Наша работа - Ваша уверенность

Применимость закона о персональных данных в отношении архивных документов

Применимость закона о персональных данных в отношении архивных документов

Развитие цифровой среды и ужесточение требований к защите персональных данных (ПДн) обострили вопрос: как согласовать правовые режимы архивного дела и обработки ПДн.

Архивные документы играют важную роль для государства и общества. Они подтверждают трудовой стаж, образование, родственные связи, служат источником историко-документальных исследований и помогают сохранять преемственность управленческих решений. Но если материалы содержат персональные данные, учреждения обязаны обеспечить их безопасность. Для государственных и муниципальных архивов это системная задача.

Важно учитывать: действие закона «Об архивном деле» не отменяет требований о защите ПДн. Закон просто регулирует эту сферу иначе. На практике это означает ограничение доступа к архивным документам, содержащим персональные данные.

Таким образом, перед архивами стоят две взаимосвязанные задачи:

    • сохранять документы как часть общественного достояния и обеспечивать доступ к ним;
    • одновременно защищать персональные данные, содержащиеся в этих материалах.

 
Архивам необходимо вырабатывать сбалансированные подходы к работе с документами и чётко определять допустимые границы обработки ПДн.

Нормативно-правовая база в отношении архивных документов

Основой архивного дела является Федеральный закон № 125-ФЗ «Об архивном деле в Российской Федерации». В нём архивный документ определяется как материальный носитель информации с реквизитами, позволяющими его идентифицировать, и подлежащий хранению в силу значимости для граждан, общества и государства.

Закон выделяет две ключевые категории:

    • документы Архивного фонда РФ (постоянное хранение),
    • иные архивные документы (хранятся в установленные сроки).

 
Архивное дело строится на принципах целостности архивного фонда, открытости (с учётом ограничений), сохранности, учёта и систематизации документов. Нормы регулируются на нескольких уровнях — от федеральных законов до внутренних документов архивов.

Федеральный закон № 152-ФЗ определяет персональные данные как любую информацию о физическом лице. Однако пункт 2 части 2 статьи 1 освобождает от действия закона отношения, возникающие при хранении, комплектовании, учёте и использовании документов Архивного фонда РФ и иных архивных документов — если работа ведётся в соответствии с архивным законодательством.

Исключение распространяется на все архивные документы, но формулировки оставляют ряд вопросов. Закон не уточняет:

    • должен ли документ физически находиться в архиве,
    • что считать «значимостью для общества и государства»,
    • где проходит граница между текущим и архивным документом.

 
Эта неопределённость создаёт сложности при решении практических задач: предоставлении доступа, копировании, определении срока хранения или уничтожении документов.

Дополнительные требования содержатся в приказах Росархива. Приказ № 61 от 22.04.2019 регламентирует работу с ПДн внутри агентства, описывает обязанности, процедуры, формы документов и меры по обеспечению безопасности информации. Хотя приказ не распространяется на другие органы власти, он может служить ориентиром.

Существенное значение имеют и сроки хранения архивных документов. Приказ Росархива № 236 от 20.12.2019 устанавливает дифференцированные сроки.
Например:

    • приказы о приёме и увольнении — 50 лет (до 2003 года) или 75 лет (после 2003);
    • личные карточки работников — аналогично;
    • медицинские карты — 25 лет;
    • протоколы заседаний — 5–75 лет в зависимости от значимости.

 
Эти сроки задают рамки для архивов и определяют, как долго документы с ПДн должны храниться.

Взаимодействие с архивными документами

Требования к хранению архивных документов комплексные. Бумажные носители размещаются в огнестойких шкафах, хранятся в контролируемом микроклимате, доступ к ним ограничен. Электронные архивы защищаются в соответствии с постановлением Правительства № 1119 о требованиях к защите ПДн в информационных системах персональных данных.

Доступ к ПДн в архивных документах предоставляется только уполномоченным сотрудникам и в минимально необходимом объёме.

Уничтожение архивных документов с персональными данными подчиняется строгим правилам. С 1 марта 2023 года факт уничтожения должен быть документирован. Для электронных документов дополнительно требуется выгрузка из журнала регистрации событий. Методы уничтожения должны исключать возможность восстановления информации:

    • бумажные — шредирование, сжигание, химическое разрушение;
    • электронные — применение ПО для гарантированного удаления или физическое уничтожение носителя.

 
Документы, подтверждающие уничтожение, хранятся три года.

Работа с такими документами сопряжена с рядом практических сложностей:

    • критерии архивности документов размыты;
    • требуется балансировать между открытостью архивов и защитой ПДн;
    • цифровизация (сканирование, формирование электронных копий) зачастую трактуется как обработка ПДн и требует дополнительных процедур;
    • коллизии между требованиями архивного законодательства и 152-ФЗ осложняют вопросы доступа и уничтожения.

 

Что делать, чтобы минимизировать правовые риски

Архивным учреждениям целесообразно:

    • разработать типовые соглашения с исследователями, включающие обязательства о неразглашении ПДн;
    • автоматизировать учёт обращений к документам, чтобы фиксировать все операции;
    • регулярно обучать сотрудников работе с законом о персональных данных;
    • подготовить методические рекомендации по уничтожению документов с ПДн, с подробным описанием процедур и технических методов.

 

Выводы

Взаимодействие архивного законодательства и требований по защите персональных данных — задача сложная, но решаемая. Закон № 152-ФЗ не применяется к архивным документам, если работа с ними ведётся в рамках норм архивного законодательства. Однако это исключение требует более точной правовой проработки.

Сроки хранения документов определяются архивными нормативами, а не правилами обработки ПДн. Уничтожение должно сопровождаться надлежащим документальным оформлением. Доступ к архивным материалам с ПДн необходимо организовывать так, чтобы учитывать как требования открытости, так и защиту прав субъектов данных.

Поиск
Мы в соцсетях
Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
Дзен-канал компании «Рубикон»
Популярные разделы
Новости ИБ | Законодательство | Практика | Кейсы | КИИ | ПДн | Пентест | OWASP | Вебинары | Мероприятия | Межрегиональный круглый стол
Популярные новости
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Защита объектов КИИ
Защита объектов КИИ
Запрет на закупки иностранного ПО
Запрет на закупки иностранного ПО
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять