Найти в Дзене
Б-152: защита персональных данных
30 подписчиков

🗂 Акт об уничтожении ПДн при SaaS: кто действительно несет ответственность?

1 мин
Вопрос, который часто возникает у компаний: «Данные хранятся у SaaS-провайдера, так кто тогда должен подписывать акт об уничтожении?» На первый взгляд кажется, что достаточно, чтобы провайдер удалил данные. Но Роскомнадзор при проверке смотрит не только на наличие договора-поручения, но и на то, как фиксируется сам факт уничтожения. И здесь компании нередко сталкиваются с сюрпризами. 📌 Как все устроено на практике: ⚫️ Оператором остается компания-клиент SaaS. Она отвечает перед субъектами и регулятором и обязана обеспечить уничтожение данных. ⚫️ Провайдер SaaS — лицо по поручению. В его роль входит исполнить требование оператора и подтвердить факт уничтожения, закрепленный в договоре или SLA. 📌 Кто подписывает акт: ➖ Обязанность составить акт всегда лежит на операторе. Алгоритм обычно такой: Оператор направляет требование об уничтожении. ➖ Провайдер исполняет его и подтверждает факт (например, выгрузкой из журнала событий или собственным документом). ➖ После получения подтверждения

Вопрос, который часто возникает у компаний:

«Данные хранятся у SaaS-провайдера, так кто тогда должен подписывать акт об уничтожении?»

На первый взгляд кажется, что достаточно, чтобы провайдер удалил данные. Но Роскомнадзор при проверке смотрит не только на наличие договора-поручения, но и на то, как фиксируется сам факт уничтожения. И здесь компании нередко сталкиваются с сюрпризами.

📌 Как все устроено на практике:

⚫️ Оператором остается компания-клиент SaaS. Она отвечает перед субъектами и регулятором и обязана обеспечить уничтожение данных.

⚫️ Провайдер SaaS — лицо по поручению. В его роль входит исполнить требование оператора и подтвердить факт уничтожения, закрепленный в договоре или SLA.

📌 Кто подписывает акт:

➖ Обязанность составить акт всегда лежит на операторе. Алгоритм обычно такой:

Оператор направляет требование об уничтожении.

➖ Провайдер исполняет его и подтверждает факт (например, выгрузкой из журнала событий или собственным документом).

➖ После получения подтверждения оператор формирует акт, указывая все третьи лица, которые обрабатывали данные по поручению, включая SaaS-провайдера.

Именно этот документ фиксирует контроль оператора над процессом.

⚠️ Где чаще всего случаются ошибки?

⚫️ Если провайдер удаляет данные без документального подтверждения, для РКН это отсутствие контроля.

⚫️ Договор не фиксирует процедуру: сроки, форму, формат подтверждения. Без этого проверяющие могут считать процесс формальным и недействительным.

ЭТО СТОИТ ЗАКРЕПИТЬ В ДОГОВОРЕ УЖЕ СЕГОДНЯ

➡️ Сроки уничтожения (например, «не позднее 30 дней после расторжения договора» или «в течение 3 рабочих дней с момента направления требования»).

➡️ Формат документа, подтверждающего уничтожение данных на стороне провайдера.

〰️ При SaaS-сервисах акт об уничтожении формирует оператор, на основании подтверждения провайдера.

Закрепленный в договоре порядок уничтожения снимает риски при проверке и показывает регулятору, что оператор полностью контролирует процесс.

Если хотите заранее убедиться, что порядок уничтожения у вас выстроен корректно и без уязвимых мест, оставьте заявку: мы проведем аудит и поможем оформить процесс так, чтобы проверка прошла без вопросов.