Как уничтожать документы, содержащие персональные данные
Темы сбора и последующей обработки персональных данных всплывают в публикациях довольно часто. Как собирать, на каком основании, как оформить, что именно можно собирать, что – нет… Как защитить от утечек, что поможет избежать штрафов…
В блоге Бридж Групп мы уже давали ответы на некоторые вопросы по этой теме и рассказывали, как найти и исправить ошибки:
А вот тему уничтожения персональных данных затрагивают довольно редко. Причина в том, что многие операторы вообще мало задумываются о том, что данные надо не только собирать и хранить, но и своевременно уничтожать. И это тоже важная часть обработки.
Когда надо уничтожать
По общему правилу, персональные данные субъекта должны быть уничтожены, как только достигнута цель, ради которой их собирали. В ряде случаев есть законом установленные сроки хранения тех или иных документов, а значит, и данных, которые в них содержатся. Например, кадровые документы, которые в 100% случаев содержат персональные данные работников в том или ином объеме, имеют свои сроки хранения, иногда довольно длительные.
В случаях, когда законом сроки хранения персональных данных не установлены, это задача оператора во внутренних документах такие сроки расписать. И точно будет ошибкой использовать тут два самых популярных критерия: отзыв согласия на обработку и ликвидация компании-оператора.
- Во-первых, далеко не все данные обрабатываются на основании согласия.
- Во-вторых, цель обработки может быть достигнута и при наличии согласия, но дальше хранить данные все равно будет нельзя.
- В-третьих, даже при ликвидации организации далеко не все подлежит уничтожению. Многие документы передаются в архивы.
При этом факт хранения персональных данных дольше, чем того требует цель обработки, это нарушение правил обработки. У вас уже нет законного основания держать у себя эти данные, а значит, вы можете получить штраф. С 30 мая это будет до 300 000 рублей на компанию.
Кроме того, закон требует, чтобы данные, у которых разные цели обработки, хранились в разных информационных системах персональных данных (далее – ИСПДн). И хранения рядом в 1С или системе КЭДО данных как действующих, так и уволенных работников, это опять-таки штраф.
Кстати, обращайте внимание на провайдеров КЭДО. Не все они учитывают эти нюансы и предлагают понятную систему отслеживания хранения, передачи в архив и уничтожения документов. Зачастую они говорят, что хранят все данные постоянно, что напрямую нарушает закон.
Как уничтожать правильно
Необходимо регулярно отслеживать, какие данные и документы должны быть уничтожены по тем или иным основаниям. Их необходимо изымать из прежних мест хранения, неважно, в шкафу на полке в бумажном формате или в электронной форме в ИСПДн.
Затем необходимо составить акт на уничтожение, с учетом того, на материальных носителях у нас уничтожаемые данные или в цифровой форме. С октября 2022 года описание формы таких актов есть в нормативном документе – приказе Роскомнадзора от 28.10.2022 N 179. Он содержит требования к подтверждению уничтожения персональных данных.
Именно этим приказом надо руководствоваться при уничтожении любых документов, содержащих персональные данные как работников, так и других субъектов. Так как у нас практически все кадровые документы содержат такие данные, то и уничтожать их необходимо с учетом положения приказа Роскомнадзора.
Этот документ предполагает довольно необычную форму акта. В нем необходимо указать не просто перечни документов, а перечислить субъектов, чьи данные уничтожаются, и уже в привязке к ним дать список документов. В случае уничтожения документов в электронной форме нужно приложить выгрузку из журнала регистрации событий в ИСПДн. Акты эти хранятся 3 года.
Отношения к персональным данным сейчас у регулятора очень внимательное. Уже введена уголовная ответственность за нарушения в этой сфере, в мае нас ждет серьезное повышение ответственности административной. Чтобы избежать негативных последствий, важно уже сейчас провести аудит всех документов, содержащих персональные данные, и уничтожить все лишнее.
Автор
Елена Федорова
Юрисконсульт