Как соблюсти закон при уничтожении персональных данных и не удалить лишнее

ПДн – персональные данные

НПА – нормативный правовой акт

ИСПДн – информационная система персональных данных

ЛНА – локальный нормативный акт

Уничтожение персональных данных — это действия, в результате которых становится невозможным восстановление содержания данных в информационной системе персональных данных или уничтожаются материальные носители персональных данных. Каждая организация, работающая с персональными данными, обязана осуществлять этот процесс с соблюдением всех юридических норм и стандартов. Это необходимо не только для защиты конфиденциальности клиентов и партнеров, но и для предотвращения возможных юридических последствий, связанных с нарушением правил обработки персональных данных.

Документы, содержащие персональные данные, присутствуют практически во всех сферах деятельности: трудовой, медицинской, финансовой, налоговой и других. Это могут быть медицинские карты, документы бухгалтерской, налоговой отчетности, договоры с клиентами, резюме кандидатов на замещение вакантных должностей, обращения граждан – все те документы, которые содержат хотя бы минимальный набор ПДн.

Кроме того, практически каждый оператор ведет обработку ПДн в электронном виде.

Например, использует специальные программные средства для ведения кадрового и бухгалтерского учета, формирует базы данных клиентов, ведет переписку по электронной почте, сохраняет записи телефонных разговоров, в которых также могут присутствовать ПДн, ведет видеонаблюдение и т.д. 

Закон о персональных данных обязывает уничтожать ПДн по достижении целей их обработки.

Например, соискатель направил в компанию резюме в целях рассмотрения его кандидатуры на вакантную должность и дальнейшего трудоустройства. Работодатель провел собеседование и отказал кандидату в приеме на работу. С момента такого отказа цель обработки ПДн соискателя достигнута. По закону работодатель не обязан хранить резюме кандидата, поэтому он должен уничтожить ПДн соискателя в течение 30 дней, как установлено 152-ФЗ (если не получил согласие кандидата на включение его, например, в кадровый резерв). В данном примере основанием для уничтожения как раз будет выступать достижение цели обработки ПДн соискателя.

Однако достижение цели обработки не единственное основание для уничтожения ПДн. Даже при достижении цели обработка ПДн может быть продолжена в тех случаях,когда законом или договором с субъектом персональных данных установлены конкретные сроки их хранения.

Например, у гражданина был заключен договор потребительского кредита с банком, обязательства по которому исполнены в полном объеме. То есть, цель, для которой граждан предоставлял свои ПДн в банк, достигнута. Однако это еще не значит, что банк должен удалить ПДн клиента и произвести уничтожение договора, поскольку организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны хранить документы, содержащие сведения для идентификации личности, не менее пяти лет (п. 4 ст. 7 № 115-ФЗ “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма” от 07.08.2001).

Из примеров мы видим, что достижение цели обработки и истечение сроков хранения – хоть и разные, но тесно взаимосвязанные основания для проведения уничтожения ПДн.

Если цель обработки ПДн достигнута, вторым шагом нужно обязательно проверить сроки хранения, чтобы не удалить лишнего и не нарушить требования отраслевого законодательства в части хранения.  Ведь организация или ИП могут быть оштрафованы, если преждевременно удалят документы и сведения (в том числе содержащие персональные данные), до истечения установленных законом сроков.

Например, в случае непредоставления документов налогового и бухгалтерского учета за определённый налоговый период по причине их преждевременного уничтожения.

Правовым основанием для продолжения хранения ПДн могут выступать требования НПА различных сфер деятельности (финансовой, медицинской, трудовой и т.д.) и это не противоречит 152-ФЗ, поскольку:

  • принципы обработки ПДн, указанные в ст. 5 152-ФЗ, определяют, что хранение ПДн должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором с субъектом ПДн;
  • для обработки ПДн в таком случае предусмотрено правовое условие (пп. 2 ч. 1 ст. 6 152-ФЗ).

Таким образом, при принятии решения об уничтожении персональных недостаточно руководствоваться только 152-ФЗ. Важно учитывать требования других законов, устанавливающих сроки хранения тех или иных документов, а также положения договора (или иного соглашения) с субъектом ПДн в данной части.

И учет таких требований должен осуществляться не просто в процессе работы или на этапе принятия решения об уничтожении, а еще на этапе разработки Политики и иных локальных актов в области обработки ПДн. Ведь, исходя из положений пп. 2 ч. 1 ст. 18.1 152-ФЗ, в локальных актах по отношению к каждой цели обработки ПДн оператор должен определить, помимо прочего, сроки обработки и хранения ПДн. Вы точно не забудете прописать сроки хранения персональных данных, а также сможете учесть все необходимые требования к содержанию ЛНА, если будете использовать для разработки документации сервис 152DOC.

Помимо достижения целей и истечения сроков хранения ПДн обязанность по уничтожению может возникнуть при:

  • выявлении неправомерной обработки при внутреннем аудите или со стороны РКН (срок для уничтожения – 10 рабочих дней);
  • отзыве согласия (срок для уничтожения – 30 дней);
  • требовании о прекращении обработки (срок для уничтожения – 10 рабочих дней) и др.

Подробнее про уничтожение в рамках рассмотрения запросов субъектов ПДн читайте в наших статьях:

Как правильно работать с запросами субъектов персональных данных, часть 1

Как правильно работать с запросами субъектов персональных данных, часть 2

Как правильно работать с запросами субъектов персональных данных, часть 3

В любом случае для того, чтобы понять пора ли уничтожить ПДн, операторам нужно ответить на следующие вопросы:

  1. Где (в каких программах, системах, на каких информационных ресурсах, сайтах, в каких документах и т.д.) используются ПДн, в каких процессах обработки ПДн фигурируют? Это позволит понять, в отношении каких программ, систем, материальных носителей и т.д. нужно провести внутренний контроль на предмет необходимости уничтожения ПДн.
  2. На основании чего обрабатывались ПДн (закон, согласие, договор или иное) в каждой системе, программе и т.д.? Это позволит определить наличие правовых оснований для обработки ПДн относительно каждого процесса, где они используются. Если правовых оснований нет – продолжать обработку таких данных нельзя (оценка правовых оснований важна, например, при отзыве согласия, поступлении требования о прекращении обработки ПДн и др.).
  3. Достигнуты ли цели обработки по каждому процессу, в котором задействованы ПДн? Это позволит оценить для чего ПДн обрабатывались, есть ли необходимость в продолжении такой обработки или она утрачена.
  4. Есть ли обязанность хранить ПДн (материальные носители ПДн)? Это позволит избежать преждевременного уничтожения ПДн и возможных нарушений в иных сферах деятельности.
  5. Сколько нужно хранить данные? Это позволит установить и зафиксировать для себя момент, когда нужно будет произвести уничтожение конкретных документов. Сроки могут быть определены законом, договором с субъектом, согласием на обработку ПДн.

Конкретный порядок уничтожения персональных данных законодательством не установлен. Данный порядок компания вправе определить самостоятельно, прописав его в отдельном локальном нормативном акте или включив в состав, например, политики в отношении обработки ПДн. В локальных актах можно определить, в частности:

  • Периодичность проведения работ по уничтожению;
  • Правила уничтожения;
  • Процедуру и способы уничтожения;
  • Ответственных за проведение уничтожения лиц.

Однако определить, каким образом будет фиксироваться факт уничтожения самостоятельно не получится, так как процедура подтверждения проведения уничтожения изменилась: требования к подтверждению уничтожения Роскомнадзор определил в приказе № 179 от 28.10.2022.

По новым правилам данные на бумажных носителях уничтожаются по Акту, соответствующему п. 3 приказа № 179.

Удаление личной информации граждан из ИСПДн оформляется Актом и Выгрузкой из журнала регистрации событий в ИСПДн, соответствующей п. 5 приказа № 179 (с возможностью внесения недостающих сведений в Акт).

Подтверждающие уничтожение документы должны содержать:

  • Сведения об операторе (наименование и адрес).
  • Сведения о лице, действующем по поручению оператора (в случае поручения).
  • Конкретный идентификатор ПДн (ФИО, ИНН, иные).
  • Идентификатор «иные» допустимо указать в том случае, когда оператор не располагает ФИО субъектов, чьи данные уничтожены.
  • Перечень категорий уничтоженных ПДн.
  • Способ и причину уничтожения.
  • Наименование уничтоженных материальных носителей или ИСПДн, из которой уничтожены данные.
  • Сведения о лицах, проводивших уничтожение.
  • Дата уничтожения.

