Новые правила уничтожения персональных данных работников

Автор: Соболева Е. А., эксперт информационно-справочной системы «Аюдар Инфо»

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) уничтожение персональных данных (ПД) является видом их обработки и представляет собой действия, в результате которых невозможно восстановить содержание таких данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Когда работодатель должен уничтожить ПД, как и каким документом оформлять их уничтожение с 1 марта 2023 года, расскажем в материале.

Когда и в какие сроки уничтожаются персональные данные?

Законом № 152-ФЗ установлено несколько случаев, когда оператор обязан уничтожить персональные данные, и соответственно разные сроки их уничтожения. Представим их в таблице.

В случаях достижения цели обработки персональных данных и отзыва субъектом согласия на обработку его персональных данных может применяться другой срок для уничтожения ПД, если:

• он предусмотрен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

• он предусмотрен иным соглашением между оператором и субъектом персональных данных;

• если оператор не вправе осуществлять обработку персональных данных без согласия их субъекта на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами (ч. 7 ст. 5, ч. 4, 5 ст. 21 Закона № 152-ФЗ).

Так, применяется другой срок уничтожения для некоторых кадровых документов работников, содержащих персональные данные. Например, приказы о приеме, переводе, перемещении, ротации, совмещении, совместительстве, об увольнении, оплате труда, аттестации, о повышении квалификации, присвоении классных чинов, разрядов, званий, поощрении, награждении, об изменении анкетно-биографических данных подлежат сначала хранению в течение 50 или 75 лет и только потом уничтожению (п. 434 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного Приказом Росархива от 20.12.2019 № 236 (далее – Приказ № 236)).

К сведению: передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом ПД для распространения, должна быть прекращена в любое время по требованию этого субъекта. Исключение – обработка персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей (ч. 12, 13, 15 ст. 10.1 Закона № 152-ФЗ).

Если уничтожить персональные данные в течение срока, указанного в ч. 3–5.1 ст. 21 Закона № 152-ФЗ, нет возможности, оператор должен блокировать эти данные и обеспечить их уничтожение в срок не более 6 месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона № 152-ФЗ).

Каков порядок уничтожения персональных данных?

Порядок уничтожения персональных данных законодательно не установлен, поэтому его определяет оператор ПД самостоятельно. Для этого работодателю в первую очередь нужно разработать локальный акт об уничтожении персональных данных, прописав в нем случаи и способы такого уничтожения.

Затем приказом работодателя создается комиссия по уничтожению персональных данных. В этом документе указываются:

• состав комиссии – председатель и ее члены (начальник кадровой службы, главный бухгалтер, руководители структурных подразделений, секретарь организации и пр.);

• цель создания комиссии;

• ее функции, сроки ее работы;

• какие персональные данные и на каких носителях (бумажных, электронных) подлежат уничтожению;

• способы уничтожения персональных данных на бумажных носителях (электронных носителей);

• другие необходимые сведения.

Комиссия определяет и составляет перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам (в частности, Законом № 152-ФЗ, Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Приказом № 236, другими определяющими случаи и особенности обработки персональных данных федеральными законами).

Способами уничтожения могут быть:

• в случае с ПД на бумажных носителях – разрезание, гидрообработка, сжигание, механическое уничтожение, например при помощи шредера;

• в случае с ПД на электронных носителях – стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска и т. п. Затем осуществляется непосредственное уничтожение персональных данных на документах (носителях) без возможности их восстановления.

Как оформляется уничтожение персональных данных?

Приказом Роскомнадзора от 28.10.2022 № 179 утверждены Требования к подтверждению уничтожения персональных данных (далее – Требования), которые вступили в силу 01.03.2023.

Согласно Требованиям, если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПД, является акт об их уничтожении.

Если обработка осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются:

• акт об уничтожении ПД;

• выгрузка из журнала регистрации событий в информационной системе ПД.

Акт об уничтожении персональных данных субъекта (субъектов) персональных данных должен содержать:

• наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

• наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку ПД по поручению оператора (если обработка была поручена такому лицу (таким лицам));

• фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

• фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших (уничтожившего) ПД, а также их (его) подпись;

• перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

• наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) ПД, с указанием количества листов в отношении каждого материального носителя (в случае обработки этих данных без использования средств автоматизации);

• наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены ПД (в случае обработки этих данных с использованием средств автоматизации);

• способ уничтожения данных;

• причину уничтожения данных;

• дату уничтожения данных.

Выгрузка из журнала должна содержать:

• фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

• перечень категорий уничтоженных персональных данных;

• наименование информационной системы персональных данных, из которой были уничтожены ПД;

• причину уничтожения персональных данных;

• дату уничтожения этих данных.

Если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения вносятся в акт об уничтожении персональных данных.

Обратите внимание: акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, осуществивших уничтожение.

Акт об уничтожении ПД и выгрузку из журнала хранят в течение 3 лет с момента уничтожения персональных данных.