Какие документы подтверждают уничтожение ПДн?

Подтверждением уничтожения персональных данных служат внутренние организационно-распорядительные документы. Они нужны, чтобы доказать, что оператор исполнил требования ФЗ-152 о прекращении обработки данных после достижения целей или по требованию субъекта.

Ключевые документы, подтверждающие уничтожение ПДн:

1. Акт об уничтожении ПДн — основной документ. В нём фиксируются:
   • дата и способ уничтожения (шредирование, сжигание, уничтожение носителей, удаление из базы и т.д.);
   • перечень уничтоженных данных или носителей;
   • лица, проводившие процедуру;
   • отметка о невозможности восстановления данных.
2. Журнал учёта уничтожения ПДн (может быть отдельным или в составе общего журнала обработки) — фиксирует все факты уничтожения с указанием основания.
3. Приказ руководителя — о создании комиссии по уничтожению или назначении ответственного за процедуру.
4. Справки/акты подрядчиков — если уничтожение носителей выполняет специализированная организация (например, утилизация жёстких дисков, архивных документов).

Обоснование по законодательству

• Ст. 5 ч. 7 ФЗ-152 — ПДн подлежат уничтожению или обезличиванию при достижении целей обработки или в случае утраты необходимости.
• Ст. 21 ФЗ-152 — субъект имеет право требовать удаления его данных, а оператор обязан исполнить это требование.
• Приказ ФСТЭК № 21 от 18.02.2013 — требует фиксировать действия по обработке ПДн организационно-распорядительными документами.

Практика проверок Роскомнадзора

• В организациях, где уничтожение не оформляется актами, РКН признаёт это нарушением — невозможно доказать факт удаления данных.
• Пример: в банке ПДн клиентов после истечения срока хранения уничтожались, но актов не составляли. Проверка РКН выдала предписание о ведении журналов и актов.
• В другой компании все факты уничтожения фиксировались актами с подписями членов комиссии. РКН признал такую практику корректной и отметил, что она снижает риск претензий со стороны субъектов.

Важные моменты

• Акт составляется как минимум в двух экземплярах: один хранится у оператора, второй может передаваться в архив или прилагаться к журналу.
• Если уничтожение данных связано с отзывом согласия субъекта, акт можно приложить к его обращению как доказательство.
• Для электронных данных рекомендуется дополнительно оформлять технический отчёт (например, скриншоты процесса без возможности восстановления).

Рекомендации и выводы

Да, уничтожение ПДн обязательно должно подтверждаться документально. Для этого нужно:

1. Составлять акты об уничтожении с подписью ответственных лиц.
2. Вести журнал учёта уничтожений.
3. Издавать приказы о создании комиссии или назначении ответственных.
4. Получать акты подрядчиков, если уничтожение выполняет сторонняя компания.

Компания ICTech поможет вашей организации разработать все необходимые формы актов, журналов и приказов по уничтожению ПДн, чтобы они соответствовали ФЗ-152 и требованиям Роскомнадзора. Это позволит избежать претензий при проверках и защитить бизнес.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге