| Уничтожение персональных данных - это действия, после которых нельзя восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожают материальные носители персональных данных (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ). Оператор уничтожает персональные данные, когда достигает целей их обработки или больше не нуждается в достижении этих целей, если иное не предусматривает федеральный закон (ч. 7 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ). Например, оператор обязан уничтожить персональные данные в сроки, которые предусматривают ст. 20 и 21 Федерального закона от 27.07.2006 N 152-ФЗ, если: - Субъект персональных данных или его представитель представили сведения о том, что персональные данные получены незаконно или не нужны для заявленной цели обработки (ч. 3 ст. 20 Федерального закона от 27.07.2006 N 152-ФЗ). - Выявлено, что оператор или обработчик неправомерно обрабатывают персональные данные, а обеспечить правомерность их обработки невозможно (ч. 3 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ). - Оператор достиг цели обработки персональных данных, а иное не предусмотрено одним из документов (ч. 4 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ): • договором, по которому субъект является стороной, выгодоприобретателем или поручителем; • соглашением с субъектом; • законом, который позволяет осуществлять обработку персональных данных без согласия субъекта. - Субъект отозвал согласие на обработку своих персональных данных и их сохранение не нужно для целей их обработки, если иное не предусмотрено договором, по которому субъект является стороной, выгодоприобретателем или поручителем, либо законом, который позволяет осуществлять обработку персональных данных без согласия субъекта (ч. 5 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ). Порядок уничтожения персональных данных оператор определяет самостоятельно с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ. Для этого он вправе сформировать специальную комиссию или назначить ответственное лицо. Чтобы документально подтвердить, что персональные данные были уничтожены, оператор руководствуется Требованиями, утв. Приказом Роскомнадзора от 28.10.2022 N 179. Если оператор обрабатывает персональные данные без использования средств автоматизации, ему нужно составить акт об уничтожении персональных данных. Если он использует средства автоматизации или обрабатывает персональные данные смешанным способом, то помимо акта потребуется выгрузка из журнала регистрации событий в информационной системе персональных данных (п. 1, 7 Требований, утв. Приказом Роскомнадзора от 28.10.2022 N 179). Обязательные требования к содержанию акта и выгрузки из журнала содержатся в п. 3 и 5 Требований, утв. Приказом Роскомнадзора от 28.10.2022 N 179. Если по какой-то причине в выгрузке невозможно указать обязательные сведения, их необходимо внести в акт. Акт можно составить в электронной или бумажной форме. Его необходимо хранить в течение трех лет с момента уничтожения персональных данных. Ниже предлагаем пример такого акта. |
Акт N ____
об уничтожении персональных данных
| Примечания: 1. Если оператор обрабатывает персональные данные без использования средств автоматизации - компьютера, интернета, флеш-накопителей и т. д., - вместо наименования информационной системы в акте нужно указать наименование уничтоженных материальных носителей с персональными данными субъекта. При этом необходимо указать количество листов в отношении каждого материального носителя (пп. "е" п. 3 Требований, утв. Приказом Роскомнадзора от 28.10.2022 N 179). 2. Уничтожить персональные данные можно любым способом. Главное, чтобы персональные данные невозможно было восстановить. Например, материальный носитель с персональными данными в бумажной форме можно сжечь. |
Персональные данные уничтожил(-а):