Comply. | Комплаенс-бутик

Privacy-мнение от Comply

Процедура уничтожения персональных данных. Трагедия в 3-х частях. Финальная часть

Вот уже третью неделю мы обсуждаем процедуру уничтожения ПД. Определили, в каких случаях нужно уничтожать ПД, следуя всем правилам, и что фиксировать в логах.

Пришло время обсудить регулярность уничтожения ПД и, соответственно, составления актов об уничтожении и логирования.

По общему правилу, оператор ПД обязан прекратить обработку и уничтожить ПД в течение 30 дней с даты достижения цели их обработки. Подтверждает уничтожение соответствующий акт и выгрузка из журнала. Соответственно, каждые 30 дней оператору ПД нужно готовить эти документы, что может оказаться весьма обременительным.

Однако при невозможности уничтожения ПД оператор вправе их заблокировать на срок до 6 месяцев, а затем уничтожить (ч. 6 ст. 21 152-ФЗ).

Условия «невозможности» в статье не указаны, а значит оператор ПД может рискнуть самостоятельно их определить. Причины такой «невозможности» могут быть разные. Например, специфика ИТ-инфраструктуры оператора, ограничивающая или исключающая регулярную процедуру уничтожения.

Получается, что вроде бы оператор может поделить год на два полугодия и привязать к ним процедуру уничтожения. Таким образом, все документы с ПД и ПД в ИТ-системах, подлежащие уничтожению в январе 2024 – июне 2024 года, могут быть уничтожены единовременно, например, 28 июня, и все это можно закрепить единым актом об уничтожении.

❗️Проверьте, закреплена ли в вашем регламенте уничтожения или ином ЛНА возможность заблокировать ПД, а также как сформулированы основания для блокирвоки.

Вот такой элегантный способ свести всю бюрократию к двум актам в год. Но процедура блокирования должна все-таки по-настоящему существовать. Например, ПД должны быть перенесены во временную базу с ограничениями доступа и обработки и / или должен проставляться дополнительный признак запрета обработки, т.е. «блокировки».

А еще напомним, что блокирование – это временное прекращение обработки ПД. То есть оператор не может использовать персональные данные в течение этих 6 месяцев в своих целях.

☝️Блокирование перед уничтожением упрощает саму процедуру уничтожения ПД, и точно не является лазейкой для продления срока использования ПД оператором.

Конечно же и само по себе блокирование должно выполняться по определенным правилам. При этом оно не должно быть чрезмерно обременительным, в противном случае не понятно, зачем оно нам…но правила блокировки это уже отдельная история.

🔥Надеемся, серия постов была полезной и поможет вам обуздать рутину уничтожения ПД (смотрите пост раз и пост два).

В следующем посте ответили на самые популярные вопросы наших подписчиков в формате вопрос-ответ ⬇️

#мнение

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/it/comply_ru.com/325

1.4K viewsedited  Apr 24, 2024 at 09:09

Privacy-мнение от Comply

Процедура уничтожения персональных данных. Трагедия в 3-х частях. Финальная часть

Вот уже третью неделю мы обсуждаем процедуру уничтожения ПД. Определили, в каких случаях нужно уничтожать ПД, следуя всем правилам, и что фиксировать в логах.

Пришло время обсудить регулярность уничтожения ПД и, соответственно, составления актов об уничтожении и логирования.

По общему правилу, оператор ПД обязан прекратить обработку и уничтожить ПД в течение 30 дней с даты достижения цели их обработки. Подтверждает уничтожение соответствующий акт и выгрузка из журнала. Соответственно, каждые 30 дней оператору ПД нужно готовить эти документы, что может оказаться весьма обременительным.

Однако при невозможности уничтожения ПД оператор вправе их заблокировать на срок до 6 месяцев, а затем уничтожить (ч. 6 ст. 21 152-ФЗ).

Условия «невозможности» в статье не указаны, а значит оператор ПД может рискнуть самостоятельно их определить. Причины такой «невозможности» могут быть разные. Например, специфика ИТ-инфраструктуры оператора, ограничивающая или исключающая регулярную процедуру уничтожения.

Получается, что вроде бы оператор может поделить год на два полугодия и привязать к ним процедуру уничтожения. Таким образом, все документы с ПД и ПД в ИТ-системах, подлежащие уничтожению в январе 2024 – июне 2024 года, могут быть уничтожены единовременно, например, 28 июня, и все это можно закрепить единым актом об уничтожении.

❗️Проверьте, закреплена ли в вашем регламенте уничтожения или ином ЛНА возможность заблокировать ПД, а также как сформулированы основания для блокирвоки.

Вот такой элегантный способ свести всю бюрократию к двум актам в год. Но процедура блокирования должна все-таки по-настоящему существовать. Например, ПД должны быть перенесены во временную базу с ограничениями доступа и обработки и / или должен проставляться дополнительный признак запрета обработки, т.е. «блокировки».

А еще напомним, что блокирование – это временное прекращение обработки ПД. То есть оператор не может использовать персональные данные в течение этих 6 месяцев в своих целях.

☝️Блокирование перед уничтожением упрощает саму процедуру уничтожения ПД, и точно не является лазейкой для продления срока использования ПД оператором.

Конечно же и само по себе блокирование должно выполняться по определенным правилам. При этом оно не должно быть чрезмерно обременительным, в противном случае не понятно, зачем оно нам…но правила блокировки это уже отдельная история.

🔥Надеемся, серия постов была полезной и поможет вам обуздать рутину уничтожения ПД (смотрите пост раз и пост два).

В следующем посте ответили на самые популярные вопросы наших подписчиков в формате вопрос-ответ ⬇️

#мнение