Как вести журнал уничтожения ПДн?

Журнал уничтожения персональных данных нужен для фиксации фактов уничтожения документов и носителей, содержащих ПДн. Он подтверждает, что компания соблюдает сроки хранения и правильно исполняет требования субъектов и закона об удалении информации. Такой журнал обязателен для любой организации, которая ведёт документооборот с персональными данными.

Вести журнал можно в бумажной или электронной форме. Главное — чтобы он велся систематически и содержал все необходимые сведения.

Что должно быть в журнале
Рекомендуется включить следующие графы:

1. Номер записи.
2. Дата уничтожения.
3. Вид и реквизиты уничтожаемого документа/массива данных (например, «личное дело № 12», «резюме кандидата», «копия паспорта сотрудника»).
4. Основание для уничтожения (окончание срока хранения, отзыв согласия, предписание руководителя, акт проверки).
5. Способ уничтожения (шредирование, сжигание, удаление с сервера, уничтожение носителя).
6. Ответственный за уничтожение (ФИО, должность).
7. Подпись ответственного.
8. Сведения о составленном акте об уничтожении (номер и дата).

Обоснование по законодательству

• Ст. 5, ч. 7 ФЗ-152 — данные подлежат уничтожению или обезличиванию по достижении целей обработки либо при отзыве согласия.
• Ст. 19 ФЗ-152 — оператор обязан документировать меры по обеспечению безопасности ПДн.
• Методические рекомендации Роскомнадзора — рекомендуют фиксировать уничтожение ПДн актами и журналами.
• ГОСТ Р 57580.1-2017 — предусматривает необходимость документирования операций уничтожения данных.

Практика проверок Роскомнадзора
Инспекторы запрашивают журнал уничтожения ПДн как доказательство, что организация контролирует жизненный цикл данных. Там, где уничтожение фиксировалось только устно, Роскомнадзор указывал на нарушение. В организациях, где вели журналы и акты (например, акты о шредировании документов), проверка проходила без замечаний.

Что важно учитывать компаниям

• Журнал должен быть утверждён приказом и вестись ответственным за ПДн.
• Все записи должны подтверждаться актами об уничтожении.
• Электронная форма допустима, но должна исключать возможность удаления записей задним числом.
• При проверках Роскомнадзор может затребовать выборочные акты для сверки с записями в журнале.

Рекомендации и выводы
Да, вести журнал уничтожения ПДн необходимо. Это защитит организацию от претензий при проверках и подтвердит, что данные уничтожаются законно и своевременно. Чтобы действовать правильно:

1. Разработайте и утвердите форму журнала приказом.
2. Фиксируйте все случаи уничтожения документов и электронных массивов.
3. Обязательно составляйте акт об уничтожении и указывайте его реквизиты в журнале.
4. Назначьте ответственного за ведение журнала.

Компания ICTech подготовит для вашей организации готовую форму журнала уничтожения ПДн, образцы актов и встроит их в пакет документов по 152-ФЗ, чтобы ваша система защиты была полной.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге