Чтобы подтвердить выполнение договоров с подрядчиками по утилизации персональных данных, организация должна собрать и хранить комплект документов, который фиксирует как факт передачи носителей, так и сам процесс уничтожения. Это позволяет оператору выполнить требования ФЗ-152 и в случае проверки Роскомнадзора доказать законность действий.
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3 — оператор обязан заключать договор с подрядчиком и контролировать его исполнение.
- ФЗ-152, ст. 19 — оператор должен принимать организационные меры для обеспечения безопасности ПДн, включая документирование всех действий.
- Приказ ФСТЭК № 21 от 18.02.2013 — обязывает фиксировать события обработки и уничтожения носителей.
- ГОСТ Р 51141-98 — закрепляет правила делопроизводства и необходимость составления актов при уничтожении документов.
Документы, подтверждающие выполнение договора
- Договор с подрядчиком
— с указанием предмета (уничтожение ПДн), сроков и способов утилизации. - Акт приёма-передачи носителей
— подтверждает факт передачи документов или носителей с ПДн на уничтожение. - Акт об уничтожении ПДн
— основной документ, подтверждающий выполненные работы;
— должен содержать способ уничтожения, количество носителей, дату и подписи сторон. - Отчёт подрядчика (если предусмотрен договором)
— может включать фото- или видеофиксацию уничтожения. - Внутренний журнал учёта уничтожения
— фиксирует даты, номера актов и участников процесса. - Сводный отчёт по договору (оформляется оператором)
— документ, где оператор отражает: перечень переданных документов, даты уничтожения, реквизиты актов и вывод о выполнении обязательств подрядчиком.
Практика проверок Роскомнадзора
В одной компании Роскомнадзор установил нарушение: имелся только договор, но не было актов уничтожения. Это признали недостаточным доказательством исполнения обязательств. В другой организации представили полный комплект — договор, акты передачи, акты уничтожения и сводный отчёт, что подтвердило корректное выполнение требований ФЗ-152.
Рекомендации и выводы
Для отчёта о выполнении договоров по утилизации ПДн организация должна иметь:
- договор с подрядчиком,
- акты передачи и акты уничтожения,
- внутренний журнал учёта,
- при необходимости — сводный отчёт.
Компания ICTech поможет вашей организации подготовить шаблон отчёта о выполнении договора по утилизации ПДн, а также полный комплект сопроводительных документов, чтобы исключить риски штрафов при проверках.
