Чем подтвердить факт удаления персональных данных?

Проект приказа опубликован на Федеральном портале проектов нормативных правовых актов.

Уничтожение персональных данных означает уничтожение документов, в которых эти данные хранятся. Бумажные документы могут быть сожжены, измельчены на шредере и т.п. Электронные - удалены, затерты и т.п.

Как правило, персональные данные хранятся с момента их получения до момента, когда утрачена цель их обработки. После этого в течение 30-ти дней персональные данные должны быть уничтожены (ч. 4,5 ст. 21 Закона № 152-ФЗ). Кроме того, сами работники, в первую очередь уволенные, могут потребовать прекратить хранение их персональных данных.

В каких случаях персональные данные нужно уничтожить:

• их обработали неправомерно (ч. 3 ст. 21 закона No 152-ФЗ);
• достигнуты цели, ради которых компания собирала и обрабатывала данные (ч. 4 ст. 21 закона № 152-ФЗ);
• владелец данных требует уничтожить их (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ);
• владелец данных отзывает согласие на обработку данных (ч. 5 ст. 21 закона № 152-ФЗ).

Самым распространенным документом фиксации факта уничтожения персональных данных является акт о прекращении обработки персональных данных либо запись об этом факте в специальном журнале.  Делает это специально созданная комиссия по уничтожению персональных данных.

Процедура уничтожения персданных состоит из трех этапов:

• издание приказа и создание комиссии;
• уничтожение персональных данных;
• составление акта об уничтожении ПД.

Акт уничтожения персональных данных

Это самый важный документ, в котором фиксируется сам факт уничтожения персональных данных. Роскомнадзор разработал приказ, которым устанавливаются требования к акту.

Акт об уничтожении персональных данных должен содержать:

•  наименование или Ф. И. О. (при наличии) и адрес оператора;
• наименование или Ф. И. О. (при наличии), адрес лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка поручена такому лицу);
• Ф. И. О. (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
• Ф. И. О. (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
• перечень уничтоженных персональных данных;
• наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

Акт может быть оформлен:

• на бумаге,
• в электронном формате.

Если персональные данные обрабатывались в собственной электронной системе или БД, нужно составить акт уничтожения и выгрузку данных из журнала регистрации событий в информационной системе персональных данных.

Файл должен содержать:

• ФИО (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лиц;
• перечень уничтоженных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

Бухгалтерия.ру