Вход
Энциклопедия решений. Подтверждение уничтожения персональных данных (май 2025)
Подтверждение уничтожения персональных данных
Согласно п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Отметим, что Закон N 152-ФЗ не регламентирует процедуру уничтожения информации, содержащей персональные данные. Оператор определяет ее самостоятельно.
Однако на оператора возлагается обязанность документально подтвердить факт уничтожения персональных данных в случаях, предусмотренных ч. 1, 3, 4 - 5.1 ст. 21 Закона N 152-ФЗ (ч. 7 ст. 21 Закона N 152-ФЗ).
Требования к подтверждению уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 N 179, которые вступают в силу 1 марта 2023 г. (далее - Требования).
Подтверждение уничтожения персональных данных зависит от способа их обработки.
1) Если обработка персональных данных осуществлялась оператором в ручном режиме, то для подтверждения их уничтожения достаточно акта об уничтожении персональных данных.
2) В случае когда обработка персональных данных осуществляется оператором с использованием средств автоматизации, то документами, подтверждающими уничтожение персональных данных являются:
- акт об уничтожении персональных данных;
- выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
3) Если оператор осуществляет смешанную обработку персональных данных (как в ручном режиме, так и с использованием средств автоматизации), то подтверждением уничтожения персональных данных также будут:
- акт об уничтожении персональных данных;
- выгрузка из журнала.
Акт об уничтожении персональных данных должен содержать (п. 3 Требований):
- наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
- наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
- фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
- фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
- перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
- наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
- наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
- способ уничтожения персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Выгрузка из журнала должна содержать (п. 5 Требований):
- фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
- перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Подчеркнем, что сведения, которые технически не могут быть реализованы в выгрузке из журнала, могут быть отражены в акте об уничтожении персональных данных (п. 6 Требований).
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных (п. 8 Требований).
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
"Энциклопедия решений. Персональные данные" - это совокупность уникальных актуализируемых аналитических материалов по наиболее популярным темам в сфере обработки персональных данных
Каждый материал блока подкреплен ссылками на нормативные правовые акты, учитывает сложившуюся судебную практику и актуализируется по мере изменения законодательства
См. информацию об обновлениях Энциклопедии решений
См. содержание Энциклопедии решений. Персональные данные
При подготовке информационного блока "Энциклопедия решений. Персональные данные" использованы авторские материалы, предоставленные Л. Амировой, И. Разумовой
См. информацию об авторах