Официальный дистрибьютор КонсультантПлюс
+ 7 495 145 89 20
Вам перезвонить?

Вопрос 18

Письмо директору

Стремясь стать лучше, мы учитываем все ваши замечания и пожелания

Работодатель (ООО) может самостоятельно уничтожить документы на бумажном носителе, содержащие персональные данные работников (копии паспортов, СНИЛС, ИНН и др.), путем шредирования (использования шредера), закрепив данный способ в локальном нормативном акте.

Обоснование: Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов (ст. 87 ТК РФ).

Обработка персональных данных осуществляется в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ).

По отношению к работнику работодатель (ООО) является оператором по обработке персональных данных (п. 2 ст. 3 Закона № 152-ФЗ).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).

В соответствии с п. 8 ст. 3 Закона № 152-ФЗ под уничтожением персональных данных понимается совершение действий, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Таким образом, уничтожение персональных данных является одной из операций процесса обработки персональных данных, которое можно произвести двумя способами – физическое уничтожение носителя или безвозвратное уничтожение информации с носителя.

Оператор персональных данных (ООО) обязан назначить приказом ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ). Кроме того, работодатель также обязан разработать и утвердить положение об обработке персональных данных в соответствии с требованиями ТК РФ и Закона № 152-ФЗ (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Действующее законодательство не регламентирует порядок физического уничтожения работодателем – оператором по обработке персональных данных документов на бумажном носителе, содержащих персональные данные работников.

Роскомнадзором разъяснено, что порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором (Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).

Использование шредера для уничтожения документов, содержащих персональные данные, исключает дальнейшее использование документов в качестве первоисточника. Таким образом, работодатель (ООО) может самостоятельно уничтожить документы, содержащие персональные данные работников (копии паспортов, снилс, инн и др.), путем шредирования (использования шредера). Судебная практика подтверждает правомерность данной позиции (Апелляционное определение Московского городского суда от 16.02.2017 по делу № 33-2761/2017).

Следовательно, работодатель вправе использовать шредер для уничтожения документов на бумажном носителе, содержащих персональные данные работников, по достижении целей обработки (в случае утраты), закрепив данный способ в локальном нормативном акте организации (порядок, правила и тд.). Кроме того, работодатель (ООО) также может заключить договор об уничтожении документов, содержащих персональные данные, с организациями, специализирующимися на уничтожении соответствующих документов.

21.02.2018

Ю.Ю. Астахова

Наши клиенты