Нужно ли уничтожать копии персональных данных после проверки?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, копии персональных данных, подготовленные для проверки (например, Роскомнадзора, трудовой инспекции или других контролирующих органов), должны быть уничтожены после завершения проверки, если у компании нет законного основания для их дальнейшего хранения. Хранить их «на всякий случай» нельзя, так как это создаёт избыточность и повышает риск утечки данных.

Почему уничтожение обязательно:

• цель обработки данных (передача в рамках проверки) достигнута;
• копии документов становятся избыточными по отношению к заявленным целям;
• продолжение хранения без оснований нарушает принципы обработки ПДн по ФЗ-152.

Как правильно уничтожать копии:

• бумажные — с использованием шредера или специализированной утилизации;
• электронные — с удалением файлов и последующей очисткой носителей, при необходимости — с применением средств гарантированного удаления.

Обоснование по законодательству

• Ст. 5 ФЗ-152 — обрабатываемые ПДн не должны быть избыточными; данные должны уничтожаться по достижении целей обработки.
• Ст. 21 ФЗ-152 — оператор обязан уничтожить ПДн после достижения целей их обработки или в случае утраты необходимости в их достижении.
• Ст. 19 ФЗ-152 — оператор обязан обеспечить защиту ПДн от неправомерного доступа и неправомерных действий.

Практика и позиция Роскомнадзора

Роскомнадзор подчёркивает, что временные копии документов, создаваемые для проверки, относятся к ПДн и должны обрабатываться по тем же правилам, что и оригиналы.

Пример: в одной организации после проверки остались копии паспортов сотрудников. При повторной проверке Роскомнадзор зафиксировал их хранение без правового основания и обязал уничтожить. В предписании также указали необходимость закрепить порядок уничтожения временных копий в локальных актах.

В рекомендациях РКН указывается: документы для проверок можно предоставлять в ознакомительном порядке без создания копий, если это возможно. Если копии всё же создаются — они должны быть уничтожены после проверки.

Важный момент для организаций

Наличие у компании «лишних» копий после проверки создаёт риски и может трактоваться как несоблюдение принципов ФЗ-152. Поэтому порядок уничтожения временных копий должен быть документально закреплён и доведён до сотрудников.

Рекомендации и выводы

Да, копии ПДн после проверки подлежат уничтожению. Чтобы действовать законно:

1. Фиксируйте цель создания копий (например, «для предоставления Роскомнадзору»).
2. Уничтожайте их сразу после завершения проверки, если нет правового основания для хранения.
3. Определите порядок уничтожения в локальных актах компании.
4. Включите правила по временным копиям в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации разработать регламенты по работе с копиями ПДн, закрепить порядок их уничтожения и подготовить полный пакет документов для соответствия требованиям ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге