Роскомнадзор разработал требования к уничтожению персональных данных. Проект приказа опубликован на Федеральном портале проектов нормативных правовых актов.
Напомним, что оператор персональных данных обязан уничтожить персданные в случаях, указанных в законе. Это случаи:
незаконного получения персональных данных или отсутствия необходимости этих данных для заявленной цели их обработки (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ);
неправомерной обработки персональных данных (ч. 3 ст. 21 Закона № 152-ФЗ);
достижения цели обработки персональных данных (ч. 4 ст. 21 Закона № 152-ФЗ);
отзыва субъектом персональных данных согласия на их обработку (ч. 5 ст. 21 Закона № 152-ФЗ).
Порядок документального оформления факта уничтожения персональных данных на сегодняшний день не установлен нормативным актом. Документ, разработанный Роскомнадзором, необходим, чтобы восполнить этот пробел.
В частности, из него следует, что документом, подтверждающим факт уничтожения персональных данных, является акт об уничтожении персональных данных, который должен содержать:
наименование или Ф. И. О. (при наличии) и адрес оператора;
наименование или Ф. И. О. (при наличии), адрес лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка поручена такому лицу);
Ф. И. О. (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
Ф. И. О. (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
перечень уничтоженных персональных данных;
наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
способ уничтожения персональных данных;
причину уничтожения персональных данных;
дату уничтожения персональных данных.
Акт может быть оформлен как на бумажном носителе, так и в форме электронного документа.
Если персональные данные обрабатывались с использованием средств автоматизации, документом, подтверждающим их уничтожение, является акт уничтожения и (или) выгрузка из журнала регистрации событий в информационной системе персональных данных (лог-файл). Такой файл должен содержать:
ФИО (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
перечень уничтоженных персональных данных;
наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
причину уничтожения персональных данных;
дату уничтожения персональных данных.
Мы используем cookie-файлы для персонализации контента и удобства пользователей. Вы можете запретить их в настройках своего браузера.