Уничтожение персональных данных. Изменения с 01.03.2023 г
С 1 марта 2023 года вступают требования Роскомнадзора, согласно приказу от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», к акту об уничтожении персональных данных.
Уничтожение персональных данных это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ).
Алгоритм уничтожение данных в компании, по общему правилу следующий:
Издается приказ об уничтожении данных, с указанием цели и срока. Утверждается состав экспертной комиссии.
Экспертная комиссия составляет опись документов (носителей) которые надо уничтожить, и подписывает у руководителя.
Происходит сам процесс уничтожения, который описывается в приказе на уничтожение и в политике об обработке и защите персональных данных. Бумажные носители можно измельчать на шредере, или сжигать, и т.д. Электронные носители могут быть затерты, отформатированы, и т.д. или механически уничтожены.
Составляется акт об уничтожении персональных данных. Акт может быть в бумажной или электронной форме и должен храниться 3 года. Если происходит уничтожение данных из электронных носителей, то необходимо к акту сделать выгрузку из журнала событий.
Акт об уничтожении персональных данных должен содержать:
наименование и адрес оператора;
наименование лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка была поручена такому лицу);
фамилию, имя, отчество субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
фамилию, имя, отчество, должность лиц, уничтоживших персональные данные субъекта, а также их подпись;
перечень категорий, уничтоженных персональных данных субъекта персональных данных;
наименование уничтоженного материального носителя, содержащего персональные данные субъекта персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
способ уничтожения персональных данных;
причину уничтожения персональных данных;
дату уничтожения персональных данных субъекта персональных данных.
Выгрузка из журнала должна содержать:
фамилию, имя, отчество субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
перечень категорий, уничтоженных персональных данных субъекта персональных данных;
наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных;
причину уничтожения персональных данных;
дату уничтожения персональных данных субъекта персональных данных.
Изменения законодательства вызывают необходимость внести коррективы в такие локальные акты как: Политика по персональным данным, Политика об обработке и защиты персональных данных.
Согласно ФЗ от 27.07.2006 г. № 152-ФЗ причиной уничтожение персональных данных является:
достижение целей, ради которых данные были собраны и обработаны;
требования владельца данных уничтожить их;
владелец данных отзывает согласие на обработку данных;
неправомерная обработка данных.
Невыполнение компанией требований об уничтожении данных согласно части 5 статьи 13.11 КоАП РФ влечет предупреждение или административный штраф:
на должностные лица от 4 тыс. руб. до 10 тыс. руб.;
на индивидуальных предпринимателей от 10 тыс. руб. до 20 тыс. руб.;
на юридические лица от 25 тыс. руб. до 45 тыс. руб.
Материал подготовила: Наталья Николаевна Бабаева
Комментарии 0