Уничтожение персональных данных. Изменения с 01.03.2023 г

С 1 марта 2023 года вступают требования Роскомнадзора, согласно приказу от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», к акту об уничтожении персональных данных.

Уничтожение персональных данных это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ).

Алгоритм уничтожение данных в компании, по общему правилу следующий:

1. Издается приказ об уничтожении данных, с указанием цели и срока. Утверждается состав экспертной комиссии.

2. Экспертная комиссия составляет опись документов (носителей) которые надо уничтожить, и подписывает у руководителя.

3. Происходит сам процесс уничтожения, который описывается в приказе на уничтожение и в политике об обработке и защите персональных данных. Бумажные носители можно измельчать на шредере, или сжигать, и т.д. Электронные носители могут быть затерты, отформатированы, и т.д. или механически уничтожены.

4. Составляется акт об уничтожении персональных данных. Акт может быть в бумажной или электронной форме и должен храниться 3 года. Если происходит уничтожение данных из электронных носителей, то необходимо к акту сделать выгрузку из журнала событий.

Акт об уничтожении персональных данных должен содержать:

• наименование и адрес оператора;

• наименование лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка была поручена такому лицу);

• фамилию, имя, отчество субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;

• фамилию, имя, отчество, должность лиц, уничтоживших персональные данные субъекта, а также их подпись;

• перечень категорий, уничтоженных персональных данных субъекта персональных данных;