Меньше месяца назад вступили в силу новые Правила организации хранения, комплектования, учета и использования архивных документов (Правила) Росархива. Они заменили правила Минтруда, действовавшие с 2015 года.
Для операторов персональных данных (ПД) соблюдение этих Правил позволяет легально вывести хранение документов из области контроля Роскомнадзора. Дело в том, что Закон о персональных данных не распространяется на хранение архивных документов, если такое хранение выполняется на основании и в соответствии с законодательством об архивном деле в РФ, в том числе в соответствии с этими Правилами.
Для операторов персональных данных (ПД) соблюдение этих Правил позволяет легально вывести хранение документов из области контроля Роскомнадзора. Дело в том, что Закон о персональных данных не распространяется на хранение архивных документов, если такое хранение выполняется на основании и в соответствии с законодательством об архивном деле в РФ, в том числе в соответствии с этими Правилами.
Некорректное исполнение архивного законодательства может повлечь ответственность в виде штрафа по ст. 13.20 КоАП РФ. Но нам интереснее другое. Если оператор ПД не убедит инспектора Роскомнадзора в том, что хранит ПД после достижения цели обработки строго в рамках архивного законодательства, последуют следующие санкции:
- оператор будет привлечен к ответственности по ст. 13.11 КоАП РФ в виде штрафа до 500 000 рублей, а также
- придется оперативно внедрять in-house архив или привлекать внешнюю организацию, чтобы исполнить предписание Роскомнадзора.
Что нового?
Правила в основном детализируют прежние требования.
- Как и раньше, организация может передавать документы на хранение во внешний архив, однако теперь в уставных документах подрядчика должна быть предусмотрена деятельность по хранению архивных документов. Очевидно, что специализированные архивы вне риска. Но если в вашей группе компаний есть выделенный центр обслуживания, выполняющий среди прочего архивные функции, то стоит убедиться, что в его уставе прямо предусмотрен этот вид деятельности.
- Организации по-прежнему могут вести архив самостоятельно in-house. Для этого необходимо разработать и утвердить положение об архиве организации, а также положение о структурном подразделении архива согласно новому требованию. Поэтому надо проверить наличие обоих документов и, при необходимости, их разработать и принять. Строгих требований к содержанию документов нет, их наполнение в целом вы определяете самостоятельно.
- Конкретизировали правила хранения электронных документов, а именно, установили минимальные требования к функциональности системы хранения электронных документов (СХЭД). Следует убедиться, что компания выполняет эти требования.
- Уточнили, какие метаданные должны быть в файле описания электронного документа при его передаче в СХЭД (например, дата и регистрационный номер, сведения о режиме доступа, результат проверки электронной подписи). На практике в существующих системах ЭДО файлы с метаданными создаются, но требуемую информацию не содержат. Также в серой зоне остается архивное хранение, например, в 1С ЗУП, поскольку система представляет собой базу данных (таблицы с данными), а не хранилище электронных документов.
- Теперь документы (дела) становятся архивными с 1 января года, следующего за годом, в котором они были закончены делопроизводством. Как и прежде архивные документы подлежат передаче на хранение в архив не ранее, чем через один год, и не позднее, чем через три года после завершения дел в делопроизводстве. То есть документы могут уже стать архивными, но еще не могут быть переданы в архив.
- Изменилась процедура уничтожения документов. Кроме акта о выделении к уничтожению документов должен сохраняться документ, подтверждающий факт утилизации. Напомним про любопытное разъяснение Роскомнадзора, согласно которому необходимо составлять акт об уничтожении ПД (особая форма по Приказу Роскомнадзора) и в случае уничтожения архивных документов с ПД. Хорошо, что есть аргументы против такой позиции Роскомнадзора! Но это уже другая история.
- Кроме этого, в новых Правилах подробнее рассмотрены порядок проведения экспертизы ценности документов и оформления ее результатов; правила хранения, комплектования и учета электронных, аудиовизуальных документов; порядок передачи документов на хранение в архив; требования к помещениям, в которых должен размещаться архив.
Надо что-то менять?
При соблюдении Правил хранение «архивных» документов, содержащих ПД, будет выведено из сферы действия Закона о персональных данных. Однако для этого важно доказать инспектору Роскомнадзора, что архив есть и ведется в соответствии с Правилами.
Полное соответствие Правилам потребует от организации не только принятия различных положений, но и соблюдения условий хранения документов. Например, должно соблюдаться предоставление изолированных помещений, противопожарный, охранный, температурно-влажностный, световой и санитарно-гигиенический режимы, создание экспертной комиссии, проведение экспертизы ценности документов и многое другое. Но на практике Роскомнадзор, как правило, проверяет только наличие документов, сопровождающих передачу данных в архив. У Роскомнадзора в целом отсутствуют полномочия проверки исполнения Правил.
Изменится ли практика Роскомнадзора при проверке операторов ПД в связи с утверждением новых Правил? Нужно ли теперь операторам ПД показывать не только новые документы, но и доказывать соответствие СХЭД, помещений требованиям Правил? На наш взгляд, нет, но практика покажет.
Полагаем, что с учетом новых Правил для вывода документов из сферы действия Закона о персональных данных, будет достаточно тех документов, что были ранее, однако их содержание может несущественно отличаться:
[1] Рекомендуем включать в положение об архиве порядок приема-передачи документов, права доступа работников к электронным архивным документам, учетным и справочно-поисковым системам.
Авторы:
Comply Team
Авторы:
Comply Team