, процесс необходимо документировать. Важно вести журнал учета уничтожения, который содержит информацию о типах данных, дате удаления и способах, использованных для этого.
Подробнее: какие документы необходимо подготовить при уничтожении персональных данных
В-третьих, необходимо обращать внимание на методы, используемые для ликвидации данных. Метод выбирает организация и фиксирует в локальном нормативном акте: от простого удаления файлов на компьютере до физической ликвидации носителей информации — каждая отрасль имеет особенности. Например, могут понадобиться шредирование документов или использование программ для безопасного удаления с жестких дисков. Выбор метода соответствует уровню конфиденциальности информации и требованиям безопасности.
Какими документами подтверждают уничтожение персданных
Для документального подтверждения ликвидации персональных данных применяются акты об уничтожении и, в случае автоматизированной обработки, выгрузка из журнала регистрации событий в информационной системе.
Составления акта недостаточно, в случае если обработка данных осуществлялась как в бумажном, так и в электронном виде. После завершения удаления персданных, обработанных с помощью компьютерных систем, необходимо предоставить дополнительное подтверждение факта ликвидации. Для этого потребуется выгрузка из журнала регистрации событий информационной системы. Такой отчет получают из программ бухгалтерского учёта или кадровых приложений, с внутренних порталов компании и других цифровых платформ, где хранятся данные.
Организация вправе, помимо выгрузки событий информационной системы, вести журнал учета ликвидации персональных данных, хоть это и не является обязательным требованием. Создание такого документа может стать полезной практикой, способствующей эффективному управлению процессами обработки и защиты персданных. Его ведение помогает документировать все действия, связанные с удалением данных, что полезно в случае проверок или аудитов. Кроме того, наличие такого учета способствует повышению уровня ответственности сотрудников, укрепляет доверие клиентов и партнеров к организации, демонстрируя серьезное отношение к вопросам безопасности и конфиденциальности информации.
Надо знать: сколько должны храниться персональные данные работников в организации
Когда нужен журнал уничтожения персональных данных, и как его вести
Когда речь идет о ведении журналов в области управления персональными данными, важно понимать различия между журналом регистрации событий в информационных системах и журналом уничтожения персональных данных. Первый является обязательным документом, который помогает отслеживать все операции с персданными, включая их сбор, хранение, передачу и изменение. Он необходим для обеспечения прозрачности и контроля за соблюдением законодательства о защите данных.
Такой документ ведут электронно, а события фиксируют в формате выгрузки:
Образец выгрузки из журнала событий в информационной системе персональных данных
Журнал уничтожения персданных не является обязательным, но обогащает процессы управления данными. Он предназначен для документирования всех действий, связанных с удалением, таких как методы и даты уничтожения, ответственные лица. Это позволяет более эффективно управлять рисками, связанными с утечкой, и обеспечивает дополнительный уровень контроля. Его оформляют в свободной форме:
Пример журнала учета уничтожения персональных данных
А вы ведете журнал уничтожения персональных данных? Если да, то в какой форме и какие сведения в нем указываете? Предлагаю поделиться своим опытом и советами в комментариях.