Если в Выгрузке из журнала технически невозможно указать какие-либо сведения, недостающие сведения должны быть внесены в Акт уничтожения.

Оба документа — акт об уничтожении и выгрузка — должны храниться в течение трёх лет с момента уничтожения персональных данных.

Таким образом, чтобы правильно уничтожить ПДн и при этом соблюсти все законодательные нормы, необходимо следовать следующим ключевым шагам:

  1. Закрепить порядок, процедуру и способы уничтожения ПДн в локальном нормативном акте, который будет регулировать порядок, процедуру и способы уничтожения данных. Это поможет систематизировать процесс и избежать ошибок.
  2. Утвердить состав комиссии по уничтожению, включив в нее, в том числе, руководителей (или ответственных специалистов) структурных подразделений, в которых планируется проведение уничтожения ПДн.

    Если оператор – в единственном лице (ИП без сотрудников, самозанятый) можно включать в комиссии сторонних лиц, привлеченных, например, на основании договора ГПХ, на период действия комиссии и выполнения ее функций.

    Не стоит возлагать проведение уничтожения на одного человека: помимо самого уничтожения необходима предварительная работа (выделение документов, подлежащих уничтожению, составление описей и т.д).

    Комиссионное уничтожение позволит снизить число возможных ошибок.

    Для пользователей сервиса 152DOC доступен «Приказ о комиссии по уничтожению», в котором определяется состав комиссии, положение о комиссии, включающее порядок и процедуру уничтожения, а также форму Акта уничтожения, соответствующую требованиям приказа РКН № 179.
  3. Определить перечень документов, подлежащих уничтожению с учетом сроков хранения в соответствии с номенклатурой дел (при ее наличии) или действующими НПА. Исходите из сферы деятельности, к которой относятся анализируемые документы (носители) и учитывайте отраслевое законодательство. Например:
    • Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»
    • Налоговый Кодекс РФ;
    • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и иные НПА.
    Важно помнить, что электронные документы необходимо хранить столько же, сколько и бумажные.
  4. Сверить документы с описью или записями в Акте уничтожения, после чего произвести их уничтожение.

    Способы уничтожения могут быть различные: шредирование, сжигание, механическое уничтожение и т.п. В любом случае уничтожение должно предполагать, что ПДн станут непригодными для дальнейшего использования, обработки и передачи – цифровые носители будут зачищены, а материальные носители – безвозвратно уничтожены.

    Если ПДн уничтожались из информационной системы – сделайте выгрузку из журнала регистраций событий в ИСПДн (а при необходимости и Акт уничтожения) в соответствии с приказом Роскомнадзора № 179.
  5. Списать уничтоженные документы (носители) с книг и журналов учета (регистрации) данных документов (носителей).

Что делать, если услуги по уничтожению документов (в том числе, с ПДн) оказывает сторонняя организация?

  • Оформить с компанией, проводящей уничтожение, Поручение (договор, контракт), соответствующие ч. 3 ст. 6 152-ФЗ.
  • Убедиться в соответствии привлекаемого лица требованиям 152-ФЗ.
  • Контролировать действия привлекаемого лица по уничтожению ПДн и оформлению подтверждающих документов.
  • Помнить, что ответственность перед субъектами ПДн остается за вашей компанией! Выстраивайте взаимодействие с привлекаемым лицом с учетом этого факта.

Правильное уничтожение персональных данных- это процесс, требующий серьезного подхода и соблюдения установленных нормативов. Для успешной реализации этого процесса необходимо разработать четкие правила и процедуры, утвердить комиссии по уничтожению данных и следить за сроками хранения документов.

Использование надежных методов уничтожения, которые исключают возможность восстановления данных, является необходимым условием для обеспечения конфиденциальности и защиты персональных данных. Следование этим рекомендациям поможет организациям минимизировать риски и избежать юридических проблем, связанных с нарушением законодательства.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять