Как зафиксировать факт уничтожения персональных данных
Автор:
Юрист
Ани Ароян
В Рунетлексе с 2022 года
Прошло уже некоторое время со дня вступления в силу приказа Роскомнадзора от 28 октября 2022 года № 179 (далее – Приказ).
В этой статье мы расскажем, как удалять персональные данные и фиксировать этот процесс, как долго хранить информацию об удалении и зачем нужно фиксировать уничтожение данных.
Важно: порядок уничтожения, описанный в данной статье, будет действовать до 1 марта 2029 года.
Любым способом, например:
через шредер, если сведения хранятся на бумаге;
путем форматирования диска, удаления информации из внутренней системы, если информация хранится на компьютере.
Главное понимать, что "уничтожить" означает, что никто и никогда не сможет восстановить содержание персональных данных. Законную формулировку можно найти в ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ).
Причина достаточно банальна.
Например, чтобы иметь возможность предоставить доказательства того, что вы:
исполняете обязательства по договору или иному документу с контрагентом;
соблюдаете обязанности, установленные законом;
не нарушаете политику обработки персональных данных и т.п.
Фиксация уничтожения персональных данных поможет вам избежать штрафных санкций и иных мер ответственности.
Есть два способа фиксирования уничтожения персональных данных, которые указываются в Приказе:
оформление акта об уничтожении персональных данных (далее – акт);
выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – журнал регистрации).
Если персональные данные хранятся только на бумажном носителе, то достаточно акта. Во всех остальных случаях нужен еще и журнал регистрации.
Акт и журнал регистрации следует хранить в течение 3 лет с момента уничтожения персональных данных.
Акт составляется в свободной форме. Оформить акт можно не только на бумажном носителе, но и в электронном виде. При этом нужно, чтобы в акте было указано:
наименование организации или ФИО предпринимателя и их адрес местонахождения;
ФИО лиц, чьи персональные данные были уничтожены;
ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
перечень категорий уничтоженных персональных данных;
наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
способ уничтожения персональных данных;
причину уничтожения персональных данных;
дату уничтожения персональных данных.
Выгрузка из журнала регистрации должна включать в себя:
ФИО лиц, чьи персональные данные были уничтожены;
перечень категорий уничтоженных персональных данных;
наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
причину уничтожения персональных данных и дату их уничтожения.
Если вы не можете указать все нужные сведения по журналу регистрации из-за технических ограничений, то все, что вы не смогли зафиксировать с помощью него, нужно зафиксировать актом.