Как подтвердить факт уничтожения ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Компании недостаточно просто удалить персональные данные — необходимо документально подтвердить факт их уничтожения. Это важно как для внутреннего контроля, так и для возможных проверок Роскомнадзора. Подтверждением служат специальные акты или отчёты, которые оформляются по установленной процедуре.

Обычно процесс включает:

- принятие решения об уничтожении (например, истёк срок хранения, субъект отозвал согласие, цели обработки достигнуты);
- проведение уничтожения (техническое или физическое — стирание файлов, шредирование документов, уничтожение носителей);
- составление акта об уничтожении ПДн с подписью ответственного лица и комиссии (если создаётся).

Такой акт фиксирует дату, способ уничтожения и перечень уничтоженных данных или документов.

Обоснование по законодательству

• Ст. 5, ч. 7 ФЗ-152 — данные должны быть уничтожены или обезличены после достижения целей обработки либо при утрате необходимости в их достижении.
• Ст. 21 ФЗ-152 — оператор обязан уничтожить данные при достижении целей, а также в случаях, если субъект отозвал согласие.
• Ст. 14 ФЗ-152 — субъект имеет право требовать удаления своих данных, а оператор обязан подтвердить выполнение.
• ГОСТ Р 57580.1-2017 и методические рекомендации ФСТЭК/ФСБ — содержат технические требования к безопасному уничтожению данных на носителях.

Практика и рекомендации Роскомнадзора

Роскомнадзор в своих письмах подчёркивает: сам факт уничтожения ПДн должен быть подтверждён документально. В одной из проверок организация заявила, что данные уничтожены, но никаких актов не представила. Это было признано нарушением, так как подтвердить факт уничтожения компания не смогла.

В другой ситуации организация вела учёт всех уничтоженных документов и хранила акты за последние годы. Такой подход признан надлежащим. РКН также рекомендует фиксировать не только дату, но и способ уничтожения (например, механическое уничтожение бумаги или использование сертифицированного ПО для безвозвратного удаления файлов).

Дополнительные акценты

Важно понимать, что простое удаление файла с компьютера или выброс бумаг в урну не считается уничтожением ПДн. Данные должны быть уничтожены так, чтобы их невозможно было восстановить. Для этого применяются шредеры, сжигание, специализированное ПО или физическое разрушение носителей.

Кроме того, при уничтожении ПДн, содержащихся в резервных копиях, нужно документально фиксировать факт удаления или истечения срока жизни этих копий. Это особенно актуально для компаний с серверными и облачными решениями.

Рекомендации и выводы

Чтобы законно подтвердить факт уничтожения ПДн, компании нужно:

1. Разработать и внедрить внутренний регламент уничтожения данных.
2. Назначить ответственных за организацию процесса.
3. Применять сертифицированные методы уничтожения (для бумаги и электронных носителей).
4. Составлять акты об уничтожении и хранить их определённое время.
5. Включить порядок уничтожения в комплект документов по 152-ФЗ, чтобы быть готовыми к проверке Роскомнадзора.

Компания ICTech поможет вашей организации разработать порядок уничтожения ПДн, подготовить формы актов и внедрить процедуры, соответствующие ФЗ-152 и рекомендациям регуляторов. Это защитит бизнес от претензий и обеспечит надёжное выполнение требований закона.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге