Правильное уничтожение и удаление персональных данных сотрудников компании

Новые реалии требуют особого внимания к вопросам информационной безопасности и защите персональных данных сотрудников. Обработка и хранение такой информации связаны с серьезными рисками и ответственностью для работодателей. Одной из важнейших составляющих правильной организации рабочего процесса является эффективное и безопасное уничтожение ПДн  сотрудников, завершивших трудовую деятельность в компании или отозвавших свое согласие на дальнейшую обработку данных.

Что такое уничтожение ПДн?

Уничтожение персональных данных сотрудников - это комплекс мероприятий, предусматривающих ликвидацию материальных носителей информации (документов на бумаге или цифровом носителе) либо безусловное удаление содержащихся на них личных данных (ст. 3 ФЗ № 152-ФЗ «О персональных данных»).

Физические документы подлежат переработке посредством измельчения, сожжения или иного механического воздействия. Цифровая информация ликвидируется специальными программами, гарантирующими невозможность восстановления ранее хранимых данных.

Процесс ликвидации должен быть осуществлен официально задокументированным путем, включающим назначение ответственных лиц и утверждение соответствующих актов и распоряжений руководства компании.

Когда нужно уничтожить персональные данные сотрудников?

Решение об ликвидации ПДн принимается руководством компании в случаях, предусмотренных российским законодательством и внутренними актами самой организации. Среди основных моментов, определяющих необходимость удаления, выделяются следующие ситуации:

• Увольнение сотрудника и завершение трудовых обязательств с ним.

• Истечение установленного срока хранения ПДн.

• Отсутствие легитимных оснований для дальнейшей обработки данных конкретного лица.

• Наличие официального отказа сотрудника от дальнейшего предоставления его личных данных работодателю.

• Получение предписания государственных органов или судебных решений, обязывающих прекратить обработку и удалить конкретную информацию.

Руководители компаний должны соблюдать закон, несоблюдение требований влечет наложение санкций от административных штрафов до привлечения руководителей к уголовной ответственности.

Как регламентировать порядок уничтожения персональных данных?

Чтобы гарантировать правомерность и эффективность процесса уничтожения персональных данных сотрудников, необходимо грамотно оформить соответствующие внутренние распорядительные документы и провести подготовительную работу:

1. Установите порядок уничтожения документов. Перед началом процедуры необходимо утвердить внутренний документ, устанавливающий правила ликвидации и переработки данных сотрудников. Данный акт определяет сроки, способы и условия осуществления уничтожения, ответственность подразделений и должностных лиц.
2. Создайте комиссию по уничтожению персональных данных. Для контроля над процессом целесообразно создать специальную комиссию, состоящую из представителей различных отделов компании. Это позволит повысить прозрачность и объективность всех процедур. Комиссия проводит мероприятия по проверке наличия необходимых разрешений и согласований на уничтожение конкретной категории информации, фиксирует результаты проверок и утверждает итоговые отчеты. Сотрудники, участвующие в процессе удаления, обязаны пройти инструктаж по технике безопасности и порядку обращения с информацией ограниченного доступа.
3. Составьте Акт об уничтожении персональных данных. Завершающим этапом должно стать составление акта об уничтожении ПДн, подтверждающего факт завершения процедуры. Такой акт составляется комиссией, утверждается руководителем компании и хранится в архиве наряду с прочими юридически значимыми документами.

Акт обязательно включает следующую информацию:

• Наименование и адрес оператора;

• Перечень уничтоженных материалов и носители информации;

• Причины уничтожения информации;

• Способ уничтожения;

• Перечень категорий ликвидированных персональных данных субъектов; 

• Название и количество листов уничтоженных материальных носителей (для ручной обработки); 

• Название информационной системы, откуда удалены данные (для автоматизированной обработки);

• ФИО, должности и подписи уполномоченных лиц, осуществлявших уничтожение данных;

• Дата и подписи членов комиссии.

Данный документ позволяет подтвердить соблюдение норм действующего законодательства и снижает риск возможных претензий контролирующих органов.

Обеспечить правильную организацию процессов уничтожения персональных данных сотрудников крайне важно для соблюдения законодательных норм и поддержания высокого уровня информационной безопасности в компании. Разрабатывая внутреннюю политику обработки данных, руководствуйтесь принципами разумности, прозрачности и ответственности. Только так ваша организация сможет успешно справляться с любыми проверками и обеспечивать защиту прав и свобод своих сотрудников.