Как оформить факт уничтожения персональных данных?

Оператор персональных данных обязан уничтожить обрабатываемые им данные в случаях, перечисленных в законе. К таким случаям относятся:

• незаконное получение персональных данных или отсутствие необходимости в этих данных (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ);
• неправомерная обработка персональных данных (ч. 3 ст. 21 Закона № 152-ФЗ);
• достижение цели обработки персональных данных (ч. 4 ст. 21 Закона № 152-ФЗ);
• отзыв субъектом персональных данных согласия на их обработку (ч. 5 ст. 21 Закона № 152-ФЗ).

Роскомнадзор утвердил Требования к документальному оформлению факта уничтожения персональных данных (далее – Требования). Они будут действовать с 1 марта 2023 по 1 марта 2029 года.

Из Требований следует, что если обработка персональных данных проводилась без использования средств автоматизации (вручную), то для подтверждения факта уничтожения персональных данных оформляется соответствующий акт.

Если же обработка персональных данных проводилась с использованием средств автоматизации, например, при помощи компьютеров, то наряду с актом об уничтожении персональных данных потребуется сделать выгрузку из журнала регистрации событий в информационной системе оператора персональных данных (далее – Выгрузка из журнала).

Поскольку форма акта об уничтожении персональных данных не утверждена, его можно составить в произвольной форме. При этом в акте об уничтожении персональных данных должны содержаться следующие сведения:

• наименование организации или Ф. И. О. (при наличии) физического лица – оператора персональных данных;
• адрес оператора персональных данных;
• наименование организации или Ф. И. О. (при наличии) физического лица, которые обрабатывали персональные данные по поручению оператора (при наличии такого поручения);
• Ф. И. О. (при наличии) субъектов персональных данных или иная информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены;
• Ф. И. О. (при наличии) и должность лиц, уничтоживших персональные данные и их подписи;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженных материальных носителей с персональными данными с указанием количества листов в отношении каждого такого носителя (если персданные обрабатывались без использования средств автоматизации, то есть на бумаге);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные (если персональные данные обрабатывались с использованием средств автоматизации);
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

Акт об уничтожении персональных данных может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью. Поскольку в приказе Роскомнадзора не уточняется, какая именно электронная подпись должна применяться, полагаем, что акт следует подписывать усиленной квалифицированной электронной подписью, если локальными нормативными актами оператора персональных данных не предусмотрено, что он может быть подписан усиленной неквалифицированной электронной подписью.

Выгрузка из журнала должна содержать следующие данные:

• Ф. И. О. (при наличии) субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы персональных данных, из которой они были уничтожены;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

При невозможности указать в выгрузке из журнала какие-либо сведения, их следует отразить в акте об уничтожении персональных данных.

Если оператор обрабатывает персональные данные, используя и не используя средства автоматизации, при их уничтожении следует оформлять акт об уничтожении и выгрузку из журнала.

Хранить все документы об уничтожении персональных данных следует не менее трех лет с момента уничтожения. Как именно исчислять этот срок, в документе не уточняется. Рекомендуем хранить документы с небольшим запасом по времени.

Поскольку ранее требований к фиксации факта уничтожения персональных данных закон не устанавливал, операторы персональных данных самостоятельно определяли порядок фиксации факта их уничтожения. К 1 марта 2203 года следует привести установленный порядок в соответствие с требованиями, закрепленным приказом Роскомнадзора от 28.10.2022 № 179.