Алексей Ветров
Эксперт по защите данных IC-TECH
Уничтожение носителей информации (жёстких дисков, флеш-накопителей, серверных лент, CD/DVD и др.), содержащих персональные данные, должно быть документально зафиксировано. Это требование связано с обеспечением доказательств того, что ПДн действительно уничтожены и не могут быть восстановлены.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать необходимые меры для защиты ПДн, в том числе уничтожать их при достижении целей обработки.
- ГОСТ Р 57580.1-2017 и Приказ ФСТЭК № 21 — устанавливают требования к обеспечению безопасности информации и фиксации мероприятий по её защите.
- Методические рекомендации Роскомнадзора — оператор должен уметь подтвердить факт уничтожения ПДн документами.
Документы, которые оформляются
- Акт об уничтожении носителей
— составляется комиссией, фиксирует: вид носителя, его идентификатор (серийный номер, инвентарный номер), метод уничтожения (механическое разрушение, размагничивание, программная очистка), дату и подписи ответственных лиц. - Приказ о создании комиссии
— назначает сотрудников, ответственных за проведение процедуры уничтожения. - Журнал учёта уничтожения носителей
— в него вносятся сведения о каждом уничтоженном носителе, реквизиты акта и способ ликвидации. - Акт приёма-передачи (если уничтожение выполняет подрядчик)
— фиксирует передачу носителей сторонней организации. К нему прилагается документ от подрядчика, подтверждающий факт и способ уничтожения (сертификат/акт).
Практика проверок Роскомнадзора
Надзорный орган требует, чтобы у компании были именно документы, подтверждающие уничтожение носителей, а не только устные пояснения. В ряде случаев штрафы назначались за то, что жёсткие диски с ПДн утилизировались как обычный мусор, без актов и комиссии.
Что важно учитывать компаниям
- Если используется сторонняя фирма для утилизации, проверяйте её лицензию и прикладывайте копию к документам.
- Уничтожение должно быть без возможности восстановления информации. Форматирование без повторной перезаписи считается недостаточной мерой.
- Все акты и журналы должны храниться в архиве оператора как доказательство законности действий.
Вывод
Подтверждением уничтожения носителей информации с ПДн являются акты, журналы и приказы. Если процесс делегирован подрядчику, необходимы документы от него. Именно эти бумаги Роскомнадзор рассматривает как доказательство выполнения обязанности по защите ПДн.
IC-TECH поможет Вам разработать полный пакет документов для соблюдения ФЗ-152, включив в него документы для подтверждения уничтожения носителей информации.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
