Роскомнадзор разработал требования к уничтожению персональных данных. Проект приказа опубликован на Федеральном портале проектов нормативных правовых актов.
Оператор персональных данных обязан уничтожить персданные в случаях, указанных в законе. Это случаи:
- – незаконного получения персональных данных или отсутствия необходимости этих данных для заявленной цели их обработки (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ);
- – неправомерной обработки персональных данных (ч. 3 ст. 21 Закона № 152-ФЗ);
- – достижения цели обработки персональных данных (ч. 4 ст. 21 Закона № 152-ФЗ);
- – отзыва субъектом персональных данных согласия на их обработку (ч. 5 ст. 21 Закона № 152-ФЗ).
Порядок документального оформления факта уничтожения персональных данных на сегодняшний день не установлен нормативным актом. Документ, разработанный Роскомнадзором, необходим, чтобы восполнить этот пробел.
В частности, из него следует, что документом, подтверждающим факт уничтожения персональных данных, является акт об уничтожении персональных данных, который должен содержать:
- – наименование или Ф. И. О. (при наличии) и адрес оператора;
- – наименование или Ф. И. О. (при наличии), адрес лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка поручена такому лицу);
- – Ф. И. О. (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
- – Ф. И. О. (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
- – перечень уничтоженных персональных данных;
- – наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
- – наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
- – способ уничтожения персональных данных;
- – причину уничтожения персональных данных;
- – дату уничтожения персональных данных.
Акт может быть оформлен как на бумажном носителе, так и в форме электронного документа.
Если персональные данные обрабатывались с использованием средств автоматизации, документом, подтверждающим их уничтожение, является акт уничтожения и (или) выгрузка из журнала регистрации событий в информационной системе персональных данных (лог-файл). Такой файл должен содержать:
- – ФИО (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
- – перечень уничтоженных персональных данных;
- – наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
- – причину уничтожения персональных данных;
- – дату уничтожения персональных данных.
Источник: Информационная система 1С:ИТС