Вы на портале
Персональные данные

Удаление персональных данных: алгоритм действий

Удаление персональных данных выражается в совершении действий, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных. В статье рассмотрим алгоритм действий по удалению персональных данных.

Самосейко Владимир
Самосейко Владимир

Юрист, магистр права

7712 Shape 1 copy 6Created with Avocode.

Способы удаления персональных данных 

Процесс удаления носителей с персональными данными (далее — ПД) зависит от типа носителя данных. 

Персональные данные на бумажных носителях необходимо удалять путем измельчения на мелкие части. При этом измельчить нужно так, чтобы потом информацию нельзя было восстановить. Измельчать документы необходимо с помощью шредера, либо по возможности документы следует передавать на переработку организациям, которые собирают вторсырье, то есть в пункты приема макулатуры. 

Чтобы удалить ПД на машиночитаемых носителях, таким носителям нужно нанести неустранимое физическое повреждение. Повреждение должно исключить возможность использовать носители, а также восстановить данные. Для этого носитель необходимо деформировать и нарушить его единую целостность. 

Файлы с ПД, которые содержатся на жестком диске, необходимо удалять средствами операционной системы компьютера. 

Для того, чтобы исключить нарушения законодательства о защите ПД, а также упростить работу по удалению ПД, необходимо соблюдать ряд рекомендаций: 

1. Храните только те документы, содержащие персональные данные, которые изданы самим нанимателем. Например, приказы о приеме на работу, о предоставлении отпуска, о награждении.

2. Требуйте у работников копии документов только тогда, когда подходит срок для подтверждения того или иного события. Например, копии свидетельства о рождении детей для предоставления детского вычета.

3. Уничтожайте копии документов сразу же после того, как обработали ПД, подтверждаемые ими. Делать это можно любыми способами, главное, чтобы в результате документы невозможно было прочитать.

4. Оформляйте уничтожение копий, которые вы брали для подтверждения какого-либо факта, либо актом о прекращении обработки ПД, либо при помощи записи о факте уничтожения ПД в специальном журнале.

Определение даты достижения цели обработки ПД

С учетом ст. 10 и 13 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) можно сделать вывод, что в общем случае оператор ПД обязан прекратить их обработку и удалить персональные данные в срок, не превышающий 15 дней с даты достижения цели обработки персональных данных.  

Пример.
Работник обратился в ноябре 2021 г. к нанимателю за материальной помощью в связи с необходимостью оплатить его лечение в январе 2022 г. и представил копии медицинских документов, а также справку о проживающих с ним иждивенцах. При этом решение о предоставлении материальной помощи принято руководителем в ноябре 2021 г., а выплата денежных средств будет производиться в январе 2022 г. Полагаем, что датой достижения цели обработки будет являться день перечисления денег работнику.


Алгоритм действий по удалению ПД

Для удаления ПД можно использовать следующий алгоритм действий.

Шаг 1. Разрабатываем локальный правовой акт об удалении ПД

В таком ЛПА следует закрепить, в каких случаях наниматель (оператор) удаляет личные данные, и определить, какие способы для этого использовать. Например, носители данных можно уничтожить с помощью шредера, сжечь и т.п. Можно заключить со специализированной организацией договор об уничтожении документов. 

Образец положения об уничтожении (удалении) персональных данных 

Шаг 2. Определяем документы, которые необходимо удалить

Исходя из положений Закона оператор обязан прекратить обработку ПД и удалить их в следующих случаях:

— по истечении срока хранения;

— по достижении цели обработки персональных данных. 

Шаг 3. Создаем комиссию по удалению ПД

Не рекомендуется принимать решение об удалении ПД и их носителей единолично. Для этого целесообразно создать в организации специальную комиссию посредством издания соответствующего приказа в произвольной форме. 

Образец приказа о создании комиссии по уничтожению персональных данных 

В состав комиссии, как правило, должны входить председатель и как минимум еще два работника. Желательно включить в состав комиссии работника, ответственного за обработку документов, которые необходимо удалить. Комиссия составляет перечень документов для удаления с учетом сроков их хранения.

Шаг 4. Фиксируем (актируем) удаление ПД

При комиссионном уничтожении ПД, как правило, составляется соответствующий акт. 

Образец акта об уничтожении ПД 

В акте об удалении ПД можно отразить следующие сведения: когда было проведено удаление; кто несет ответственность за верность процедуры; количество и виды удаленных носителей; каково было основание для удаления; какой применялся способ. Руководитель организации вправе провести самостоятельную оценку результатов ликвидации источников информации, и в тех случаях, когда он посчитает нужным, допускается провести дополнительные процедуры по затиранию или сжиганию ПД.

Шаг 5. Ведем учет фактов удаления ПД

Рекомендуется отражать в специальном журнале  или акте, что удалены документы, которые содержат ПД работников. Унифицированных форм акта и журнала нет, их утверждает сам наниматель. Следует отразить, какие документы удалены, когда и каким способом. Также необходимо внести информацию, почему они больше не нужны. 

Образец журнала регистрации удаления персональных данных работников 

Рассмотрим ситуацию на примере документов соискателей, которых не приняли на работу. В данном случае у потенциального работодателя в наличии могут находиться следующие документы: 

1. Резюме. На собеседование соискателя пригласят, скорее всего, на основании резюме. В этом документе есть информация, исходя из которой наниматель либо примет работника на работу, либо откажет в приеме на работу. В этом случае получать согласие на обработку ПД, содержащихся в резюме, не нужно, если: а) документ был получен непосредственно от кандидата; б) кандидат опубликовал его в общем доступе на сайтах по поиску работы; в) резюме получено от кадрового агентства, которое действует от имени соискателя.

2. Анкета. Если на собеседовании потенциальный работодатель просит кандидатов заполнять анкету, необходимо учитывать, что для этого нужно оформить письменное согласие на обработку ПД кандидата, которые он изложит в анкете. 

3. Сведения из государственной базы данных о правонарушениях. Данные сведения должны предоставить кандидаты, претендующие на определенные должности. 

4. Декларация о доходах. Входит в перечень обязательных документов для назначения на ряд должностей.

5. Медицинская справка.

Внимание!
Нельзя забирать документы у кандидата, выписывать из них сведения, а также делать копии до тех пор, пока он не даст письменное согласие на обработку ПД.

Организация обязана прекратить обработку ПД соискателя и уничтожить персональные данные в течение 15 дней с даты достижения цели обработки таких данных. Если резюме было получено через кадровое агентство, следует принять необходимые меры, чтобы обеспечить обработку и уничтожение таких сведений.

Не допускается обработка ПД, если это противоречит цели их сбора, даже если получено письменное согласие на обработку ПД. Так, нельзя хранить резюме непринятых кандидатов, для того чтобы потом продавать им свои товары или услуги, либо передавать их третьим лицам с целью создания баз данных клиентов,

Документы соискателей, которым отказано в найме, необходимо уничтожить в установленный срок. При этом оригиналы документов, например, справки об отсутствии судимости, если они требуются для приема на работу, лучше сохранить. Это необходимо на тот случай, если бывший соискатель решит забрать такие документы для трудоустройства в другом месте.

7712 Shape 1 copy 6Created with Avocode.