Алексей Ветров
Эксперт по защите данных IC-TECH
Да, акт об уничтожении персональных данных оформлять необходимо.
Федеральный закон № 152-ФЗ прямо обязывает операторов обеспечивать уничтожение ПДн после достижения целей обработки или истечения сроков хранения (ст. 5 ч. 5, ст. 21). Но сам факт уничтожения должен быть подтверждён документально. Таким подтверждением и является акт об уничтожении ПДн.
Акт нужен, чтобы при проверке Роскомнадзора организация могла доказать, что она соблюдает порядок хранения и уничтожения персональных данных, а также для внутреннего контроля.
Федеральный закон № 152-ФЗ прямо обязывает операторов обеспечивать уничтожение ПДн после достижения целей обработки или истечения сроков хранения (ст. 5 ч. 5, ст. 21). Но сам факт уничтожения должен быть подтверждён документально. Таким подтверждением и является акт об уничтожении ПДн.
Акт нужен, чтобы при проверке Роскомнадзора организация могла доказать, что она соблюдает порядок хранения и уничтожения персональных данных, а также для внутреннего контроля.
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 5 ч. 5 — хранение ПДн осуществляется не дольше, чем того требуют цели их обработки. После достижения целей данные должны быть уничтожены.
- Ст. 21 ч. 1 — оператор обязан уничтожить ПДн при достижении целей обработки или при утрате необходимости в них.
- ГОСТ Р 51141-98 и архивные правила делопроизводства — предусматривают оформление актов об уничтожении документов, содержащих ПДн.
- Разъяснения Роскомнадзора: уничтожение персональных данных должно быть подтверждено соответствующими документами (актами, отчётами).
Типичные ошибки организаций
- Уничтожают данные (бумажные или электронные) без оформления акта и доказательств.
- Хранят акты об уничтожении отдельно от основной документации по ПДн, и при проверке не могут их оперативно предъявить.
- Не создают комиссию по уничтожению документов, что делает акт формальным и уязвимым при проверке.
Особенности применения на практике
- Для уничтожения бумажных носителей (анкеты, договоры, копии паспортов) создаётся комиссия, составляется акт с перечнем уничтоженных документов, датой, способом уничтожения и подписями членов комиссии.
- Для электронных данных (CRM, базы клиентов) фиксируется факт удаления с носителей, стирания или обезличивания, также оформляется акт.
- Срок хранения актов об уничтожении должен быть не меньше срока хранения основных документов по ПДн (обычно не менее 5 лет).
Рекомендации и выводы
- Да, акт об уничтожении ПДн оформлять обязательно — это единственный документ, подтверждающий факт законного уничтожения данных.
- Создавайте комиссию для уничтожения документов и фиксируйте процесс в акте (номер, дата, состав комиссии, перечень уничтоженных данных, способ уничтожения).
- Для электронных баз также оформляйте акт, где указываете факт удаления с носителей и невозможность восстановления.
- Храните акты об уничтожении вместе с локальной документацией по ПДн, чтобы при проверке они были доступны.
Если вы хотите, чтобы ваша организация была полностью готова к проверкам Роскомнадзора и имела правильно оформленные акты, регламенты и приказы по ПДн, специалисты ICTech подготовят для вас полный пакет документов по защите персональных данных. В него входят образцы актов об уничтожении, приказы о комиссиях и инструкции для сотрудников. Это позволит вам законно работать с данными и избежать штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
