Мало у кого вызывает сомнения важность соблюдения законодательных требований к обработке персональных данных физических лиц (работников, клиентов и т.д.), которые оказываются в распоряжении организаций и предпринимателей в процессе хозяйственной деятельности.

Однако необходимо учитывать, что закон предусматривает требования не только к сбору, хранению и иным распространенным способам обработки персональных данных, но и к их уничтожению.

Уничтожение персональных данных — это определенные действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Если персональные данные хранятся на бумажном носителе, то они уничтожаются вместе с носителем.

В случае хранения персональных данных с использованием автоматизированных систем уничтожению подлежит только информация (с сохранением носителя), но в таком случае не должно остаться возможности для восстановления информации при помощи какого – либо специального программного обеспечения.

При этом уничтожение персональных данных должно производиться в соответствии с предусмотренной законом процедурой и подтверждаться документально.

 

1 марта 2023г. вступил в силу приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (далее – Приказ), который предусматривает новый порядок оформления уничтожения персональных данных.

Ниже рассмотрим ключевые положения данного приказа.

 

Сроки уничтожения персональных данных

В случае достижения цели обработки персональных данных оператор по общему правилу обязан прекратить обработку персональных данных и уничтожить персональные данные не позднее 30 дней с даты достижения цели обработки персональных данных.

Если оператор обрабатывает информацию без использования средств автоматизации, документальным подтверждением станет акт об уничтожении персональных данных.

Если же обработка проводится с использованием средств автоматизации, подтверждением будут: акт об уничтожении персональных данных; выгрузка из журнала регистрации событий в информационной системе персональных данных.

 

Акт об уничтожении персональных данных

 

До вступления Приказа в силу операторы могли самостоятельно определять порядок фиксации факта уничтожения персональных данных.

По новым правилам операторы обязаны составлять специальный документ – акт об уничтожении персональных данных.

Пункт 3 вышеупомянутого Приказа детально регламентирует, какие данные должны содержаться в акте об уничтожении персональных данных.

Акт об уничтожении персональных данных должен содержать:

а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);

в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;

д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);

з) способ уничтожения персональных данных;

и) причину уничтожения персональных данных;

к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

Выгрузка из журнала должна содержать:

а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

г) причину уничтожения персональных данных;

д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.