Алексей Ветров
Эксперт по защите данных IC-TECH
Контроль сроков хранения документов с персональными данными — это обязанность оператора, связанная с принципом минимизации и недопустимости хранения ПДн дольше, чем этого требуют цели обработки. Для подтверждения этого процесса компании необходимо вести учёт и документировать факт контроля, чтобы при проверках показать, что система управления сроками хранения реально работает.
Обоснование по законодательству
- ФЗ-152, ст. 5, ч. 7 — хранение ПДн должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки. По достижении целей данные подлежат уничтожению или обезличиванию.
- ФЗ-152, ст. 18.1 — оператор обязан осуществлять внутренний контроль за соблюдением требований закона, включая сроки обработки и хранения данных.
Приказ Росархива № 236 от 20.12.2019 — закрепляет правила архивного хранения документов и перечни типовых сроков.
Какие документы могут подтверждать контроль сроков хранения
- Перечень документов с ПДн и сроками их хранения — базовый документ, где по каждой категории указаны сроки хранения и основания (закон, договор, внутренний регламент).
- Регламент контроля сроков хранения — локальный акт, описывающий порядок проверки и списания документов.
- Журнал или реестр контроля сроков хранения — фиксирует даты начала и окончания хранения, отметки о проведении проверок.
- Акты об уничтожении или продлении хранения — подтверждают, что по истечении срока документы уничтожаются или переводятся в архив.
- Отчёты ответственного за ПДн или архивариуса — содержат информацию о выполнении контроля сроков.
Практика проверок Роскомнадзора
Инспекторы Роскомнадзора часто обращают внимание на то, ведёт ли организация реальный учёт сроков хранения. В тех случаях, когда есть только политика по ПДн, но отсутствуют перечни и журналы с отметками о контроле, компании получают предписания. Там же, где ведутся перечни с указанием сроков и акты об уничтожении, вопросов, как правило, не возникает.
Рекомендации и выводы
Для надлежащего документирования контроля сроков хранения организация должна:
- составить перечень документов с ПДн и сроков их хранения;
- утвердить регламент проверки сроков;
- вести журналы или реестры с отметками о проверке;
- оформлять акты об уничтожении или передаче в архив.
Компания ICTech поможет вашей организации выстроить систему учёта и контроля сроков хранения ПДн: от перечней до актов уничтожения. Это позволит вам соответствовать закону, снизить риски при проверках и обеспечить прозрачность работы с данными.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
