Персональные данные: Ответы на часто задаваемые вопросы. Часть 5

• 41. Вопрос об удалении персональных данных. Уничтожение персональных данных — это действия, в результате которых становится невозможным восстановить содержание персональных данных. Например, срок хранения графика отпусков составляет один год. Роскомнадзор в приказе от 28.10.2022 № 179 определил порядок такого уничтожения, в соответствии с которым, в акт уничтожения вносятся ФИО субъектов персональных данных, чьи данные уничтожаются. Т.е. по факту, «уничтожая» график отпусков, мы не уничтожаем ПД, а переносим эти данные в другой документ – акт уничтожения ПД. А через 3 года (срок хранения Актов уничтожения), уничтожая Акт уничтожения, мы опять перенесем ПД в новый Акт? Мы уничтожаем ПДн – не уничтожая ПДн!
• 42. Подскажите пожалуйста, сведения о состоянии здоровья, как персональные данные специальной категории, это те сведения, которые указаны в статье 22 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"? Или все-таки данный термин является более широким в трактовании?
• 43. Может ли ст. 23, 24 Конституции РФ быть основанием обработки ПДн?
• 44. Является ли предоставление доверенности на сотрудника 3-м лицам, контрагентам - передачей ПДн и нужно ли на каждое предоставление доверенности (на получение ТМЦ/подписание документов) в адрес каждого контрагента получать согласие сотрудника на передачу ПДн?
• 45. Вы говорите по документам, согласно ст. 18.1 152-ФЗ для оператора. А наша организация - филиал не является юр. лицом. Надо ли нам иметь свои документы и мы являемся оператором или нет? (Обработка ПДн в отделе кадров, бухгалтерии и т.д.)
• 46. ПДн на сотрудников хранятся в организации 5 лет далее передаются в архив на 75 лет, для уведомления РКН указываем 5 лет? Личные дела клиентов по социальной помощи хранятся 75 лет после окончания социального договора, то есть передаются в архив, необходимо указать срок хранения 75 лет?
• 47. Скажите, пожалуйста, как правильно хранить носители ПД по целям? Например, ПД из договоров с клиентами, ПД работников - в разных папках или в разных хранилищах/сейфах?
• 48. Операторы - физ. лица как должны уничтожать персональные данные?
• 49. Есть ли список обязательных локальных актов ?
• 50. Имеет ли право охрана на проходной переписывать паспортные данные в свои журналы посещений?

41. Вопрос об удалении персональных данных. Уничтожение персональных данных — это действия, в результате которых становится невозможным восстановить содержание персональных данных. Например, срок хранения графика отпусков составляет один год. Роскомнадзор в приказе от 28.10.2022 № 179 определил порядок такого уничтожения, в соответствии с которым, в акт уничтожения вносятся ФИО субъектов персональных данных, чьи данные уничтожаются. Т.е. по факту, «уничтожая» график отпусков, мы не уничтожаем ПД, а переносим эти данные в другой документ – акт уничтожения ПД. А через 3 года (срок хранения Актов уничтожения), уничтожая Акт уничтожения, мы опять перенесем ПД в новый Акт? Мы уничтожаем ПДн – не уничтожая ПДн!

Акт уничтожения ПД является подтверждающим документом в соответствии с требованиями части 7 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом уничтожение актов уничтожения ПД не требует издания нового акта.

42. Подскажите пожалуйста, сведения о состоянии здоровья, как персональные данные специальной категории, это те сведения, которые указаны в статье 22 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"? Или все-таки данный термин является более широким в трактовании?

Вопросы толкования понятия ПДн, в том числе специальных категорий, относится к полномочиям Минцифры РФ.

43. Может ли ст. 23, 24 Конституции РФ быть основанием обработки ПДн?

Правовые основания обработки ПДн закреплены в статьях 6, 8, 10, 11, 16 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Конституция может являться основой обработки (гарантирует права граждан), но не основанием в каком-либо конкретном случае, поскольку ей не определены требования к самому процессу обработки (не регулирует, какие данные собирать в том или ином случае для конкретной цели, какими способами их обрабатывать и т.д.).

44. Является ли предоставление доверенности на сотрудника 3-м лицам, контрагентам - передачей ПДн и нужно ли на каждое предоставление доверенности (на получение ТМЦ/подписание документов) в адрес каждого контрагента получать согласие сотрудника на передачу ПДн?

В рассматриваемом случае обработка ПДн осуществляется в соответствии с пунктом 2 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и статьей 185 Гражданского кодекса Российской Федерации. Обработка ПД, содержащейся в доверенности в рамках выполнения полномочий, возложенных на лицо, не требует согласия на обработку ПДн.

45. Вы говорите по документам, согласно ст. 18.1 152-ФЗ для оператора. А наша организация - филиал не является юр. лицом. Надо ли нам иметь свои документы и мы являемся оператором или нет? (Обработка ПДн в отделе кадров, бухгалтерии и т.д.)

Локальные акты в соответствии с частью 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» разрабатываются оператором. Вместе с тем в соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» филиал юридического лица оператором не является. Обработка данных филиалом отражается в документах оператора, в вашем случае - в головной компании.

46. ПДн на сотрудников хранятся в организации 5 лет далее передаются в архив на 75 лет, для уведомления РКН указываем 5 лет? Личные дела клиентов по социальной помощи хранятся 75 лет после окончания социального договора, то есть передаются в архив, необходимо указать срок хранения 75 лет?

А зачем вы пишете 5 лет в Уведомлении? Такого требования нет в законе. Сроки хранения ПД в реестр операторов, осуществляющих обработку ПД, не указываются, там указывается дата или условие прекращения обработки перс данных (в качестве такого условия можно указать прекращение деятельности организации).

47. Скажите, пожалуйста, как правильно хранить носители ПД по целям? например, ПД из договоров с клиентами, ПД работников - в разных папках или в разных хранилищах/сейфах?

В соответствии с требованиями пункта 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687, необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При этом оператор самостоятельно определяет порядок раздельного хранения материальных носителей.

48. Операторы - физ. лица как должны уничтожать перс дан?

Требования к подтверждению уничтожения персональных данных утверждены Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» и являются общими для всех. Способ уничтожения персональных данных должен быть такой, чтобы было невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) были уничтожены материальные носители персональных данных.

49. Есть ли список обязательных локальных актов ?

Требования утверждены частью 1 статьи 18.1, частью 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687, Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

50. Имеет ли право охрана на проходной переписывать паспортные данные в свои журналы посещений?

Да. Порядок ведения такого журнала при этом должен быть определен в локальном акте Оператора, который должен отвечать требованиям пункта 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687.