Комментарии законодательства

Как подтвердить факт уничтожения персональных данных?

Дата публикации

Документ

Проект приказа Роскомнадзора

Комментарий

Роскомнадзор разработал требования к уничтожению персональных данных. Проект приказа опубликован на Федеральном портале проектов нормативных правовых актов.

Напомним, что оператор персональных данных обязан уничтожить персданные в случаях, указанных в законе. Это случаи:

  • незаконного получения персональных данных или отсутствия необходимости этих данных для заявленной цели их обработки (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ);
  • неправомерной обработки персональных данных (ч. 3 ст. 21 Закона № 152-ФЗ);
  • достижения цели обработки персональных данных (ч. 4 ст. 21 Закона № 152-ФЗ);
  • отзыва субъектом персональных данных согласия на их обработку (ч. 5 ст. 21 Закона № 152-ФЗ).

Порядок документального оформления факта уничтожения персональных данных на сегодняшний день не установлен нормативным актом. Документ, разработанный Роскомнадзором, необходим, чтобы восполнить этот пробел.

В частности, из него следует, что документом, подтверждающим факт уничтожения персональных данных, является акт об уничтожении персональных данных, который должен содержать:

  • наименование или Ф. И. О. (при наличии) и адрес оператора;
  • наименование или Ф. И. О. (при наличии), адрес лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка поручена такому лицу);
  • Ф. И. О. (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
  • Ф. И. О. (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
  • перечень уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
  • способ уничтожения персональных данных;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.

Акт может быть оформлен как на бумажном носителе, так и в форме электронного документа.

Если персональные данные обрабатывались с использованием средств автоматизации, документом, подтверждающим их уничтожение, является акт уничтожения и (или) выгрузка из журнала регистрации событий в информационной системе персональных данных (лог-файл). Такой файл должен содержать:

  • ФИО (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
  • перечень уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.