Нужно ли фиксировать факт передачи на уничтожение внешней компании

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, факт передачи бумажных носителей или иных материальных носителей с персональными данными на уничтожение внешней организации (например, специализированной утилизационной компании) обязательно должен фиксироваться документально. Это связано с тем, что в момент передачи оператор продолжает нести ответственность за безопасность данных до момента их полного уничтожения.

Обоснование по законодательству

• ФЗ-152, ст. 19 — оператор обязан принимать необходимые меры по обеспечению безопасности ПДн, в том числе при передаче третьим лицам.
• ФЗ-152, ст. 6, ч. 3 — обработка ПДн может поручаться другому лицу только на основании договора, который устанавливает обязательства исполнителя.
• Приказ ФСТЭК № 21 от 18.02.2013 — предусматривает необходимость документирования всех действий с носителями, включая передачу на уничтожение.
• ГОСТ Р 51141-98 — требует составления актов при уничтожении и передаче документов.

Какие документы нужны для фиксации передачи на уничтожение

1. Договор с утилизационной компанией
   — должен содержать пункт об обязанности подрядчика уничтожить документы в соответствии с требованиями ФЗ-152 и об ответственности за нарушение.
2. Акт передачи на уничтожение
   — составляется между организацией и подрядчиком;
   — фиксирует количество и наименование переданных носителей, дату передачи, реквизиты сторон, подписи.
3. Акт об уничтожении (от подрядчика)
   — подтверждает, что носители уничтожены;
   — указывается способ уничтожения (шредирование, термическая обработка и т.д.).
4. Журнал учёта уничтожения ПДн
   — фиксирует факт передачи и последующего уничтожения.

Практика проверок Роскомнадзора
В практике Роскомнадзора встречались ситуации, когда компании передавали архивы с ПДн на утилизацию, но акты передачи и уничтожения отсутствовали. В результате оператору вменялось нарушение ст. 19 ФЗ-152, так как он не смог доказать факт уничтожения. В другой проверке наличие договора, акта передачи и акта об уничтожении полностью подтвердило законность действий организации.

Рекомендации и выводы

Да, факт передачи ПДн на уничтожение внешней компании обязательно фиксируется. Чтобы исключить претензии:

• заключите договор с подрядчиком с прописанными требованиями по ФЗ-152;
• оформляйте акт передачи на уничтожение;
• получайте от подрядчика акт об уничтожении;
• ведите журнал учёта уничтожения.

Компания ICTech поможет вашей организации разработать полный комплект документов для передачи и уничтожения ПДн через подрядчиков, включая шаблоны договоров и актов, чтобы ваша деятельность соответствовала ФЗ-152 и требованиям Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге