Роскомнадзор выпустил Приказ, подтверждающий факт уничтожения персональных данных физических лиц.
С 1 марта 2023 года операторы персональных данных (далее - ПДн) обязаны документально подтверждать факт уничтожения таких данных. Состав и порядок формирования документов зависит от того, использует ли оператор средства автоматизации при обработке данных.
Если оператор обрабатывает данные без использования средств автоматизации, то документом, подтверждающим удаление личной информации, является акт.
Если при обработке используются средства автоматизации, то помимо акта потребуется делать выгрузку из журнала регистрации событий в информационной системе ПДн (далее – выгрузка из журнала).
Акт об уничтожении ПДн должен содержать:
Оформлять документ можно как в бумажной, так и в электронной форме. При первом варианте заверение документа осуществляется личной подписью лица, уничтожившего ПДн, во втором – его усиленной квалифицированной электронной подписью.
Выгрузка из журнала должна содержать:
Если в выгрузке из журнала какую-то информацию указать невозможно, то ее следует отразить в акте об уничтожении ПДн.
Срок хранения акта и выгрузки из журнала – 3 года с момента уничтожения ПДн.
Напоминаем, что за нарушение требований законодательства в области персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. Размер наказания зависит от вида совершенного правонарушения. Более подробно о составе ответственности можно посмотреть в таблице ниже.
С 1 марта 2023 года операторы персональных данных (далее - ПДн) обязаны документально подтверждать факт уничтожения таких данных. Состав и порядок формирования документов зависит от того, использует ли оператор средства автоматизации при обработке данных.
Если оператор обрабатывает данные без использования средств автоматизации, то документом, подтверждающим удаление личной информации, является акт.
Если при обработке используются средства автоматизации, то помимо акта потребуется делать выгрузку из журнала регистрации событий в информационной системе ПДн (далее – выгрузка из журнала).
Акт об уничтожении ПДн должен содержать:
- наименование и адрес оператора ПДн (юрлица);
- ФИО субъектов ПДн или иная информация, относящаяся к определенным физическим лицам, чьи личные данные были уничтожены;
- ФИО и должность лиц, уничтоживших ПДн и их подписи;
- перечень категорий уничтоженных ПДн;
- наименование уничтоженных материальных носителей с персональными данными с указанием количества листов в отношении каждого такого носителя;
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
- способ уничтожения персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных.
Оформлять документ можно как в бумажной, так и в электронной форме. При первом варианте заверение документа осуществляется личной подписью лица, уничтожившего ПДн, во втором – его усиленной квалифицированной электронной подписью.
Выгрузка из журнала должна содержать:
- ФИО субъекта или иную информацию, относящуюся к определенному физлицу, чьи ПДн были уничтожены;
- перечень категорий уничтоженных ПДн субъекта ПДн;
- наименование информационной системы ПДн, из которой были уничтожены личные данных физлиц;
- причины уничтожения ПДн;
- дата уничтожения ПДн.
Если в выгрузке из журнала какую-то информацию указать невозможно, то ее следует отразить в акте об уничтожении ПДн.
Срок хранения акта и выгрузки из журнала – 3 года с момента уничтожения ПДн.
Напоминаем, что за нарушение требований законодательства в области персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. Размер наказания зависит от вида совершенного правонарушения. Более подробно о составе ответственности можно посмотреть в таблице ниже.
По вопросам соблюдения законодательства в области персональных данных обращайтесь к экспертам Acsour.