На какие регистры в бухгалтерском учете казенного учреждения необходимо составлять акт об уничтожении персональных данных?
Рассмотрев вопрос, мы пришли к следующему выводу:
Оператору персональных данных необходимо проанализировать состав регистров бухгалтерского учета, содержащих информацию о персональных данных сотрудников, разработать локальный акт об уничтожении персональных данных, прописав в нем случаи и способы такого уничтожения.
Обоснование вывода:
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ (далее - Закон N 152-ФЗ) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Пунктом 6 Требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных к распространению, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 N 18, определено, что к таким данным относятся: фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных. Иными словами, конкретно в целях бухгалтерского учета могут использоваться такие персональные данные, как данные паспорта сотрудника и информация, связанная с его доходами.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (ч. 7 ст. 5, чч. 4, 5 ст. 21 Закона N 152-ФЗ). Так, например, подп. 5 п. 3 ст. 24 НК РФ установлена обязанность налоговых агентов (работодателей) в течение пяти лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. Часть 1 ст. 29 Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете" предписывает хранить первичные учетные документы, регистры бухгалтерского учета, бухгалтерскую (финансовую) отчетность, аудиторские заключения о ней в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года.
Следовательно, в течение этого времени работодатель должен хранить персональные данные работников в том объеме, в котором это необходимо для исполнения обязанностей, возложенных на него законом. Соответственно, по истечении установленных сроков эти данные подлежат уничтожению. Полагаем, что субъекту учета необходимо самостоятельно проанализировать, в каких именно регистрах бухгалтерского учета может содержаться информация, касающаяся таких персональных данных сотрудников, как паспортные данные и сведения о доходах. Не исключаем, что это могут быть журнал операций по счету "Касса", журнал операций расчетов с подотчетными лицами, журнал операций расчетов по оплате труда, денежному довольствию и стипендиям.
Закон N 152-ФЗ не регламентирует процедуру уничтожения персональных данных. В п. 8 ст. 3 Закона N 152-ФЗ приведено лишь определение уничтожения персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 Закона N 152-ФЗ). Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Для этого необходимо разработать локальный акт об уничтожении персональных данных, прописав в нем случаи и способы такого уничтожения. Также нормативным актом создать комиссию по уничтожению персональных данных, к полномочиям которой будет относиться составление перечня документов, подлежащих уничтожению, согласно установленным законодательством срокам.
Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта.
С 1 марта 2023 года вступил в силу приказ Роскомнадзора N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".
Теперь при оформлении документа операторам нужно обратить внимание на то, как осуществляется обработка персональных данных, а именно:
- если используются какие-либо средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т.д.) или смешанная обработка, то документами, подтверждающими уничтожение персональных данных субъектов, являются:
1) акт об уничтожении персональных данных (смотрите пункты 3 и 4 Требований),
2) выгрузка из журнала регистрации событий в информационной системе персональных данных (смотрите пункт 5 Требований);
- если в выгрузке из журнала невозможно указать какие-то сведения, их можно отразить в акте. В таком случае подтверждением будут оба способа, независимо от способа обработки ПД (смотрите пункт 6 Требований);
- если средства автоматизации не используются, то подтверждением будет только акт об уничтожении персональных данных.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Селина Елена
Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
член Союза развития государственных финансов Суховерхова Антонина
24 мая 2023 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.