Федеральный закон №152 закрепляет обязанность за предпринимателями уничтожать персональные данные субъектов в ряде случаев. Например в случае достижения целей обработки, либо отзыва субъектом согласия на обработку его персональных данных.
Казалось-бы, уничтожил да и бог с ними. Ну типа сжег или пустил все в шредер. Однако не все так просто, в частности важно подтвердить факта уничтожения персональных данных актом. А вот требований к составления этого самого акта в вышеуказанном законе не найти. Роскомнадзор составил аж целый приказ, которым важно руководствоваться (Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных» (Зарегистрирован 28.11.2022 № 71167)).
Важное из приказа:
- Если уничтожаете персональные данные, которые обрабатывались без средств автоматизации, то достаточно составить только акт. Примерное содержание акта следующее: «уничтожил вот это. больше не обрабатываю. С приветом, генеральный директор такой-то.»
- А вот с уничтожением персональных данных, обработка которых осуществляется с применением средств автоматизации задача чуть сложнее.
Для понимания: В качестве примера автоматизированной обработки персданых можно назвать различные программы, позволяющие переформатировать ПДн, в том числе из формата бухгалтерской программы в формат, например, программы пенсионного фонда и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике.
Так вот согласно вышеуказанному Приказу Роскомнадзора, в случае с автоматизированной обработкой персональных данных, помимо акта, также в качестве подтверждения уничтожения персональных данных необходимо сформировать выгрузку из журнала регистрации событий в информационной системе персональных данных.
Теперь подробнее об акте.
Акт в обязательном порядке должен содержать следующую информацию:
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субьектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субьектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных сублекта (субъектов) персональных данных.
Требования к выгрузке из журнала регламентированы пунктом 5 Приказа. Согласно данному пункту выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субьекта (субьектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала.
К слову акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
Если было полезно, обязательно поставьте лайк и подпишитесь. Таким образом вы мотивируете меня делать больше постов, а значит Вы получите еще больше полезной информации. К слову для всех подписчиков моего телеграм-канала: ONETRUERUSTEM, консультация будет бесплатной.