Мы используем файлы cookie
Чтобы анализировать трафик, подбирать для вас подходящий контент и рекламу, мы используем cookies и похожие технологии в соответствии с принятой Политикой в отношении обработки персональных данных. Продолжая работу с сайтом, вы соглашаетесь с этим. Вы всегда можете отключить файлы cookies в настройках вашего браузера.Уничтожение персональных данных: требования к документации
В эпоху цифровых технологий, когда личная информация каждого человека хранится в различных базах данных, вопрос об уничтожении персональных данных становится особенно актуальным. Персональные данные включают в себя любую информацию, которая может использоваться для идентификации личности, например, имя, адрес, номер телефона, электронная почта, банковские реквизиты и т.д. Уничтожение таких данных является важным шагом для обеспечения безопасности личной информации и защиты прав граждан.
Операторы персональных данных обязаны уничтожать обрабатываемые ими данные в случаях, предусмотренных законом. К таким случаям относятся:
- незаконное получение персональных данных или отсутствие необходимости в них;
- неправомерная обработка персональных данных;
- достижение цели обработки персональных данных;
- отзыв субъектом персональных данных согласия на их обработку.
Помимо того, что уничтожение персональных данных является законодательным требованием, оно также необходимо для предотвращения несанкционированного доступа к личной информации, её неправомерного использования и распространения. Это помогает защитить права и свободы граждан, а также предотвратить возможные финансовые и репутационные потери.
Согласно действующему законодательству факт уничтожения персональных данных должен быть документально подтверждён. Требования к документальному оформлению утверждены приказом Роскомнадзора от 28 октября 2022 года № 179 и действуют с 1 марта 2023 года по 1 марта 2029 года. Оформление документов об уничтожении персональных данных зависит от способа их обработки.
Если для обработки используются средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные устройства и т.д.) или проводится смешанная обработка, документами, то подтверждающими уничтожение персональных данных, являются:
- акт об уничтожении персональных данных;
- выгрузка из журнала регистрации событий в информационной системе персональных данных.
Если в выгрузке из журнала невозможно указать некоторые сведения, их необходимо отразить в акте об уничтожении. В таком случае для подтверждения требуются оба документа. Если персональные данные обрабатываются без использования средств автоматизации, подтверждением будет только акт об уничтожении персональных данных.
Роскомнадзором утверждены следующие требования к документальному оформлению факта уничтожения персональных данных:
В акте об уничтожении персональных данных должны содержаться следующие сведения:
- наименование организации или Ф. И. О. (при наличии) физического лица – оператора персональных данных;
- адрес оператора персональных данных;
- наименование организации или Ф. И. О. (при наличии) физического лица, которые обрабатывали персональные данные по поручению оператора (при наличии такого поручения);
- Ф. И. О. (при наличии) субъектов персональных данных или иная информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены;
- Ф. И. О. (при наличии) и должность лиц, уничтоживших персональные данные и их подписи;
- перечень категорий уничтоженных персональных данных;
- наименование уничтоженных материальных носителей с персональными данными с указанием количества листов в отношении каждого такого носителя (если персональные данные обрабатывались без использования средств автоматизации, то есть на бумаге);
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные (если персональные данные обрабатывались с использованием средств автоматизации);
- способ уничтожения персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных.
Акт об уничтожении персональных данных может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью.
Выгрузка из журнала должна содержать следующие данные:
- Ф. И. О. (при наличии) субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
- перечень категорий уничтоженных персональных данных;
- наименование информационной системы персональных данных, из которой они были уничтожены;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных.
Хранить все документы об уничтожении персональных данных следует не менее трех лет с момента уничтожения. Но рекомендуем хранить документы с небольшим запасом по времени.
Основными нормативными актами, регулирующими вопросы уничтожения персональных данных, являются:
- Федеральный закон №152-ФЗ «О персональных данных».
- Постановление Правительства РФ №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Приказ Роскомнадзора №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Уничтожение персональных данных является важным аспектом обеспечения безопасности личной информации и защиты прав граждан. Соблюдение требований законодательства и внутренних правил организации позволяет минимизировать риски несанкционированного доступа к персональным данным и их неправомерного использования.