Дело в цифрах | ПО и решения для бизнеса

Уничтожение персональных данных: как соблюдать закон и избежать штрафов

С 30 мая 2025 года в России вступают в силу поправки к закону 152-ФЗ, усиливающие ответственность за нарушения при работе с персональными данными. Индивидуальные предприниматели будут нести такую же ответственность, как и юридические лица. За неуведомление Роскомнадзора о начале обработки данных введен штраф до 300 тыс руб. При повторной утечке данных максимальный штраф составит 500 млн руб. или 3% годовой выручки. За утечку биометрических данных — до 20 млн руб.

Уничтожение персональных данных требуется в следующих случаях:

🟢достижение цели обработки (например, выполнен договор или завершено исследование);
🟢отзыв согласия со стороны субъекта данных;
🟢выявление избыточных или ошибочно собранных сведений.

Сроки строго регламентированы: 30 дней на удаление по отзыву согласия, 10 рабочих дней — при выявлении нарушений.

Перед уничтожением необходимо:

🟢проверить основания и сроки хранения данных;
🟢определить, где хранятся данные (в том числе резервные копии и бумажные архивы);
🟢наладить взаимодействие между всеми подразделениями, работающими с ПД (кадры, маркетинг, бухгалтерия, ИБ и др.).

Процедура включает удаление сведений из всех систем, в том числе у третьих лиц (если они участвуют в обработке), составление акта об уничтожении и при необходимости — предоставление подтверждения субъекту персональных данных.

Особое внимание Роскомнадзор уделяет следующим аспектам:

🟢назначены ли ответственные за обработку ПД;
🟢ознакомлены ли сотрудники с законом;
🟢проведен ли внутренний аудит;
🟢опубликована ли политика обработки данных на всех страницах, где происходит их сбор.

Важно учитывать, что субъектами персональных данных являются не только клиенты, но и сотрудники. Согласие на обработку должно быть оформлено с каждым из них, желательно отдельным документом. Необходимо издать приказ, назначить ответственных, утвердить перечень лиц, работающих с ПД, провести аудит и внедрить процедуры по безопасному хранению и своевременному удалению информации. Это поможет систематизировать работу с данными, снизить риски и быть готовыми к проверкам.

📄 Дело в цифрах

Please open Telegram to view this post

VIEW IN TELEGRAM

www.tgoop.com/delo_nom/2867

3.05K viewsMay 15 at 06:51

Уничтожение персональных данных: как соблюдать закон и избежать штрафов

С 30 мая 2025 года в России вступают в силу поправки к закону 152-ФЗ, усиливающие ответственность за нарушения при работе с персональными данными. Индивидуальные предприниматели будут нести такую же ответственность, как и юридические лица. За неуведомление Роскомнадзора о начале обработки данных введен штраф до 300 тыс руб. При повторной утечке данных максимальный штраф составит 500 млн руб. или 3% годовой выручки. За утечку биометрических данных — до 20 млн руб.

Уничтожение персональных данных требуется в следующих случаях:

🟢достижение цели обработки (например, выполнен договор или завершено исследование);
🟢отзыв согласия со стороны субъекта данных;
🟢выявление избыточных или ошибочно собранных сведений.

Сроки строго регламентированы: 30 дней на удаление по отзыву согласия, 10 рабочих дней — при выявлении нарушений.

Перед уничтожением необходимо:

🟢проверить основания и сроки хранения данных;
🟢определить, где хранятся данные (в том числе резервные копии и бумажные архивы);
🟢наладить взаимодействие между всеми подразделениями, работающими с ПД (кадры, маркетинг, бухгалтерия, ИБ и др.).

Процедура включает удаление сведений из всех систем, в том числе у третьих лиц (если они участвуют в обработке), составление акта об уничтожении и при необходимости — предоставление подтверждения субъекту персональных данных.

Особое внимание Роскомнадзор уделяет следующим аспектам:

🟢назначены ли ответственные за обработку ПД;
🟢ознакомлены ли сотрудники с законом;
🟢проведен ли внутренний аудит;
🟢опубликована ли политика обработки данных на всех страницах, где происходит их сбор.

Важно учитывать, что субъектами персональных данных являются не только клиенты, но и сотрудники. Согласие на обработку должно быть оформлено с каждым из них, желательно отдельным документом. Необходимо издать приказ, назначить ответственных, утвердить перечень лиц, работающих с ПД, провести аудит и внедрить процедуры по безопасному хранению и своевременному удалению информации. Это поможет систематизировать работу с данными, снизить риски и быть готовыми к проверкам.

📄 Дело в цифрах