Алексей Ветров
Эксперт по защите данных IC-TECH
Да, порядок уничтожения ПДн — обязательный внутренний документ, который должен быть у каждой организации-оператора. Это локальный акт, регламентирующий, как и в каких случаях компания уничтожает персональные данные. Его отсутствие трактуется Роскомнадзором как нарушение требований ФЗ-152.
Зачем нужен порядок уничтожения:
- фиксирует, в каких случаях данные подлежат уничтожению (достижение целей, отзыв согласия, истечение срока хранения и др.);
- устанавливает ответственных лиц и процедуру принятия решения;
- определяет методы уничтожения для бумажных и электронных носителей;
- подтверждает выполнение требований по невозможности восстановления данных.
Зачем нужен порядок уничтожения:
- фиксирует, в каких случаях данные подлежат уничтожению (достижение целей, отзыв согласия, истечение срока хранения и др.);
- устанавливает ответственных лиц и процедуру принятия решения;
- определяет методы уничтожения для бумажных и электронных носителей;
- подтверждает выполнение требований по невозможности восстановления данных.
Обоснование по законодательству
- Ст. 5 ч. 7 ФЗ-152 — обязывает уничтожать ПДн по достижении целей обработки или при утрате необходимости.
- Ст. 21 ФЗ-152 — оператор обязан уничтожить данные по требованию субъекта.
- Ст. 18.1 ФЗ-152 — требует принятия локальных актов, регламентирующих обработку ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013 — предусматривает разработку организационно-распорядительной документации, включая порядок уничтожения ПДн.
Практика проверок Роскомнадзора
- В организациях, где порядок уничтожения не оформлен, РКН фиксирует нарушение и выносит предписание.
- В одной компании ПДн удалялись из базы, но способ и порядок не были задокументированы. Проверка признала, что уничтожение невозможно подтвердить.
- В другой организации был утверждён отдельный порядок: определены сроки, способы и ответственные лица. Роскомнадзор отметил, что такой подход соответствует требованиям закона.
Важные моменты
- Документ должен описывать порядок уничтожения как бумажных, так и электронных данных.
- Методы должны гарантировать невозможность восстановления информации (шредирование, сжигание, полное удаление с носителей).
- В порядке нужно закрепить ведение актов и журналов учёта уничтожения.
- Документ утверждается приказом руководителя и обязателен для исполнения всеми сотрудниками.
Рекомендации и выводы
Да, порядок уничтожения ПДн обязателен. Чтобы соответствовать ФЗ-152 и требованиям Роскомнадзора:
- Разработайте внутренний документ, где пропишите случаи, способы и сроки уничтожения.
- Укажите ответственных лиц и порядок документального подтверждения (акты, журналы).
- Утвердите порядок приказом руководителя.
- Обучите сотрудников соблюдать этот порядок.
Компания ICTech подготовит для вашей организации порядок уничтожения ПДн, а также полный пакет документов по ФЗ-152. Это обеспечит прозрачность процессов и позволит пройти проверку Роскомнадзора без штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
