Уничтожение персональных данных: новый порядок

Под уничтожением персональных данных (далее – ПДн) понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн (п. 8. ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Каким образом должен происходить процесс уничтожения ПДн, поименованный закон не регламентирует. Но им установлена прямая обязанность оператора по ликвидации всех материальных носителей, в которых содержатся сведения конфиденциального характера. При наличии причины для удаления таких сведений компания обязана выполнить свои обязательства в установленные сроки в надлежащем порядке. Процедуру уничтожения оператор вправе определять самостоятельно.

Напомним, что уничтожить ПДн (или обеспечить их уничтожение) необходимо в случаях, предусмотренных ст. ст. 20, 21 Закона о персональных данных:

1. субъект ПДн потребовал их уничтожить;
2. оператор выявил недостоверность, неполноту ПДн или узнал, что эти ПДн используются неправомерно;
3. оператор достиг целей, для которых производился сбор и использование информации;
4. субъект ПДн отозвал свое согласие на обработку, например по причине увольнения.

Уничтожить ПДн необходимо в сроки, установленные законом. Например, при просьбе субъекта ПДн удалить о себе все сведения оператор обязан сделать это в течение 7 рабочих дней, а при отказе субъекта ПДн от дальнейшей обработки информации – в течение 30 дней.

При этом если сам процесс уничтожения ПДн законом не регламентирован, то факт уничтожения оператор подтвердить обязан.

1 марта 2023 г. вступил в силу Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (далее – Требования № 179).

Таким образом, с указанной даты подтверждать уничтожение ПДн необходимо в соответствии с упомянутыми выше Требованиями № 179.

Итак, оформление факта уничтожения ПДн зависит от способа их обработки:

1. если обработка ПДн осуществлялась в ручном режиме, т. е. без использования средств автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т. д.), то факт их уничтожения подтверждается лишь актом об уничтожении ПДн;
2. в случае, когда обработка ПДн осуществляется с использованием средств автоматизации, факт их уничтожения подтверждается выгрузкой из журнала регистрации событий в информационной системе персональных данных, а в акт об уничтожении ПДн включаются сведения, не указанные в выгрузке;
3. если оператор осуществляет смешанную обработку ПДн (как в ручном режиме, так и с использованием средств автоматизации), то факт их уничтожения подтверждается выгрузкой из журнала регистрации событий в информационной системе ПДн и актом об уничтожении материальных носителей, содержащих ПДн и сведений, не указанных в выгрузке.

Информация, которая должна содержаться в акте об уничтожении и выгрузке из журнала регистрации событий в информационной системе персональных данных, указана в пунктах 3 и 5 Требований № 179. При этом сведения, которые технически не могут быть реализованы в выгрузке из журнала, могут быть отражены в акте об уничтожении персональных данных (п. 6 Требований № 179).

Не забывайте, что акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных (п. 8 Требований № 179).

Нарушение порядка уничтожения ПДн может грозить компании штрафными санкциями. Специалисты департамента кадрового консалтинга АКГ «Базис» ведут активную деятельность в сфере работы с персональными данными и готовы предоставить вам пошаговый алгоритм по порядку работы с ПДн или консультацию.