Образец приказа о создании комиссии по удалению персональных данных см. в рубрике «Полезная документация» на с. 23 журнала.
Образец акта об удалении материальных носителей персональных данных см. в рубрике «Полезная документация» на с. 24 журнала.
В статье рассказано, когда необходимо удалить документы (носители), содержащие персональные данные, и каков порядок данной процедуры.
Когда необходимо удалить (уничтожить) документы (носители), содержащие персональные данные
Закон о персональных данных оперирует понятием «удаление персональных данных». Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных (ст. 1 Закона о персональных данных).
Закон о персональных данных не закрепляет порядок удаления персональных данных и не содержит примерного перечня случаев, когда такие данные надо удалять. В Законе о персональных данных сказано, что удаляют персональные данные после того, как истек срок их хранения, будут достигнуты цели обработки или когда не будет больше необходимости достигать такие цели.
Процесс удаления носителей с персональными данными зависит от типа носителя данных. В целом можно выделить общие правила:
1) персональные данные на бумажных носителях удаляются путем измельчения на мелкие части или через сожжение;
2) чтобы уничтожить персональные данные на машиночитаемых носителях, таким носителям нужно нанести неустранимое физическое повреждение. Повреждение должно исключить возможность использовать носители, а также восстановить данные. Для этого носитель деформируйте и нарушьте его единую целостность. Файлы с персональными данными, которые содержатся на жестком диске, удалите средствами операционной системы компьютера. Когда допускается повторное использование носителя CD-RW, DVD-RW, то для уничтожения применяйте программное удаление содержимого диска. Для этого отформатируйте его, а затем запишите на данный носитель новую информацию.
Алгоритм действий по удалению персональных данных
Шаг 1. Установите порядок и способы уничтожения персональных данных в ЛПА.
В локальном документе пропишите, в каких случаях уничтожаются персональные данные. Определите, какие способы для этого используются. Например, носители данных можно уничтожить с помощью шредера, сжечь и т.п. Можно заключить со специализированной организацией договор об уничтожении документов.
По Закону о персональных данных оператор обязан прекратить обработку персональных данных и уничтожить их в следующих случаях:
– по истечении срока хранения;
– при достижении цели обработки персональных данных, изменении ее цели;
– при обнаружении обработки персональных данных без правовых оснований, в т.ч. по требованию субъекта персональных данных (ст. 13 Закона о персональных данных), НЦЗПД (ст. 16 Закона о персональных данных).
С документами, по которым установлены нормативные сроки хранения или которые обрабатываются на основании согласия субъекта персональных данных, вопросов по удалению персональных данных не возникает.
Сроки хранения обрабатываемых персональных данных должны отражаться в политике оператора в отношении обработки персональных данных (п. 6 Рекомендаций НЦЗПД). Отдельно указываются сроки хранения персональных данных (дата или период времени) либо критерии, используемые для определения таких сроков (п. 10 Рекомендаций НЦЗПД). При этом хранение персональных данных может осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Таким образом, организация определяет перечень сроков хранения обрабатываемых персональных данных. По этому перечню будут отслеживаться истечение сроков хранения и с учетом ст. 10 Закона о персональных данных предприниматься меры по удалению персональных данных.
По некоторым персональным данным необходимо отдельно отслеживать достижение или изменение цели обработки. Это актуально в первую очередь в отношении копий и проектов документов, содержащих персональные данные.
Пример 1
Работник в ноябре 2021 г. обратился к нанимателю за материальной помощью для оплаты его лечения в январе 2022 г. и представил копии медицинских документов, а также справку о проживающих с ним иждивенцах. Решение о предоставлении материальной помощи принято руководителем в ноябре 2021 г., а выплата денежных средств будет в январе 2022 г.
С даты достижения цели обработки персональных данных оператор персональных данных обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий 15 дней (ст. 10 и 13 Закона о персональных данных). В этом примере датой достижения цели обработки будет являться день перечисления денежной помощи работнику.
Пример 2
С истечением срока действия контракта на основании части второй ст. 261-3 ТК работник проинформировал нанимателя о желании прекратить трудовые отношения по п. 2 части второй ст. 35 ТК. Кадровик подготовил проект приказа об увольнении работника.
В последний день действия контракта работник передумал увольняться и обратился к нанимателю с просьбой продолжить трудовые отношения. Руководитель организации был не против.
В такой ситуации проект приказа об увольнении подлежит удалению (как документ в электронном виде, так и на бумажном носителе), так как первоначальная цель обработки персональных данных (оформление прекращения трудовых отношений) изменена. Нормативный срок хранения проектов документов не предусмотрен. Следовательно, по аналогии со ст. 10 Закона о персональных данных такие документы подлежат удалению в 15-дневный срок.
Шаг 2. Создайте комиссию по уничтожению персональных данных.
Автор рекомендует создать в организации (у оператора (уполномоченного лица)) специальную комиссию по уничтожению документов с персональными данными. Ее состав и полномочия утвердите соответствующим приказом. В состав комиссии должны входить председатель и как минимум два сотрудника. Целесообразно включить в состав комиссии лицо, ответственное за обработку персональных данных, которые планируете уничтожить. Комиссия составляет перечень документов для удаления с учетом сроков их хранения.
Шаг 3. Документируйте факт уничтожения.
Отразите факт уничтожения в акте. В документе можно отразить следующие сведения:
- когда было проведено уничтожение;
- кто несет ответственность за верность процедуры;
- количество и виды уничтоженных носителей;
- каково было основание для удаления;
- какой применялся способ.
Руководитель организации вправе провести самостоятельную оценку результатов ликвидации источников. В случаях, когда он посчитает нужным, допускается провести дополнительные процедуры по уничтожению персональных данных.
Шаг 4. Ведите учет удаленных персональных данных.
Рекомендуем вести учет уничтоженных документов, которые содержат персональные данные, в специальном журнале. Отразите в журнале, какие документы или носители уничтожили, когда и каким способом. Можно внести информацию, почему они больше не нужны. Когда уничтожите данные, внесите в книги и журналы учета, номенклатуру дел отметки об удалении документов.
Общество с ограниченной ответственностью «Версаль»
ЖУРНАЛ РЕГИСТРАЦИИ УДАЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
Начат: «15» ноября 2021 года.
На____листах.
Окончен: «___»________20__года.
Документы, которые нельзя хранить, нужно вернуть работнику или уничтожить?
Наниматель должен вернуть работнику документы или их копии, если они не связаны с работой или были достигнуты цели обработки персональных данных.
Не копируйте документы работников – это почти никогда не требуется. Незаверенная копия не имеет юридической силы документа, но сведения в ней от этого не теряют своего значения. В копиях содержится персональная информация, за хранение которой отвечает организация. Как только сведения получены из оригиналов документов, сами документы нужно возвращать работнику. Например, работник предъявил паспорт, диплом, военный билет. Проверьте документы, внесите данные в личную карточку и трудовой договор, а документы сразу отдайте работнику.
Если работник откажется забрать копии документов или вы не сможете с ним связаться, уничтожьте копии документов с персональными данными.
Пример 3
Работница просит предоставить отпуск по уходу за ребенком и назначить пособие. К заявлению она приложила копию свидетельства о рождении ребенка, справку с работы мужа о том, что он не использует отпуск и не получает пособие. Проверьте документы и оформите приказ о предоставлении отпуска. Далее передайте документы работницы в бухгалтерию. Проследите, чтобы в бухгалтерии документы работницы не копировали повторно. После того как бухгалтер передаст документы в ФСЗН для возмещения расходов на выплату пособия по уходу за ребенком, избавьтесь от копий личных документов работницы. Попросите работницу забрать копии документов. Если не получится связаться или работница откажется забирать копии, уничтожайте документы в присутствии свидетелей с составлением акта.
Документы:
Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон о персональных данных).
Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (Указ № 422).
Рекомендации Национального центра по защите персональных данных по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (Рекомендации НЦЗПД).
Трудовой кодекс Республики Беларусь (ТК).
