По закону необходимо уничтожить персональные данные в таких случаях:
🔹 Компания достигла цели обработки или утратила такую необходимость.
🔹 Выявлен факт неправомерной обработки данных.
🔹 Согласие на обработку отозвали.
🔹 Субъект требует удалить его данные.
Оператор данных заранее должен предусмотреть порядок их уничтожения. Часто юристы советуют назначать комиссию, ответственную за это. По нашему опыту, это может быть постоянно действующая комиссия, или можно собираться при необходимости.
Единственная рекомендация — включать в состав комиссии лицо, ответственное за организацию обработки персональных данных. Потому что, как правило, именно это лицо будет взаимодействовать с Роскомнадзором, когда тот начнет спрашивать: «Как вы уничтожили персональные данные?»
Важно после уничтожения как-то зафиксировать этот факт. Это можно сделать, оформив акт или сделав запись в специально созданном для этого журнале.
Источник: https://pravo.ru/story/243101/
