Чем подтвердить факт удаления персональных данных?

Чем подтвердить факт удаления персональных данных?

Персональные данные нужно уничтожать, если они собраны незаконно, достигнуты цели их сбора и, если этого требует сам владелец данных. Роскомнадзор разработал проект приказа, в котором установил требования к уничтожению персональных данных.

Проект приказа опубликован на Федеральном портале проектов нормативных правовых актов.

Уничтожение персональных данных означает уничтожение документов, в которых эти данные хранятся. Бумажные документы могут быть сожжены, измельчены на шредере и т.п. Электронные — удалены, затерты и т.п.

Как правило, персональные данные хранятся с момента их получения до момента, когда утрачена цель их обработки. После этого в течение 30-ти дней персональные данные должны быть уничтожены (ч. 4,5 ст. 21 Закона № 152-ФЗ). Кроме того, сами работники, в первую очередь уволенные, могут потребовать прекратить хранение их персональных данных.

В каких случаях персональные данные нужно уничтожить:

  • их обработали неправомерно (ч. 3 ст. 21 закона No 152-ФЗ);
  • достигнуты цели, ради которых компания собирала и обрабатывала данные (ч. 4 ст. 21 закона № 152-ФЗ);
  • владелец данных требует уничтожить их (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ);
  • владелец данных отзывает согласие на обработку данных (ч. 5 ст. 21 закона № 152-ФЗ).

Самым распространенным документом фиксации факта уничтожения персональных данных является акт о прекращении обработки персональных данных либо запись об этом факте в специальном журнале.  Делает это специально созданная комиссия по уничтожению персональных данных.

Процедура уничтожения персданных состоит из трех этапов:

  • издание приказа и создание комиссии;
  • уничтожение персональных данных;
  • составление акта об уничтожении ПД.

Акт уничтожения персональных данных

Это самый важный документ, в котором фиксируется сам факт уничтожения персональных данных. Роскомнадзор разработал приказ, которым устанавливаются требования к акту.

Акт об уничтожении персональных данных должен содержать:

  •  наименование или Ф. И. О. (при наличии) и адрес оператора;
  • наименование или Ф. И. О. (при наличии), адрес лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка поручена такому лицу);
  • Ф. И. О. (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
  • Ф. И. О. (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
  • перечень уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
  • способ уничтожения персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.

Акт может быть оформлен:

  • на бумаге,
  • в электронном формате.

Если персональные данные обрабатывались в собственной электронной системе или БД, нужно составить акт уничтожения и выгрузку данных из журнала регистрации событий в информационной системе персональных данных.

Файл должен содержать:

  • ФИО (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лиц;
  • перечень уничтоженных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.

Читать оригинал

Автор: Victor