Черновики, содержащие персональные данные (например, распечатки документов, рабочие записи, временные таблицы), приравниваются к носителям ПДн. Следовательно, их уничтожение должно быть оформлено так же, как уничтожение основных документов, и регулироваться локальными актами компании.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — обработка включает уничтожение персональных данных.
- Ст. 18.1 ФЗ-152 — оператор обязан утверждать внутренние акты, регламентирующие порядок обработки ПДн.
- Ст. 19 ФЗ-152 — требует принимать меры для предотвращения несанкционированного доступа и утечек ПДн, включая правильное уничтожение носителей.
- Приказ ФСТЭК № 21 — предусматривает контроль и учет уничтожения носителей информации, содержащих персональные данные.
Практика и рекомендации Роскомнадзора
При проверках Роскомнадзор нередко обращает внимание на черновики, особенно в организациях, где много бумажного документооборота (банки, школы, медучреждения). Если в организации нет порядка уничтожения таких документов, инспекторы фиксируют это как нарушение организационных мер. В предписаниях обычно указывают на необходимость введения отдельного регламента или дополнения действующего порядка уничтожения.
Что должно быть в документе
- Определение, что считается черновиком (временные записи, копии, рабочие версии документов).
- Запрет на хранение черновиков без необходимости.
- Способы уничтожения:
- для бумажных — шредер, измельчение, сжигание;
- для электронных — удаление с носителя с применением программ без возможности восстановления.
- Назначение ответственных лиц за сбор и уничтожение черновиков.
- Форма акта или записи в журнале, подтверждающая факт уничтожения.
Рекомендации и выводы
Да, порядок уничтожения черновиков с ПДн должен быть закреплён внутренним регламентом или положением о работе с документами. Это снизит риски случайных утечек и будет доказательством выполнения требований ФЗ-152 при проверке.
Компания ICTech подготовит для вашей организации порядок уничтожения черновиков, а также акты и журналы для фиксации факта уничтожения. Это позволит избежать претензий Роскомнадзора и показать, что защита ПДн в вашей компании продумана до мелочей.
