ЭЛКОД: Сколько срок хранения электронных документов сотрудника по законодательству, через какой период времени их можно уничтожить и как?

Сотрудник подал заявление на отзыв согласия на обработку персональных данных. Ему нужно дать письменный ответ о прекращении обработки и дальнейшем уничтожении его персональных данных. У нас ведется кадровый электронный документооборот. Сколько срок хранения электронных документов сотрудника по законодательству, через какой период времени их можно уничтожить и как? Есть ли законодательные акты по поводу хранения и порядка уничтожения электронной кадровой документации? Нужно ли перечислять все виды документов из электронной системы (конкретные приказы, заявления и т.д.) или достаточно написать в общем, что стирается вся информация о данном сотруднике из системы работодателя? Кто должен уничтожить данную информацию и как, если, например, заявления от сотрудников кадровики сами удалить не могут? Нужно ли обращаться к специалистам электронной информационной системы для уничтожения персональных данных?

  •  2 апреля 2025 г.

Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных)

В этом случае обработка персональных данных такого работника продолжается в отсутствие его согласия в пределах, необходимых для исполнения обязанностей, возложенных на работодателя действующим законодательством.

Способами уничтожения персональных данных, определяемыми и утверждаемыми оператором, могут быть:

  • для бумажных носителей персональных данных - разрезание, гидрообработка, сжигание, механическое уничтожение (например, пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения);
  • для электронных носителей - стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска и т.п.

Затем осуществляется непосредственное уничтожение персональных данных на документах (носителях) без возможности их восстановления.

В зависимости от метода обработки персональных данных различают несколько способов подтверждения факта уничтожения персональных данных (п. п. 1, 2, 7 Требований):

  • если персональные данные обрабатывались оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных;
  • если персональные данные обрабатывались оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных;
  • если персональные данные обрабатывались оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий.

Акт об уничтожении персональных данных должен содержать (п. 3 Требований):

а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лиц, осуществляющих обработку персональных данных по поручению оператора (если обработка была поручена таким лицам);

в) фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;

д) перечень категорий уничтоженных персональных данных;

е) наименование уничтоженных материальных носителей, содержащих персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

ж) наименование информационных систем персональных данных, из которых были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации);

з) способ уничтожения персональных данных;

и) причину уничтожения персональных данных;

к) дату уничтожения персональных данных.

При этом акт об уничтожении персональных данных в электронной форме, подписанный электронной подписью в установленном порядке, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью (п. 4 Требований).

Выгрузка из журнала должна содержать (п. 5 Требований):

а) фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;

б) перечень категорий уничтоженных персональных данных;

в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные;

г) причину уничтожения персональных данных;

д) дату уничтожения персональных данных.

Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные выше, недостающие сведения вносятся в акт об уничтожении персональных данных (п. 6 Требований).

Акт и выгрузку из журнала храните в течение трех лет с момента уничтожения персональных данных (п. 8 Требований, утвержденных Приказом Роскомнадзора от 28.10.2022 N 179).

Необходимо отметить, что оператор в случае прекращения обработки персональных данных направляет соответствующее уведомление уполномоченному органу по защите прав субъектов персональных данных в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона N 152-ФЗ).

Уничтоженные документы (носители), содержавшие персональные данные, должны быть списаны с книг и журналов учета (регистрации) данных документов (носителей).

Обратите внимание! Если при необходимости уничтожить персональные данные их уничтожение не будет осуществлено, организация-оператор может быть привлечена к административной ответственности (ч. 1 ст. 24 Закона N 152-ФЗ, ст. 13.11 КоАП РФ).

 

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Безопасная работа с персональными данными в 2025 году».

 

Готовое решение: Какие существуют требования к обработке персональных данных работников организации (КонсультантПлюс, 2025) {КонсультантПлюс}

Статья: Как подтвердить уничтожение персональных данных работников? (Казанцева Е.П.) ("Упрощенная система налогообложения: бухгалтерский учет и налогообложение", 2023, N 4) {КонсультантПлюс}

Вопрос: Каков порядок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку? (Консультация эксперта, 2025) {КонсультантПлюс}

Вопрос: Может ли работодатель отказать работнику в отзыве согласия на обработку персональных данных? (Консультация эксперта, 2024) {КонсультантПлюс}

 

Еще по этой теме

17 июня 2025 г.

Готовимся к проверкам Роскомнадзора: возможные риски ответственности

21 мая 2025 г.

Готовимся к проверкам Роскомнадзора. Базовые понятия закона «О персональных данных» и основные обязанности оператора

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Гид по разделу «Образование»