Удаление резервных копий персональных данных — это важная часть управления их жизненным циклом. Такие действия должны быть документально подтверждены, чтобы организация могла доказать Роскомнадзору, что данные хранятся не дольше установленных сроков и уничтожаются корректно.
Обоснование по законодательству
- ФЗ-152, ст. 5, ч. 7 — хранение ПДн допускается не дольше, чем этого требуют цели обработки. По достижении целей данные подлежат уничтожению или обезличиванию.
- ФЗ-152, ст. 19 — оператор обязан принимать организационные меры, включая фиксацию операций с ПДн.
- Приказ ФСТЭК России № 21 от 18.02.2013 — предусматривает документирование мероприятий по защите ПДн, включая управление копиями и их уничтожение.
Какие документы оформляются
- Регламент по работе с резервными копиями — должен содержать раздел о порядке уничтожения копий и сроках их хранения.
- Журнал учёта резервных копий — фиксирует дату создания, срок хранения и факт удаления копии.
- Акт уничтожения резервных копий — составляется комиссией. В документе указываются:
- наименование и идентификатор копии;
- дата и способ уничтожения (удаление с сервера, физическое уничтожение носителя и т.п.);
- ФИО ответственных лиц;
- подписи членов комиссии.
- Протокол технических действий (при использовании ИТ-систем) — фиксирует факт удаления копии из системы или хранилища.
Практика проверок Роскомнадзора
Инспекторы обращают внимание на то, что резервные копии не должны храниться «вечно». Если организация не может показать документы об их уничтожении, это трактуется как нарушение требований ФЗ-152. В одной проверке РКН выявил у оператора десятилетние резервные копии без актов об уничтожении, и в предписании обязал наладить процесс с журналами и актами.
Что важно учитывать компаниям
- Уничтожение должно быть необратимым (простое удаление файлов без затирания не всегда признаётся достаточным).
- Комиссионный акт с подписями — более надёжное доказательство, чем отметка в журнале.
- Для электронных систем рекомендуется вести автоматические логи удаления.
Рекомендации и выводы
Удаление резервных копий ПДн должно подтверждаться сразу несколькими документами: регламентом, журналом и актами об уничтожении. Это докажет, что компания реально контролирует срок хранения данных и соблюдает ФЗ-152. Компания ICTech может подготовить для вашей организации шаблоны актов и журналов для учёта и уничтожения резервных копий.
