На вопросы отвечает И. Г. Умяров, юрист, автор журнала «Кадровые решения»
❓Вопрос:
Согласно п. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае достижения цели обработки оператор обязан уничтожить персональные данные или обеспечить их уничтожение в 30-дневный срок. Полагаем, что истечение сроков хранения документов, содержащих персональные данные, является достижением цели обработки персональных данных. И соответствующие документы необходимо уничтожить в соответствии с п. 7 ст. 21 Федерального закона № 152-ФЗ и Требованиями к подтверждению уничтожения персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179.
Нужно ли при уничтожении например приказов на отпуск указывать в акте Ф. И. О. тех, чьи ПД уничтожаются (в нашем случае это 1300 человек)? Как сделать правильно?
❗️ Ответ:
Оператор ПД обязан уничтожить обрабатываемые им данные в случаях, перечисленных в законе. К ним относится, в частности, и достижение цели обработки ПД[1].
Федеральный закон № 152-ФЗ не регулирует порядок уничтожения информации, содержащей ПД. Оператор определяет его самостоятельно. При этом на него возлагается обязанность документально подтвердить факт уничтожения ПД в случаях, предусмотренных законодательством[2].
Если ПД содержатся в бумажных документах, чтобы подтвердить факт их уничтожения, оформляется соответствующий акт.
Если уничтожаются электронные документы и базы данных, наряду с актом об уничтожении ПД требуется сделать выгрузку из журнала регистрации событий в информационной системе оператора ПД[3].
Акт об уничтожении ПД и выгрузка из журнала, должны содержать в т. ч. фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи ПД были уничтожены[4].
Поскольку истечение сроков хранения документов, содержащих ПД (в нашем случае это приказы о предоставлении отпусков работникам), подпадает под основание «достижение цели обработки персональных данных», в акте должны быть указаны Ф. И. О. работников, чьи ПД уничтожены.
И чтобы оптимизировать эту работу, желательно составить соответствующие акты на программном уровне.
[1] Часть 4 ст. 21 Федерального закона от 27.07.2006 № 152-«О персональных данных» (в ред. от 06.02.2023). далее — Федеральный закон № 152-ФЗ.
[2] Часть 7 ст. 21 Федерального закона № 152-ФЗ.
[3] Пункты 1, 2 Требований к подтверждению уничтожения ПД, утв. Приказом Роскомнадзора от 28.10.2022 № 179 (далее — Требования).
[4] Пункты 3, 5 Требований.
Материал опубликован в журнале «Кадровые решения», № 11, 2023. ✅Подписчики журнала «Кадровые решения» получают ответы на вопросы бесплатно.