Мурманск
Санкт-Петербург


Уничтожение персональных данных: требования к документации

20.09.2024

В эпоху цифровых технологий, когда личная информация каждого человека хранится в различных базах данных, вопрос об уничтожении персональных данных становится особенно актуальным. Персональные данные включают в себя любую информацию, которая может использоваться для идентификации личности, например, имя, адрес, номер телефона, электронная почта, банковские реквизиты и т.д. Уничтожение таких данных является важным шагом для обеспечения безопасности личной информации и защиты прав граждан.

Операторы персональных данных обязаны уничтожать обрабатываемые ими данные в случаях, предусмотренных законом. К таким случаям относятся:

  • незаконное получение персональных данных или отсутствие необходимости в них;
  • неправомерная обработка персональных данных;
  • достижение цели обработки персональных данных;
  • отзыв субъектом персональных данных согласия на их обработку.

Помимо того, что уничтожение персональных данных является законодательным требованием, оно также необходимо для предотвращения несанкционированного доступа к личной информации, её неправомерного использования и распространения. Это помогает защитить права и свободы граждан, а также предотвратить возможные финансовые и репутационные потери.

Согласно действующему законодательству факт уничтожения персональных данных должен быть документально подтверждён. Требования к документальному оформлению утверждены приказом Роскомнадзора от 28 октября 2022 года № 179 и действуют с 1 марта 2023 года по 1 марта 2029 года. Оформление документов об уничтожении персональных данных зависит от способа их обработки.

Если для обработки используются средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные устройства и т.д.) или проводится смешанная обработка, документами, то подтверждающими уничтожение персональных данных, являются:

  • акт об уничтожении персональных данных;
  • выгрузка из журнала регистрации событий в информационной системе персональных данных.

Если в выгрузке из журнала невозможно указать некоторые сведения, их необходимо отразить в акте об уничтожении. В таком случае для подтверждения требуются оба документа. Если персональные данные обрабатываются без использования средств автоматизации, подтверждением будет только акт об уничтожении персональных данных.

Роскомнадзором утверждены следующие требования к документальному оформлению факта уничтожения персональных данных:

В акте об уничтожении персональных данных должны содержаться следующие сведения:

  • наименование организации или Ф. И. О. (при наличии) физического лица – оператора персональных данных;
  • адрес оператора персональных данных;
  • наименование организации или Ф. И. О. (при наличии) физического лица, которые обрабатывали персональные данные по поручению оператора (при наличии такого поручения);
  • Ф. И. О. (при наличии) субъектов персональных данных или иная информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены;
  • Ф. И. О. (при наличии) и должность лиц, уничтоживших персональные данные и их подписи;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженных материальных носителей с персональными данными с указанием количества листов в отношении каждого такого носителя (если персональные данные обрабатывались без использования средств автоматизации, то есть на бумаге);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные (если персональные данные обрабатывались с использованием средств автоматизации);
  • способ уничтожения персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.

Акт об уничтожении персональных данных может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью.

Выгрузка из журнала должна содержать следующие данные:

  • Ф. И. О. (при наличии) субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой они были уничтожены;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.

Хранить все документы об уничтожении персональных данных следует не менее трех лет с момента уничтожения. Но рекомендуем хранить документы с небольшим запасом по времени.

Основными нормативными актами, регулирующими вопросы уничтожения персональных данных, являются:

  • Федеральный закон №152-ФЗ «О персональных данных».
  • Постановление Правительства РФ №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Приказ Роскомнадзора №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

Уничтожение персональных данных является важным аспектом обеспечения безопасности личной информации и защиты прав граждан. Соблюдение требований законодательства и внутренних правил организации позволяет минимизировать риски несанкционированного доступа к персональным данным и их неправомерного использования.


Возврат к списку