Инструкция по уничтожению персональных данных в организации

Уничтожение персональных данных — это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ).

Говоря проще, в установленных законом случаях оператор персональных данных обязан обнулить такие данные без возможности восстановления путем измельчения бумажных документов и (или) неустранимого физического повреждения машиночитаемых носителей, их содержащих.

Чтобы не загружать себя лишней работой по уничтожению персональных данных оператору важно:

• не концентрировать у себя излишнюю информацию о физлицах в бумажной или электронной формах;
• правильно ее классифицировать.

К примеру, работодатель не должен собирать информацию о здоровье работников, а они не обязаны сообщать компании такие сведения, в том числе об опасных заболеваниях.  Персональные данные такого вида работодатель вправе запросить только при наличии законодательно установленных требований к здоровью отдельных категорий: работников пищевой сферы, педагогов, сотрудников авиа- и транспортной безопасности и т.п. (Письмо Роструда от 16.01.2023 № ПГ/32857-6-1). Незаконно собранные сведения все равно придется уничтожить. Если же изначально не запрашивать их, то и поводов для обнуления данных будет меньше.

Кроме того, отдельные данные о физлицах сами по себе не признаются персональными, если они не находятся в связке с другими сведениями. Тогда по закону уничтожать их не требуется. Например, номер телефона сам по себе не относится к персданным, но в комплекте с ФИО владельца приобретает такой статус.

Все случаи обязательного уничтожения персональных данных прописаны в Федеральном законе от 27.07.2006 № 152-ФЗ. Для каждого предусмотрен свой срок.

Если владелец персональных данных отозвал согласие на обработку своих данных или достигнута цель их обработки, могут применяться и другие сроки их уничтожения, предусмотренные специальным договором или соглашением. 

Кроме того, отдельные Федеральные законы могут предусматривать специальные сроки хранения документов и их нужно соблюдать. Например, приказы о приёме и увольнении сотрудников, содержащие их персональные данные, нужно хранить 50/75 лет (п. 434 Перечня, утв. приказом Росархива от 20.12.2019 № 236). Уничтожать раньше установленных сроков такие документы нельзя.

Компания или ИП сами определяют, каким способом они будут уничтожать персональные данные. Выбранный способ нужно зафиксировать в локальном акте и утвердить.

Варианты:

• разрезание;
• сжигание;
• механическое уничтожение;
• сдача предприятию по утилизации вторсырья;
• стирание данных на устройстве гарантированного уничтожения информации;
• нарушение функциональных возможностей носителя информации;
• иные способы.

Главное требование к выбранному варианту — невозможность восстановления уничтоженного носителя данных.

С 01.03.2023 процесс уничтожения персданных требуется документировать. Если раньше Роскомнадзор лишь рекомендовал оформление акта, то с указанной даты его составление стало обязательным. 

Одним актом не обойтись, если обработка данных происходит не только в бумажной, но и в электронной форме. После уничтожения персданных, обработка которых происходила с помощью компьютерной техники, для подтверждения факта уничтожения дополнительно потребуется выгрузка из журнала регистрации событий в информационной системе. Это может быть выгрузка из учетной бухгалтерской или кадровой программ, с корпоративного сайта компании и подобных компьютерных источников сбора и хранения данных. Подготовить ее можно с помощью ИТ-специалиста или самостоятельно.

Специального бланка акта об уничтожении персданных нет, поэтому оформить документ можно в произвольном виде.  Роскомнадзор в приказе от 28.10.2022 № 179 назвал его обязательные реквизиты. 

В представленном образце акта они учтены:

Хранить документы, подтверждающие уничтожение персданных, нужно в течение трех лет (Приказ Роскомнадзора от 28.10.2022 № 179). 

Если проверяющие не обнаружат акт при проверке, посчитают невыполненными требования об обязательном уничтожении персональных данных и накажут — штраф на директора составит от 8 000 руб. до 20 000 руб., на ИП от 20 000 до 40 000 руб. Компании придется расстаться с более внушительной «штрафной» суммой: от 50 000 руб. до 90 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Повторное аналогичное нарушение способно серьезно истощить «карман» оператора персданных (ч. 5.1 ст. 13.11 КоАП РФ):

Чтобы соблюсти все формальности и не попасть на штрафы, процедуру уничтожения персданных можно поручить специальной комиссии.

Роскомнадзор на официальном сайте пояснил, что порядок документальной фиксации уничтожения персданных компания или ИП определяет самостоятельно. Для упорядочения этого процесса обычно оформляется Положение «О работе с персональными данными» или нужные процедуры прописывают в другом отдельном локальном нормативном акте (ЛНА). 

В ЛНА обозначается, кто занимается уничтожением данных. Чиновники допускают два варианта:

• специально созданная комиссия;
• должностное лицо, уполномоченное на основании распоряжения или приказа.

Схематично порядок работы указанных лиц выглядит так:

1. Определить состав комиссии (основание — приказ) с обязательным включением лица, ответственного за обработку документов, планируемых к уничтожению (по направлению деятельности, в пределах установленных полномочий).
2. Определить перечень, оформить список документов, подлежащих уничтожению, согласно установленных действующими нормативными актами (Федеральными законами от 27.07.2006 № 152-ФЗ, от 22.10.2004 № 125-ФЗ, приказом Минкультуры от 25.08.2010 № 558 и др.).
3. После утверждения акта, перечисленные документы (носители) должны быть сверены с записями в акте и на указанных документах (носителях), далее персональные данные должны быть уничтожены, определенным и утвержденным компанией/ИП способом.
4. Уничтоженные документы (носители), содержавшие персональные данные, с книг и журналов учета (регистрации) данных документов (носителей) должны быть списаны.  

При таком подходе снижается риск ошибочного уничтожения документов (носителей), содержащих персональные данные. 

К примеру, ошибкой будет уничтожение персданных, если на момент утверждения акта срок их хранения не истек или не достигнута цель их обработки. Комиссионно проведенный комплекс мероприятий по уничтожению персданных позволяет минимизировать процедурные нарушения и их последствия.

1. С 01.03.2023 обязательно фиксировать факт уничтожения персональных данных в акте. Набор его реквизитов указан в приказе Роскомнадзора от 28.10.2022 № 179.
2. Кроме акта потребуется выгрузка из журнала регистрации событий в информационной системе — если персональные данные обрабатываются не только в бумажной, но и в электронной форме.
3. Форма акта и журнала, а также порядок уничтожения данных и документального оформления этой процедуры утверждаются компанией/ИП.
4. Для уничтожения данных создается комиссия либо приказом назначается уполномоченное должностное лицо.
5. Способ уничтожения носителя персданных зависит от его вида. Бумажные документы разрезают, сжигают, механически уничтожают.  С электронных носителей информация может стираться специальными программами с гарантированным обнулением сведений, уничтожаться иными способами. Главное требование — невозможность последующего восстановления персональных данных.

С 1 марта 2023 года для организаций и ИП изменился порядок уничтожения персональных данных. Рассказываем, кто и когда обязан уничтожать персональные данные, как это делать и как правильно подтвердить факт уничтожения.

Когда компании должны уничтожать персональные данные

С 1 марта для организаций и ИП, обрабатывающих персональные данные физлиц, в том числе и для работодателей, был изменен порядок уничтожения персональных данных. Теперь компании должны подтверждать факт уничтожения таких данных в целях пресечения их незаконной обработки. Ранее никаких требований к документальному оформлению факта уничтожения персональных данных законодательством установлено не было. 

Обязанность по уничтожению персональных данных возникает в следующих случаях (ч.ч. 3−5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• при необоснованном получении персональных данных (например, получение персданных физлица без его согласия);
• при неправомерной обработке персональных данных (незаконная передача персданных третьим лицам, необеспечение сохранности данных и т.д.);
• при достижении целей обработки персональных данных (например, при истечении срока действия ранее исполненного договора);
• при отзыве субъектом персональных данных согласия на обработку его персональных данных.

В первых двух случаях компания обязана незамедлительно прекратить неправомерную обработку персональных данных и обеспечить правомерность обработки персональных данных. Если обеспечить законность обработки не удается, компания должна уничтожить имеющиеся в ее распоряжении персональные сведения, которые обрабатываются с нарушением установленных законодательством требований. 

Также уничтожению подлежат персональные данные, цель обработки которых была достигнута, и данные, согласие на обработку которых было отозвано. В этих случаях обеспечивать правомерность обработки персональных данных не требуется – данные попросту уничтожаются.

Как уничтожать персональные данные

Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Конкретный порядок уничтожения персональных данных законодательством не установлен. Данный порядок компания вправе определить самостоятельно, прописав его в отдельном локальном нормативном акте. В таком акте можно определить ситуации, когда требуется уничтожение персональных данных, а также способ их уничтожения.

В любом случае уничтожение должно предполагать, что персональные данные станут непригодными для дальнейшего использования, обработки и передачи – цифровые носители будут зачищены, а материальные носители – безвозвратно уничтожены.

Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководства компании. Этим приказом формируется комиссия из числа работников компании, в состав которой входит должностное лицо, ответственное за обработку персональных данных. Комиссия определяет перечень персональных сведений, подлежащих уничтожению. После этого комиссия приступает непосредственно к самому уничтожению данных.

Способ уничтожения персональных сведений компания выбирает самостоятельно. Если данные хранятся на бумажных носителях, эти носители могут быть, к примеру, сожжены, разорваны или измельчены через шредер до такой степени, чтобы их нельзя было восстановить.

Если информация хранится на машиночитаемых носителях (жестких дисках, флешках) или в информационной системе, она может быть уничтожена как путем физического уничтожения самого носителя, так и путем удаления информации из системы, форматирования диска или записи на него новой информации. И в том и в другом случае восстановление ранее содержащихся на носителе или в информационной системе сведений должно полностью исключаться.

После уничтожения компания должна документально оформить уничтожение персональных данных для целей возможного подтверждения данного факта в суде, в правоохранительных или контролирующих органах.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

• наименование организации или ФИО предпринимателя и их адрес местонахождения;
• ФИО лиц, чьи персональные данные были уничтожены;
• ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
• способ уничтожения персональных данных;
• причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

• ФИО лиц, чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• причину уничтожения персональных данных и дату их уничтожения.

Если выгрузка из журнала не позволяет указать все эти сведения, то недостающие сведения нужно указать в акте об уничтожении. Акт об уничтожении и выгрузка подлежат хранению в течение 3 лет с момента уничтожения персональных данных. 

Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

В октябре 2022 года были утверждены Требования к подтверждению уничтожения персональных данных, то есть к порядку уничтожения персональных данных (далее – ПД) и соответствующим документам.

Из статьи вы узнаете:

• что такое уничтожение ПД;
• когда и в какие сроки следует уничтожать ПД;
• каков порядок документального оформления факта уничтожения ПД и какие изменения ждут кадровиков с 1 марта 2023 года.

Общие положения

В соответствии со ст. 3 Федерального закона № 152-ФЗ[1] персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу – субъект ПД.

Оператором ПД является работодатель, поскольку он самостоятельно или с другими лицами осуществляет обработку ПД. В работе с ПД субъектов этих данных важно помнить, что в определенных случаях у оператора есть обязанность по их уничтожению.

Уничтожение ПД – это один из видов их обработки, в результате которого:

• становится невозможным восстановить содержание ПД в информационной системе ПД и (или)
• уничтожаются материальные носители ПД.

Таким образом, под уничтожением ПД понимается безвозвратное прекращение их существования путем уничтожения с носителя без ликвидации самого носителя либо путем его уничтожения (в частности, документы на бумажном носителе, которые содержат ПД). В дальнейшем, в результате соответствующих действий, не должно остаться возможности для восстановления информации при помощи специального программного обеспечения.

У оператора ПД есть обязанность по уничтожению ПД или обеспечению их уничтожения по определенным правилам, в определенные сроки и с оформлением своих действий определенными документами.

Когда и в какие сроки необходимо уничтожать персональные данные 

ПД можно обрабатывать и хранить в той форме, которая позволяет определить субъекта ПД, и не дольше, чем того требуют цели обработки – если срок хранения ПД не уставлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД (ч. 4 ст. 21 Федерального закона № 152-ФЗ).

Цели обработки и сроки хранения определяются в соответствии:

• с Федеральным законом № 152-ФЗ;
• Федеральным законом № 125-ФЗ[2];
• Перечнем 2019[3];
• другими федеральными законами, определяющими случаи и особенности обработки ПД.