Роскомнадзор утвердил Требования к подтверждению уничтожения персональных данных
1 марта 2023 года вступает в силу Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».
В требованиях содержится инструкция о том, как с 1 марта 2023 года подтверждать уничтожение (действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных) личной информации о гражданах.
Набор и содержание документов, которые оператор должен будет сформировать, зависят от того, использует ли он при обработке средства автоматизации.
В случае если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Акт об уничтожении должен содержать следующие обязательные элементы:
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Выгрузка из журнала регистрации событий в информационной системе персональных данных должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В этом случае цифровой акт, который надлежит заверить электронной подписью, будет считаться равнозначным бумажному с собственноручной подписью.
Акт и выгрузку надлежит хранить три года с момента уничтожения личных сведений.
В настоящее время операторы самостоятельно определяют, как документально фиксировать уничтожение персональной информации.