Алексей Ветров
Эксперт по защите данных IC-TECH
Уничтожение персональных данных — один из ключевых этапов их обработки, и организация обязана подтверждать факт контроля этого процесса. Внутренний контроль утилизации ПДн фиксируется документально, чтобы при проверке можно было подтвердить, что данные уничтожены в срок и в соответствии с требованиями закона.
Обоснование по законодательству
- ФЗ-152, ст. 5, ч. 7 — хранение ПДн должно прекращаться после достижения целей обработки, данные подлежат уничтожению или обезличиванию.
- ФЗ-152, ст. 19 — оператор обязан обеспечивать безопасность ПДн, включая уничтожение.
- Приказы ФСТЭК и ФСБ по защите информации — закрепляют необходимость фиксации действий, связанных с обработкой и уничтожением ПДн.
Какие документы оформляются для контроля
- Приказ о назначении ответственных — закрепляет, кто контролирует процесс утилизации ПДн.
- Регламент уничтожения — описывает порядок и методы уничтожения (шредирование, сжигание, уничтожение носителей и пр.), а также порядок оформления документов.
- Журнал учёта уничтожения ПДн — фиксирует дату, вид уничтожаемых данных или носителей, ответственных лиц и способ утилизации.
- Акты об уничтожении ПДн — составляются комиссией и подтверждают, что конкретный массив данных или носители были уничтожены.
- Протоколы комиссии (при необходимости) — оформляются, если создаётся комиссия по утилизации.
Что фиксировать в документах
- описание уничтожаемых данных или носителей (например, «личные дела сотрудников за 2015–2017 годы»);
- основание для уничтожения (окончание срока хранения, отзыв согласия, завершение договора);
- метод уничтожения;
- дату и место утилизации;
- подписи ответственных лиц.
Практика и рекомендации надзорных органов
Роскомнадзор в проверках обращает внимание, есть ли у организации внутренние журналы и акты уничтожения. В случаях, когда компании просто удаляли файлы без фиксации, нарушения признавались существенными. Рекомендации РКН — всегда оформлять акты и вести журнал, даже при уничтожении небольших объёмов данных.
Вывод
Внутренний контроль утилизации ПДн должен быть подтверждён приказом, регламентом, журналом и актами уничтожения. Это не только демонстрирует соблюдение ФЗ-152, но и защищает организацию в случае проверки или инцидента.
Компания IC-TECH поможет Вам разработать полный комплект документов для соответствия ФЗ-152, включив в него документы для контроля утилизации ПДн.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
