Уничтожение персональных данных. Изменения с 01.03.2023 г
С 1 марта 2023 года вступают требования Роскомнадзора, согласно приказу от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», к акту об уничтожении персональных данных.
Уничтожение персональных данных это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ).
Алгоритм уничтожение данных в компании, по общему правилу следующий:
Издается приказ об уничтожении данных, с указанием цели и срока. Утверждается состав экспертной комиссии.
Экспертная комиссия составляет опись документов (носителей) которые надо уничтожить, и подписывает у руководителя.
Происходит сам процесс уничтожения, который описывается в приказе на уничтожение и в политике об обработке и защите персональных данных. Бумажные носители можно измельчать на шредере, или сжигать, и т.д. Электронные носители могут быть затерты, отформатированы, и т.д. или механически уничтожены.
Составляется акт об уничтожении персональных данных. Акт может быть в бумажной или электронной форме и должен храниться 3 года. Если происходит уничтожение данных из электронных носителей, то необходимо к акту сделать выгрузку из журнала событий.
Акт об уничтожении персональных данных должен содержать:
наименование и адрес оператора;
наименование лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора (если обработка была поручена такому лицу);
фамилию, имя, отчество субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
фамилию, имя, отчество, должность лиц, уничтоживших персональные данные субъекта, а также их подпись;
перечень категорий, уничтоженных персональных данных субъекта персональных данных;