Как правильно уничтожать персональные данные?

С недавних пор простое уничтожение документов с персональными данными стало недостаточным. Законодательство ввело обязательную процедуру документального оформления процесса уничтожения. Давайте разберем все нюансы этого процесса.

Правила и сроки уничтожения персональных данных

Уничтожение персональных данных представляет собой особую форму их обработки, в ходе которой обеспечивается полная невозможность восстановления информации: как в информационных системах, так и на материальных носителях.

Операторы (организации и ИП, работающие с персональными данными) обязаны уничтожить данные в следующих случаях:
- При обнаружении незаконности получения данных или их несоответствия заявленным целям обработки
- В случае выявления неправомерной обработки, которую нельзя легализовать
- После выполнения целей обработки данных
- При отзыве согласия субъектом, если данные больше не нужны для обработки
- По требованию субъекта о прекращении обработки его данных

Основные сроки уничтожения:
- Стандартный срок - 30 дней (при достижении целей обработки или отзыве согласия)
- В особых случаях могут применяться сокращенные сроки

Особые условия определения сроков:
- Возможность установления иных сроков в договоре между оператором и субъектом
- При отсутствии согласия субъекта на обработку
- В случаях, предусмотренных другими федеральными законами

Важно: если оператор не может уничтожить данные в установленные сроки, он обязан:
- Блокировать доступ к данным
- Уничтожить их в течение 6 месяцев

При передаче данных третьим лицам необходимо:
- Включать в договор условие об уничтожении после окончания обработки
- Прописывать обязательства по уничтожению в соглашении о конфиденциальности

Таким образом, организация должна:
- Своевременно выявлять основания для уничтожения данных
- Соблюдать установленные сроки
- Документально фиксировать процесс уничтожения
- Контролировать выполнение требований при работе с контрагентами

Сроки уничтожения ПДн

Срок уничтожения ПДн	Случаи уничтожения ПДн
30 дней или иной срок установленный договором или федеральным законом с учетом конкретных обстоятельств	С даты достижения целей С даты поступления от субъекта отзыва согласия на обработку его ПДн если их сохранение больше не требуется для целей обработки ПДн
10 рабочих дней (может быть продление на 5 рабочих дней)	С даты обращения субъекта с требованием прекратить обработку его ПДн
10 рабочих дней	С даты выявления неправомерной обработки ПДн, если невозможно обеспечить ее правомерность
7 рабочих дней	Со дня представления субъектом ПДн (или его представителем), сведений, что ПДн субъекта получены незаконно или не являются необходимыми для заявленной цели обработки

Как подтвердить уничтожение персональных данных

С 1 марта 2023 года вступил в силу обновленный порядок подтверждения уничтожения персональных данных, утвержденный Роскомнадзором. Теперь процедура зависит от способа обработки информации:

Для ручной обработки (без использования техники):
- Достаточно составить акт об уничтожении ПДн

Для автоматизированной обработки:
- Требуется выгрузка из журнала регистрации событий
- Акт об уничтожении дополняет выгрузку недостающими сведениями

При смешанной обработке:
- Необходима выгрузка из журнала
- Акт об уничтожении материальных носителей
- Включение в акт сведений, отсутствующих в выгрузке

Важные требования к документации:
- Акт и выгрузка должны содержать полную информацию согласно установленным требованиям
- Технические ограничения позволяют переносить данные из выгрузки в акт

Все подтверждающие документы хранятся 3 года

Помните, что несоблюдение процедуры уничтожения персональных данных может привести к серьезным последствиям для организации. Регулярно проводите проверки соблюдения требований и своевременно обновляйте необходимую документацию.

Оставить заявку на юридический аутсорсинг

Доверьте юридическое сопровождение вашего бизнеса профессионалам

Оставляя заявку, вы подтверждаете, что ознакомлены с Политикой обработки персональных данных и даете свое Согласие на обработку ваших персональных данных