Роскомнадзор утвердил требования к подтверждению уничтожения персональных данных (ПДн). Соответствующий приказ № 179 от 28 октября 2022 года вступил в силу 1 марта 2023 года. Это не единственное новшество, коснувшееся обработки ПДн. О других изменениях можно почитать в статье.
Соблюдать требования должны организации и ИП, в том числе работодатели, обрабатывающие персональные данные физлиц. Это необходимо в целях пресечения незаконной обработки ПДн.
В каких случаях следует уничтожить ПДн
Случаи, при которых у оператора возникает обязанность уничтожить ПДн, и сроки для проведения процедуры предусмотрены ч. 4 ст. 21 Закона № 152-ФЗ.
Это 30 дней с даты достижения цели обработки персональных данных. Такой же срок отводится для уничтожения ПДн субъекта при поступлении от него отзыва согласия на обработку.
Обратите внимание! При достижении цели обработки ПДн может применяться другой срок для их уничтожения, в случае если:
- такой срок предусмотрен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- другой срок предусмотрен иным соглашением между оператором и субъектом ПДн;
- если оператор не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами (ч. 7 ст. 5, ч. 4, 5 ст. 21 Закона № 152-ФЗ).
Кроме этого, оператор обязан уничтожить ПДн субъекта (или обеспечить их уничтожение):
- в течение 7 рабочих дней со дня представления субъектом ПДн (или его представителем) сведений, подтверждающих, что ПДн были получены незаконно или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14, ч. 3 ст. 20 Закона № 152-ФЗ);
- в течение 10 рабочих дней с даты выявления неправомерной обработки ПДн, если невозможно обеспечить её правомерность (ч. 3 ст. 21 Закона № 152-ФЗ).
Как уничтожить ПДн
Законодательством конкретный порядок уничтожения ПДн не установлен. Каждая компания может определить его самостоятельно, прописав в локальном нормативном акте. В документе можно прописать ситуации, когда ПДН требуется уничтожить, и способы такого уничтожения.
Справка! Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн (ст. 3 Закона от 27 июля 2006 № 152-ФЗ).
Для уничтожения ПДн руководству компании следует издать распоряжение или приказ. Этим документом формируется комиссия из числа сотрудников компании. В её состав входит ответственное за обработку ПДн должностное лицо.
Комиссия должна определить перечень сведений, которые подлежат уничтожению, а затем приступить непосредственно к процессу уничтожения ПДн.
Способ, посредством которого будут уничтожены данные, компания может определить самостоятельно.
Как подтвердить уничтожение ПДн
Факт уничтожения ПДн нужно документально зафиксировать.
Набор и содержание документов (приведены в таблице 1) зависят от того, использует ли оператор при обработке средства автоматизации.
- Если компания обрабатывает ПДн вручную, без применения средств автоматизации, факт уничтожения подтверждается специальным актом об уничтожении.
- При обработке ПДн с применением средств автоматизации, после уничтожения данных компания предоставляет акт об уничтожении ПДн и выгрузку из журнала регистрации событий в информационной системе ПДн. Аналогичный порядок работает и для случаев, когда в компании одновременно применяют ручную обработку и средства автоматизации.
Таблица 1. Содержание документов, подтверждающих уничтожение ПДн)
Акт об уничтожении ПДн (составляется в произвольной форме)
|
Выгрузка из журнала регистрации
|
- наименование и адрес организации — оператора/ФИО и адрес предпринимателя — оператора;
- наименование организации/ФИО лица, осуществляющих обработку данных субъекта или субъектов ПДн по поручению оператора (если обработка была поручена таким лицам);
- ФИО субъектов, чьи ПДн были уничтожены;
- ФИО, должность и подпись лица, уничтожившего ПДн;
- перечень категорий уничтоженных ПДн;
- наименование уничтоженного материального носителя, содержащего ПДн, количество листов в отношении каждого материального носителя (если ПДн обрабатываются вручную);
- наименование информационной системы ПДн, из которой были уничтожены данные (если ПДн обрабатываются с применением средств автоматизации);
- способ, которыми были уничтожены ПДн;
- причина и дата уничтожения ПДн.
|
- ФИО и иная относящаяся к субъектам ПДн и информация лиц, чьи данные были уничтожены;
- перечень категорий уничтоженных ПДн;
- наименование информационной системы ПДн, из которой были уничтожены данные;
- причину и дату уничтожения ПДн.
|
Акт об уничтожении ПДн в электронной форме, подписанный электронной подписью равнозначен акту об уничтожении персональных данных на бумаге, подписанному собственноручной подписью уполномоченных лиц.
|
Если выгрузка из журнала не позволяет указать отдельные сведения, недостающие данные нужно указать в акте об уничтожении.
|
Акт и выгрузку нужно хранить в течение трёх лет с момента уничтожения ПДн.