Развитие цифровой среды и ужесточение требований к защите персональных данных (ПДн) обострили вопрос: как согласовать правовые режимы архивного дела и обработки ПДн.
Архивные документы играют важную роль для государства и общества. Они подтверждают трудовой стаж, образование, родственные связи, служат источником историко-документальных исследований и помогают сохранять преемственность управленческих решений. Но если материалы содержат персональные данные, учреждения обязаны обеспечить их безопасность. Для государственных и муниципальных архивов это системная задача.
Важно учитывать: действие закона «Об архивном деле» не отменяет требований о защите ПДн. Закон просто регулирует эту сферу иначе. На практике это означает ограничение доступа к архивным документам, содержащим персональные данные.
Таким образом, перед архивами стоят две взаимосвязанные задачи:
- сохранять документы как часть общественного достояния и обеспечивать доступ к ним;
- одновременно защищать персональные данные, содержащиеся в этих материалах.
Архивам необходимо вырабатывать сбалансированные подходы к работе с документами и чётко определять допустимые границы обработки ПДн.
Нормативно-правовая база в отношении архивных документов
Основой архивного дела является Федеральный закон № 125-ФЗ «Об архивном деле в Российской Федерации». В нём архивный документ определяется как материальный носитель информации с реквизитами, позволяющими его идентифицировать, и подлежащий хранению в силу значимости для граждан, общества и государства.
Закон выделяет две ключевые категории:
- документы Архивного фонда РФ (постоянное хранение),
- иные архивные документы (хранятся в установленные сроки).
Архивное дело строится на принципах целостности архивного фонда, открытости (с учётом ограничений), сохранности, учёта и систематизации документов. Нормы регулируются на нескольких уровнях — от федеральных законов до внутренних документов архивов.
Федеральный закон № 152-ФЗ определяет персональные данные как любую информацию о физическом лице. Однако пункт 2 части 2 статьи 1 освобождает от действия закона отношения, возникающие при хранении, комплектовании, учёте и использовании документов Архивного фонда РФ и иных архивных документов — если работа ведётся в соответствии с архивным законодательством.
Исключение распространяется на все архивные документы, но формулировки оставляют ряд вопросов. Закон не уточняет:
- должен ли документ физически находиться в архиве,
- что считать «значимостью для общества и государства»,
- где проходит граница между текущим и архивным документом.
Эта неопределённость создаёт сложности при решении практических задач: предоставлении доступа, копировании, определении срока хранения или уничтожении документов.
Дополнительные требования содержатся в приказах Росархива. Приказ № 61 от 22.04.2019 регламентирует работу с ПДн внутри агентства, описывает обязанности, процедуры, формы документов и меры по обеспечению безопасности информации. Хотя приказ не распространяется на другие органы власти, он может служить ориентиром.
Существенное значение имеют и сроки хранения архивных документов. Приказ Росархива № 236 от 20.12.2019 устанавливает дифференцированные сроки.
Например:
- приказы о приёме и увольнении — 50 лет (до 2003 года) или 75 лет (после 2003);
- личные карточки работников — аналогично;
- медицинские карты — 25 лет;
- протоколы заседаний — 5–75 лет в зависимости от значимости.
Эти сроки задают рамки для архивов и определяют, как долго документы с ПДн должны храниться.
Взаимодействие с архивными документами
Требования к хранению архивных документов комплексные. Бумажные носители размещаются в огнестойких шкафах, хранятся в контролируемом микроклимате, доступ к ним ограничен. Электронные архивы защищаются в соответствии с постановлением Правительства № 1119 о требованиях к защите ПДн в информационных системах персональных данных.
Доступ к ПДн в архивных документах предоставляется только уполномоченным сотрудникам и в минимально необходимом объёме.
Уничтожение архивных документов с персональными данными подчиняется строгим правилам. С 1 марта 2023 года факт уничтожения должен быть документирован. Для электронных документов дополнительно требуется выгрузка из журнала регистрации событий. Методы уничтожения должны исключать возможность восстановления информации:
- бумажные — шредирование, сжигание, химическое разрушение;
- электронные — применение ПО для гарантированного удаления или физическое уничтожение носителя.
Документы, подтверждающие уничтожение, хранятся три года.
Работа с такими документами сопряжена с рядом практических сложностей:
- критерии архивности документов размыты;
- требуется балансировать между открытостью архивов и защитой ПДн;
- цифровизация (сканирование, формирование электронных копий) зачастую трактуется как обработка ПДн и требует дополнительных процедур;
- коллизии между требованиями архивного законодательства и 152-ФЗ осложняют вопросы доступа и уничтожения.
Что делать, чтобы минимизировать правовые риски
Архивным учреждениям целесообразно:
- разработать типовые соглашения с исследователями, включающие обязательства о неразглашении ПДн;
- автоматизировать учёт обращений к документам, чтобы фиксировать все операции;
- регулярно обучать сотрудников работе с законом о персональных данных;
- подготовить методические рекомендации по уничтожению документов с ПДн, с подробным описанием процедур и технических методов.
Выводы
Взаимодействие архивного законодательства и требований по защите персональных данных — задача сложная, но решаемая. Закон № 152-ФЗ не применяется к архивным документам, если работа с ними ведётся в рамках норм архивного законодательства. Однако это исключение требует более точной правовой проработки.
Сроки хранения документов определяются архивными нормативами, а не правилами обработки ПДн. Уничтожение должно сопровождаться надлежащим документальным оформлением. Доступ к архивным материалам с ПДн необходимо организовывать так, чтобы учитывать как требования открытости, так и защиту прав субъектов данных.