Алексей Ветров
Эксперт по защите данных IC-TECH
Правильное уничтожение бумажных носителей с персональными данными — важная обязанность любой организации, которая обрабатывает ПДн. Нельзя просто выбросить документы в мусорный контейнер или сдать их вместе с макулатурой — это будет нарушением закона и создаст риск утечки данных.
Согласно требованиям законодательства РФ, уничтожение персональных данных должно исключать возможность восстановления информации. Для бумажных носителей это означает физическое уничтожение: измельчение (шредирование), сжигание, химическая обработка или иные методы, делающие невозможным восстановление текста.
Согласно требованиям законодательства РФ, уничтожение персональных данных должно исключать возможность восстановления информации. Для бумажных носителей это означает физическое уничтожение: измельчение (шредирование), сжигание, химическая обработка или иные методы, делающие невозможным восстановление текста.
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 5 ч. 5 — данные подлежат уничтожению после достижения целей обработки.
- Ст. 19 ч. 1 — оператор обязан принимать необходимые меры для защиты ПДн от неправомерного доступа, в том числе при уничтожении.
- ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения» и ГОСТ 30494-2011 — определяют понятие уничтожения документов.
- Методические рекомендации ФСТЭК и ФСБ — допускают использование измельчителей (шредеров), прессов, сжигания и других методов, гарантирующих невозможность восстановления данных.
Типичные ошибки организаций
- Выбрасывают документы с персональными данными в мусор, считая, что этого достаточно.
- Сдают в макулатуру или на переработку без предварительного уничтожения.
- Хранят документы дольше положенного срока, а потом «просто выносят» в архив или на склад без процедуры уничтожения.
Особенности применения на практике
- В организации должен быть локальный акт (например, «Положение об уничтожении документов»), где описывается порядок уничтожения ПДн.
- Создаётся комиссия, которая оформляет акт об уничтожении документов с указанием даты, перечня документов и способа уничтожения.
- На практике чаще всего используется промышленный шредер с уровнем измельчения не ниже P-4 по DIN 66399, либо услуги специализированной организации с подтверждающими актами.
- Для документов с особо чувствительными данными (например, паспортные данные, медицинские сведения) рекомендуется комбинированное уничтожение: измельчение + сжигание.
Рекомендации и выводы
- Разработайте внутренний регламент уничтожения документов с ПДн.
- Не храните бумаги дольше установленных законом сроков.
- При уничтожении используйте промышленные шредеры или привлекайте специализированные компании.
- Обязательно фиксируйте процесс в акте уничтожения — этот документ подтвердит соблюдение закона при проверке.
Если вы хотите быть уверены, что в вашей организации правильно налажен процесс уничтожения бумажных носителей с персональными данными и есть все подтверждающие документы, компания ICTech поможет вам. Мы разрабатываем полный пакет документов по защите персональных данных, включая регламенты по хранению и уничтожению ПДн, формы актов и инструкции для сотрудников. Это позволит вам избежать штрафов, снизить риск утечек и спокойно проходить проверки Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
