Комментарии законодательства

Как оформить факт уничтожения персональных данных?

Дата публикации

Документ

Приказ Роскомнадзора от 28.10.2022 № 179

Комментарий

Оператор персональных данных обязан уничтожить обрабатываемые им данные в случаях, перечисленных в законе. К таким случаям относятся:

Роскомнадзор утвердил Требования к документальному оформлению факта уничтожения персональных данных (далее – Требования). Они будут действовать с 1 марта 2023 по 1 марта 2029 года.

Из Требований следует, что если обработка персональных данных проводилась без использования средств автоматизации (вручную), то для подтверждения факта уничтожения персональных данных оформляется соответствующий акт.

Если же обработка персональных данных проводилась с использованием средств автоматизации, например, при помощи компьютеров, то наряду с актом об уничтожении персональных данных потребуется сделать выгрузку из журнала регистрации событий в информационной системе оператора персональных данных (далее – Выгрузка из журнала).

Поскольку форма акта об уничтожении персональных данных не утверждена, его можно составить в произвольной форме. При этом в акте об уничтожении персональных данных должны содержаться следующие сведения:

Акт об уничтожении персональных данных может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью. Поскольку в приказе Роскомнадзора не уточняется, какая именно электронная подпись должна применяться, полагаем, что акт следует подписывать усиленной квалифицированной электронной подписью, если локальными нормативными актами оператора персональных данных не предусмотрено, что он может быть подписан усиленной неквалифицированной электронной подписью.

Выгрузка из журнала должна содержать следующие данные:

При невозможности указать в выгрузке из журнала какие-либо сведения, их следует отразить в акте об уничтожении персональных данных.

Если оператор обрабатывает персональные данные, используя и не используя средства автоматизации, при их уничтожении следует оформлять акт об уничтожении и выгрузку из журнала.

Хранить все документы об уничтожении персональных данных следует не менее трех лет с момента уничтожения. Как именно исчислять этот срок, в документе не уточняется. Рекомендуем хранить документы с небольшим запасом по времени.

Поскольку ранее требований к фиксации факта уничтожения персональных данных закон не устанавливал, операторы персональных данных самостоятельно определяли порядок фиксации факта их уничтожения. К 1 марта 2023 года следует привести установленный порядок в соответствие с требованиями, закрепленным приказом Роскомнадзора от 28.10.2022 № 179.