Как правильно уничтожать персональные данные по 152-ФЗ

В эпоху цифровых технологий персональные данные — это не просто фамилия, адрес или номер телефона. Это наша цифровая тень, которая остается повсюду: в онлайн-заказах, регистрациях, заявках и даже в смарт-устройствах. Защитить эту информацию — задача не только государственная, но и личная. Именно для этого в России действует Федеральный закон №152-ФЗ "О персональных данных", который чётко регулирует, как собирать, хранить, использовать и, что немаловажно, уничтожать персональные данные.
Многие организации строго следят за тем, чтобы данные были правильно собраны и надёжно хранились, но забывают: любая информация должна не только появиться, но и вовремя исчезнуть. Уничтожение персональных данных — важный и обязательный этап, без которого невозможно соблюдение закона.

В этой статье мы разберём:
·       что такое уничтожение персональных данных и зачем оно нужно;
·       в каких случаях это требуется по закону;
·       какие существуют способы уничтожения данных (и почему просто "удалить файл" — не всегда выход);

Уничтожение персональных данных — не просто формальность, а прямая обязанность работодателя. Закон строго регламентирует, в каких случаях и в какие сроки это нужно делать. Давайте разберёмся, когда именно персональные данные сотрудников должны быть уничтожены, и как не попасть под штрафы.

1. Сотрудник потребовал прекратить обработку данных
Если работник (или его представитель) докажет, что его персональные данные обрабатывались незаконно, компания обязана:

• прекратить обработку — сразу;
• уничтожить данные — в течение 7 дней с момента получения подтверждающих документов.

2. Обнаружена незаконная передача данных
Если вы сами или по жалобе выявили, что данные сотрудника были переданы кому-то без законных оснований:

• остановите обработку — за 3 рабочих дня;
• уничтожьте данные — за 10 рабочих дней после выявления нарушения.

3. Сотрудник отозвал согласие
Любой работник в любой момент может передумать и отозвать своё согласие на обработку персональных данных. В этом случае:

• если данные больше не нужны для других целей (например, по закону),
• их нужно уничтожить в течение 30 календарных дней с момента получения отзыва.

4. Цель обработки достигнута
Персональные данные нельзя хранить "на всякий случай". Как только причина, по которой вы собирали данные, отпала (например, уволили сотрудника и завершили все расчёты):

• данные необходимо уничтожить в течение 30 календарных дней.

5. Сотрудник потребовал прекратить распространение данных
Если сотрудник подал заявление о запрете распространения его персональных данных (например, в интернете или через партнёров):

• обработку нужно прекратить за 10 рабочих дней,
• если не успеваете — можете продлить срок ещё на 5 рабочих дней, но обязательно письменно уведомите сотрудника и укажите причину,
• сами данные должны быть уничтожены в течение 30 календарных дней.

6. Истёк срок хранения документов
Персональные данные нельзя хранить вечно. Для каждого документа установлен свой срок хранения — его нужно узнать по Приказу Росархива № 236 от 20.12.2019.
Как только срок истёк — документы должны быть уничтожены.

📌 Важно помнить: уничтожение — это не просто удаление файла в корзину. Данные нужно уничтожать так, чтобы восстановить их было невозможно — будь то бумажные документы или электронные носители.

Когда приходит время уничтожить персональные данные сотрудников, делать это нужно не "для галочки", а так, чтобы никто и никогда не смог их восстановить. В зависимости от того, где и как хранятся данные — на бумаге, флешке или в компьютере — применяются разные способы. Разберёмся с ними по порядку.

🗂 Бумажные носители
Если персональные данные хранятся на бумаге (анкеты, заявления, копии документов), просто выбросить их в урну нельзя.
Как уничтожать:

• измельчите документы до такого состояния, чтобы нельзя было прочитать ни одной строки — используйте офисный шредер;
• если шредера нет — можно передать бумаги в пункт приёма макулатуры, но только при условии, что там гарантируют безопасную утилизацию.
  Важно: не рвите документы вручную — это не считается надёжным способом уничтожения.

💾 Машиночитаемые носители
Это всевозможные флешки, жёсткие диски, диски и прочие физические носители информации.
Как уничтожать:

• нанесите физическое повреждение, чтобы восстановить данные было невозможно — деформируйте, разбейте, сожгите (если техника безопасности позволяет);
• цель — полностью нарушить целостность носителя, чтобы никто не мог его снова подключить и "вытянуть" информацию.

💻 Информационные системы
Если данные хранятся в электронном виде на компьютерах, серверах или в облачных хранилищах, к уничтожению нужно подойти особенно внимательно.
Два варианта, которые разрешает закон:

1. Уничтожить сам носитель — жёсткий диск или другой накопитель.
2. Удалить данные с носителя с помощью специальных программ, которые затирают информацию без возможности восстановления. Это не просто нажатие "удалить" — нужны профессиональные утилиты.

🔐 Если данные зашифрованы:
Перед удалением нужно расшифровать данные и обязательно уничтожить ключи шифрования. Без этого информация может быть восстановлена — даже если кажется, что всё стерто.

Уничтожение персональных данных — это не просто процесс, а юридически важное действие. И чем ответственнее к нему подойти, тем надёжнее вы защитите и своих сотрудников, и свою организацию от рисков.

