база знаний
Смотреть все
вернуться назад

Как зафиксировать факт уничтожения персональных данных

Автор:

Юрист
Ани Ароян

В Рунетлексе
с 2022 года

О чем статья

Прошло уже некоторое время со дня вступления в силу приказа Роскомнадзора от 28 октября 2022 года № 179 (далее – Приказ).


В этой статье мы расскажем, как удалять персональные данные и фиксировать этот процесс, как долго хранить информацию об удалении и зачем нужно фиксировать уничтожение данных. 


Важно: порядок уничтожения, описанный в данной статье, будет действовать до 1 марта 2029 года.

Как можно уничтожить персональные данные

Любым способом, например:

  • через шредер, если сведения хранятся на бумаге;

  • путем форматирования диска, удаления информации из внутренней системы, если информация хранится на компьютере.

Главное понимать, что "уничтожить" означает, что никто и никогда не сможет восстановить содержание персональных данных. Законную формулировку можно найти в ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ).

Зачем фиксировать факт уничтожения

Причина достаточно банальна.

Например, чтобы иметь возможность предоставить доказательства того, что вы:

  • исполняете обязательства по договору или иному документу с контрагентом; 

  • соблюдаете обязанности, установленные законом; 

  • не нарушаете политику обработки персональных данных и т.п.


Фиксация уничтожения персональных данных поможет вам избежать штрафных санкций и иных мер ответственности.

Как зафиксировать факт уничтожения

Есть два способа фиксирования уничтожения персональных данных, которые указываются в Приказе:

  • оформление акта об уничтожении персональных данных (далее – акт);

  • выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – журнал регистрации).


    Если персональные данные хранятся только на бумажном носителе, то достаточно акта. Во всех остальных случаях нужен еще и журнал регистрации.


    Акт и журнал регистрации следует хранить в течение 3 лет с момента уничтожения персональных данных.

    Что должно быть в акте и журнале регистрации

    Акт составляется в свободной форме. Оформить акт можно не только на бумажном носителе, но и в электронном виде. При этом нужно, чтобы в акте было указано:

    • наименование организации или ФИО предпринимателя и их адрес местонахождения;

    • ФИО лиц, чьи персональные данные были уничтожены;

    • ФИО и должность лица, уничтожившего персональные данные, а также его подпись;

    • перечень категорий уничтоженных персональных данных;

    • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);

    • наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);

    • способ уничтожения персональных данных;

    • причину уничтожения персональных данных;

    • дату уничтожения персональных данных.


      Выгрузка из журнала регистрации должна включать в себя:

      • ФИО лиц, чьи персональные данные были уничтожены;

      • перечень категорий уничтоженных персональных данных;

      • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;

      • причину уничтожения персональных данных и дату их уничтожения.


        Если вы не можете указать все нужные сведения по журналу регистрации из-за технических ограничений, то все, что вы не смогли зафиксировать с помощью него, нужно зафиксировать актом.