Перейти к содержимому

Как уничтожить персональные данные в 1с

  • автор:

Как компаниям уничтожать персональные данные с 1 марта 2023 года

Когда компании должны уничтожать персональные данные

С 1 марта для организаций и ИП, обрабатывающих персональные данные физлиц, в том числе и для работодателей, был изменен порядок уничтожения персональных данных. Теперь компании должны подтверждать факт уничтожения таких данных в целях пресечения их незаконной обработки. Ранее никаких требований к документальному оформлению факта уничтожения персональных данных законодательством установлено не было.

Обязанность по уничтожению персональных данных возникает в следующих случаях (ч.ч. 3−5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

  • при необоснованном получении персональных данных (например, получение персданных физлица без его согласия);
  • при неправомерной обработке персональных данных (незаконная передача персданных третьим лицам, необеспечение сохранности данных и т.д.);
  • при достижении целей обработки персональных данных (например, при истечении срока действия ранее исполненного договора);
  • при отзыве субъектом персональных данных согласия на обработку его персональных данных.

В первых двух случаях компания обязана незамедлительно прекратить неправомерную обработку персональных данных и обеспечить правомерность обработки персональных данных. Если обеспечить законность обработки не удается, компания должна уничтожить имеющиеся в ее распоряжении персональные сведения, которые обрабатываются с нарушением установленных законодательством требований.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

  1. С 1 марта 2023 года изменен порядок уничтожения персональных данных.
  2. Теперь компании должны подтверждать факт уничтожения персданных в целях пресечения их незаконной обработки.
  3. Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных.
  4. Способ уничтожения персональных сведений компания выбирает самостоятельно.
  5. Если обработка персональных данных осуществляется вручную, без применения компьютеров, то их уничтожение нужно подтверждать специальным актом об уничтожении.
  6. Если компания обрабатывает персональные данные с использованием компьютерной техники, то их уничтожение должен подтверждать акт и выгрузка из журнала регистрации событий в информационной системе персональных данных.
  7. Форму акта об уничтожении персональных данных компания может составить в произвольной форме.
  8. Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Также уничтожению подлежат персональные данные, цель обработки которых была достигнута, и данные, согласие на обработку которых было отозвано. В этих случаях обеспечивать правомерность обработки персональных данных не требуется – данные попросту уничтожаются.

Как уничтожать персональные данные

Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Конкретный порядок уничтожения персональных данных законодательством не установлен. Данный порядок компания вправе определить самостоятельно, прописав его в отдельном локальном нормативном акте. В таком акте можно определить ситуации, когда требуется уничтожение персональных данных, а также способ их уничтожения.

В любом случае уничтожение должно предполагать, что персональные данные станут непригодными для дальнейшего использования, обработки и передачи – цифровые носители будут зачищены, а материальные носители – безвозвратно уничтожены.

Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководства компании. Этим приказом формируется комиссия из числа работников компании, в состав которой входит должностное лицо, ответственное за обработку персональных данных. Комиссия определяет перечень персональных сведений, подлежащих уничтожению. После этого комиссия приступает непосредственно к самому уничтожению данных.

Способ уничтожения персональных сведений компания выбирает самостоятельно. Если данные хранятся на бумажных носителях, эти носители могут быть, к примеру, сожжены, разорваны или измельчены через шредер до такой степени, чтобы их нельзя было восстановить.

Если информация хранится на машиночитаемых носителях (жестких дисках, флешках) или в информационной системе, она может быть уничтожена как путем физического уничтожения самого носителя, так и путем удаления информации из системы, форматирования диска или записи на него новой информации. И в том и в другом случае восстановление ранее содержащихся на носителе или в информационной системе сведений должно полностью исключаться.

После уничтожения компания должна документально оформить уничтожение персональных данных для целей возможного подтверждения данного факта в суде, в правоохранительных или контролирующих органах.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

  • наименование организации или ФИО предпринимателя и их адрес местонахождения;
  • ФИО лиц, чьи персональные данные были уничтожены;
  • ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
  • способ уничтожения персональных данных;
  • причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

  • ФИО лиц, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных и дату их уничтожения.

Если выгрузка из журнала не позволяет указать все эти сведения, то недостающие сведения нужно указать в акте об уничтожении. Акт об уничтожении и выгрузка подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Как уничтожить персональные данные в 1с

Дата публикации 27.05.2022

Руководитель отдела прочитал о необходимости удаления персональных данных сотрудников (в течение 30 дней) после их увольнения с предприятия. И хочет удалять их из программы 1С. Необходимо ли это делать? Чем следует руководствоваться, чтобы избежать удаления данных из программы, поскольку организации нужно представлять отчетность в налоговую инспекцию и в Пенсионный фонд РФ в течение года?

Работодатель вправе не удалять персональные данные сотрудников после их увольнения, поскольку обработка этих данных необходима для выполнения обязанностей, возложенных на него законодательством.