Уничтожение персональных данных — это не просто ритуал с шредером. Это важный процесс, который должен быть оформлен по закону и зафиксирован документально. Давайте разложим всё по полочкам — просто, понятно и без бюрократического кошмара.

🔹 Шаг 1. Установите порядок
Начните с главного — создайте локальный акт (например, Положение об уничтожении персональных данных). В нём пропишите:

• в каких случаях данные нужно уничтожать (например, истёк срок хранения, работник отозвал согласие и т.д.);
• какими способами это делать (шредер, сжигание, физическое уничтожение носителя, удаление через спецпрограммы);
• кто отвечает за уничтожение.
  Вы можете проводить всё внутри компании или заключить договор с организацией, которая специализируется на уничтожении документов.

🔹 Шаг 2. Создайте комиссию
Никакого одиночества в этом деле — только коллективный подход. Назначьте комиссию по уничтожению персональных данных, в составе:

• председатель комиссии;
• минимум два сотрудника;
• специалист, ответственный за документы, которые будут уничтожены.
  Назначение комиссии оформляется приказом, и её задача — провести уничтожение в специально отведённом помещении и составить перечень документов, подлежащих утилизации (с учётом сроков хранения).

🔹 Шаг 3. Уничтожьте данные правильно
Если данные на бумаге — измельчите их в шредере или передайте в организацию, которая гарантирует их безопасную утилизацию.
Если на физических носителях — повредите их так, чтобы восстановление стало невозможным.
Если в электронной форме — используйте программы, которые окончательно затирают данные. Если информация зашифрована — предварительно удалите ключи шифрования.

🔹 Шаг 4. Оформите акт
После уничтожения нужно составить акт об уничтожении персональных данных. В него включите:

• название и адрес организации;
• кто обрабатывал данные;
• данные сотрудника, чьи сведения были уничтожены;
• состав комиссии (Ф. И. О., должности);
• перечень уничтоженных категорий данных;
• число и вид уничтоженных носителей;
• информационные системы, откуда удаляли информацию;
• способ уничтожения и причина;
• дата уничтожения.

Если использовались информационные системы, к акту нужно приложить выгрузку из журнала событий. Её готовят ИТ-специалисты — там указываются:

• имя сотрудника, чьи данные удалены;
• какие категории данных были уничтожены;
• название системы;
• причина и дата удаления.

❗ Уведомлять Роскомнадзор не нужно
Уничтожили данные? Отлично. Уведомлять Роскомнадзор об этом не требуется. Уведомления направляются только при начале обработки, передаче данных за границу или утечке.

Чтобы уничтожение персональных данных не обернулось проблемами, оформите всё грамотно и спокойно. Создайте порядок, назначьте комиссию, уничтожьте данные и не забудьте составить акт. Тогда вы будете защищены — и по закону, и по здравому смыслу.

Еще один важный аспект, который стоит учитывать при уничтожении персональных данных, — это особенности хранения и резервного копирования информации. Часто данные хранятся не только на основных носителях, но и в резервных копиях, архивах, облачных сервисах или на других устройствах. Это значит, что уничтожение персональных данных требует комплексного подхода: нужно обязательно проверить все возможные места хранения и убедиться, что данные удалены везде, где это требуется.

Например, если персональные данные были заархивированы или скопированы на облачное хранилище, просто удалить их с основного сервера недостаточно — необходимо обеспечить удаление из резервных копий и облачных папок, чтобы исключить возможность их восстановления. Кроме того, важно помнить, что некоторые способы удаления данных, например, простое удаление файлов с жесткого диска, не гарантируют полного уничтожения информации — с помощью специальных программ данные могут быть восстановлены. Поэтому рекомендуется использовать методы, обеспечивающие безвозвратное уничтожение, такие как многократное перезаписывание информации или физическое уничтожение носителей.

Также при работе с зашифрованными данными обязательно удалять ключи шифрования, поскольку наличие ключа позволяет восстановить информацию даже после удаления файлов. Такой комплексный и системный подход к уничтожению персональных данных поможет не только выполнить требования закона, но и защитить конфиденциальность сотрудников и клиентов, а также минимизировать риски утечки и несанкционированного доступа.
 

Для того чтобы избежать ошибок и обеспечить соответствие всем актуальным требованиям законодательства, необходимо непрерывно повышать свою квалификацию и проходить актуальное обучение.  У нас есть более 20 курсов повышения квалификации и переподготовки по кадровому делу. Обучение проходит онлайн в сжатые сроки, а для групп действуют скидки

В итоге, уничтожение персональных данных — это обязательный и важный этап работы с информацией, который требует чёткого соблюдения закона и внутренних правил компании. Правильно организованный процесс включает разработку локального акта, создание комиссии, выбор надёжных методов уничтожения и тщательное документирование каждого шага. Особое внимание нужно уделять не только основным носителям, но и резервным копиям, архивам и зашифрованным данным. Соблюдение всех этих правил гарантирует, что личная информация сотрудников будет защищена от незаконного использования и восстановления, а компания — защищена от штрафов и репутационных рисков. Внимательное и ответственное отношение к уничтожению персональных данных укрепляет доверие работников и помогает строить прозрачные и безопасные отношения внутри организации.