Право субъекта персональных данных на отзыв своего согласия на обработку персональных данных закреплено в ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ). Поскольку закон не устанавливает конкретные временные рамки для реализации этих данных, согласие на обработку персональных данных может быть отозвано работником как в день увольнения, так и в любой другой момент – на усмотрение самого работника. Отозвать такое согласие при увольнении работник вправе, но он не обязан этого делать.

Согласно ч. 5 ст. 21 Закона № 152-ФЗ в случае отзыва согласия на обработку персональных данных оператор (работодатель) обязан:

  • прекратить их обработку;
  • обеспечить прекращение такой обработки (если она осуществляется другим лицом по поручению оператора);
  • уничтожить персональные данные или обеспечить их уничтожение (если обработка осуществлялась другим лицом по поручению оператора) в срок не позднее 30 дней с даты поступления отзыва согласия на обработку (если иное не предусмотрено договором), в случае, если сохранение персональных данных не требуется для их дальнейшей обработки

В некоторых случаях оператор персональных данных (работодатель) имеет право продолжить обработку персональных данных субъекта (работника), даже если последний подал заявление об отзыве своего согласия на их обработку. В частности, продолжение обработки персональных данных после отзыва согласия возможно (п.п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ):

  • для осуществления оператором (работодателем) обязанностей, возложенных на него законом (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Речь идет об обязанности работодателя предоставлять персональные данные работника:
    • во внебюджетные фонды (ПФР, ФСС) (абз. 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее – Разъяснения);
    • в трудовую инспекцию (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений);
    • в профсоюзы (ст. 370 ТК РФ, абз. 5 п. 4 Разъяснений);
    • в прокуратуру и правоохранительные органы (абз. 7 п. 4 Разъяснений);
    • в налоговые органы и военные комиссариаты (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений);
    • в Роскомнадзор и его территориальные органы (ч. 4 ст. 20 Закона № 152-ФЗ);

    Таким образом, даже если работник подаст работодателю заявление об отзыве согласия на обработку персональных данных, работодатель вправе продолжать их обработку в целях выполнения обязанностей, возложенных на него законодательством, например, в случаях, когда работодатель должен предоставлять персональные данные работника во внебюджетные фонды (ПФР, ФСС), а также в налоговую инспекцию.

    Требования к подтверждению уничтожения персональных данных

    Добрый день. Как реализовать в программе 1С ЗУП п. 2 Приказа Роскомнадзора от 28.10.2022 N 179
    «Об утверждении Требований к подтверждению уничтожения персональных данных», а именно «выгрузка из журнала регистрации событий в информационной системе персональных данных»?

    Обсуждение (3)

    Добрый день. В настоящее функционал по уничтожению персональных данных сотрудников находится в разработке. Такая информация была озвучена на партнерском семинаре фирмы 1С в марте 2023 года. В будущих версиях ЗУП 3.1.26 предполагается возможность удаления персональных данных уволенных сотрудников по истечению заданного срока после увольнения. Под удалением подразумевается обезличивание данных с сохранением суммовых значений, влияющих на налоговую, статистическую и другую отчётность (т.е. вместо ФИО и других персональных данных — будет буквенно-цифровой код). В планах создать специальную обработку-помощник, которая будет формировать акт об уничтожении персональных данных и выгрузку из журнала.

    Конкретные сроки реализации не сообщаются. Отслеживать изменения законодательства можно на сайте https://v8.1c.ru/lawmonitor/prochee/ в разделе Прочее. Но пока что я не вижу там запланированного функционала.

    Если требуется обезличивать/уничтожать персональные данные сейчас, тогда организации потребуется самостоятельно разработать порядок уничтожения/обезличивания персональных данных, утвердить форму Акта об уничтожении. Как вариант — вручную изменить ФИО сотрудника.
    Пункт 6 упоминаемого приказа Роскомнадзора от 28.10.2022 N 179 говорит: «В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 5 настоящих Требований, недостающие сведения вносятся в акт об уничтожении персональных данных».
    Исходя из этого, полагаю, как временное решение может подойти выгрузка из Журнала регистрации (Администрирование — Обслуживание — Журнал регистрации), где будет зафиксировано изменение Персональных данных сотрудника, чьи данные требуется уничтожить. Недостающие сведения (ФИО, чьи данные были уничтожены) нужно отразить в акте в произвольной форме.

    В ЗУП КОРП в настоящее время предусмотрена возможность удалять персональные данные кандидатов.

    Новые правила обработки персональных данных сотрудников с 2021 г. в 1С: Бухгалтерии

    Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных. А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд. В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

    В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

    Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

    Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

    Форма согласия

    Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

    Управленческий учет: с нуля до настройки в 1С, Excel и Google-таблицах

    Уметь настраивать и вести управленку — значит быть полезным для руководителей. Научитесь понимать, откуда приходят и куда уходят деньги компании на курсе повышения квалификации от «Клерка».

    Новые правила с 2021 года

    1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

    Рассмотрим основные нововведения.

    1. Появился документ «Согласие на распространение ПДн сотрудника».

    Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

    2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

    3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

    Отказ от согласия

    В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

    Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

    Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

    Как работодателю получить согласие?

    Получить согласие на распространение ПДн можно двумя способами:

    1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

    2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

    Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

    Форма документа

    Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.

    Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

    Зачастую документ «Согласие» содержит в себе не одну цель обработки и не одно третье лицо, которому распространяется информация, а сразу несколько, что по мнению Роскомнадзора противоречит действующему законодательству.

    Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.

    В этих статьях «цель обработки» и третье лицо указаны в единственном числе, следовательно, совмещать несколько целей и несколько третьих лиц в одном документе неправомерно.

    Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.

    Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2018 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.

    Отзыв согласия

    Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.

    Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.

    В документе следует указать:

    ПДн, обработку и распространение которых необходимо прекратить.

    Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней. Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

    Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

    Штрафы

    Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

    Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

    Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

    Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

    В этой связи, работодателям целесообразно брать с сотрудников:

    1. согласия на обработку персональных данных;

    2. согласия на распространение персональных данных.

    Документы составляются в соответствии с требованиями действующего законодательства.

    Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

    Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0

    В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

    Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

    Не заметить кнопку, выводящую на печать нужный нам документ сложно, ведь она располагается прямо на панели инструментов

    Рассмотрим подробнее алгоритм заполнения Согласия на обработку ПНд.

    Основные сведения о физ. лице и о компании заполняются автоматически.

    Следует проверить отраженные программой информации и заполнить следующие строки:

    1. Ответственный за обработку — выбираем работника организации, на которого возложена ответственность за обработку данных;

    2. ФИО ответственного лица для печати.

    Самая частая ошибка в этом документе — это дата получения согласия.

    Зачастую документ печатают позже необходимой даты и уделяют внимание лишь полю «дата», меняя значение на корректное, но забывают сменить дату в поле «согласие получено».

    В итоге показатели в этих полях существенно различаются и могут не соответствовать действительности.

    Поле «Срок действия» заполняется только в том случае, если согласие предоставлено на определенные период времени, иначе конечную дату устанавливать не нужно, согласие будет бессрочным.

    Распечатать документ можно в формате Word или в табличном формате 1С.

    При получении от сотрудника письменного заявления на отзыв согласия на обработку ПДн, есть возможность сформировать одноименный документ из «Согласие на обработку ПДн».

    Нужная для этого кнопка располагается на панели инструментов.

    В отзыве снова заполняем ответственное лицо и его ФИО.

    Особое внимание стоит уделить полям «Дата» и «Согласие отзывается». Они должны соответствовать дате заявления работника. Документ оповещает нас о том, что ранее у субъекта было получено Согласие.

    В нашем примере оно было бессрочным. Данный документ не имеет печатной формы, но в 1С сведения регистрируются.

    Все полученные и отозванные физическими лицами согласия можно найти в отчетах по кадрам.

    Здесь интересны сразу два отчета, выделенные на скриншоте ниже. Они позволяют отследить действующие согласия и согласия, по которым истекает срок действия.

    Также возможно увидеть отзывы согласий сотрудников.

    Сформируем отчет по действующим согласиям.

    У Васильева К.М. дата получения согласия и дата документа основания совпадают, чего нельзя сказать о Березовском А.

    Двойным щелчком мыши по документу основанию можно открыть Согласие на обработку ПДн.

    Дата получения согласия существенно отличается от даты создания документа. Если различие дат является ошибкой, то это необходимо исправить.

    Обратим внимание, что в документе установлена дата, до которой будет действовать согласие, т.е. данное согласие не бессрочно.

    Теперь сформируем отчет «Согласие на обработку ПДн, срок действия которых истекает».

    По этому отчету легко проследить сроки действия согласий. Если данное поле пустое, значит согласие действует бессрочно. Также с помощью этого отчета можно увидеть отзывы согласий.

    В соответствии с ФЗ от 27.07.2006 No 152-ФЗ работодатели обязаны сохранять конфиденциальность персональных данных, полученных от физических лиц.

    В 1С можно отследить информацию по работе пользователей с данными.

    Для этого необходимо произвести следующие настрой программы. Переходим в «Администрирование» — «Настройки пользователей и прав».

    Раскрываем группу «Защита персональных данных».

    Сначала зайдем в «Настройки регистрации событий доступа к персональным данным».

    По умолчанию здесь не проставлены галочки, но для того, чтобы программа регистрировала события доступа к ПДн, необходимо проставить галочки вручную.

    Список данных предопределен. Пользователю надо выбрать ту информацию, по которой предполагается отслеживание изменений.

    После того, как в программе будут установлены необходимые галочки, станет доступен журнал «Защита персональных данных».

    Данный журнал позволяет отследить действия сотрудников в программе.

    Важно, чтоб каждый из них заходил под своим именем и паролем. Регистрация в программе происходит в режиме реального времени. В журнале удалить данные нельзя. Все необходимые кнопки по отбору вынесены на панель инструментов.

    Таким образом программа 1С позволяет регистрировать события доступа к персональным данным физических лиц.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *