Без инструкции невозможно подтвердить, что уничтожение проводится правильно, в срок и в соответствии с требованиями закона. Роскомнадзор в ходе проверок уделяет этому особое внимание, так как несвоевременное или неправильное уничтожение ПДн может привести к утечкам.
Что должно быть в инструкции по уничтожению ПДн
- Основания для уничтожения ПДн (окончание срока хранения, отзыв согласия субъекта, достижение целей обработки).
- Перечень способов уничтожения:
для бумажных носителей — шредирование, сжигание, химическая утилизация;
для электронных носителей — использование специализированного ПО, физическое уничтожение носителя.
- Порядок оформления акта об уничтожении ПДн.
- Перечень должностей сотрудников, ответственных за процедуру.
- Правила ведения журнала уничтожения ПДн.
- Порядок взаимодействия с подрядчиками (если уничтожение передаётся специализированной организации).
- Ответственность сотрудников за нарушение правил.
Обоснование по законодательству
- Ст. 5 ФЗ-152, ч. 7 — хранение ПДн должно осуществляться не дольше, чем этого требуют цели обработки, по достижении целей данные подлежат уничтожению.
- Ст. 19 ФЗ-152 — оператор обязан принимать меры по предотвращению несанкционированного доступа, включая меры по уничтожению данных.
- Приказ ФСТЭК России № 21 от 18.02.2013 — предусматривает документирование процедур уничтожения информации в ИСПДн.
- ГОСТ Р 57580.1-2017 — закрепляет обязанность фиксировать факты уничтожения данных и применять безопасные методы.
Практика проверок Роскомнадзора
Роскомнадзор часто проверяет, как компания уничтожает данные по истечении сроков хранения. В организациях, где были только устные инструкции или формальные отметки, фиксировались нарушения. Там, где был утверждённый порядок уничтожения, велись акты и журналы, проверка признавалась успешной. В ряде случаев регулятор обращал внимание на то, что данные в ИСПДн просто удалялись «на уровне пользователя», хотя оставались в резервных копиях — это считалось нарушением.
Что важно учитывать компаниям
- Инструкция должна быть утверждена приказом руководителя.
- В ней необходимо закрепить порядок уничтожения как для бумажных, так и для электронных носителей.
- Процесс уничтожения должен сопровождаться актами и журналами.
- Используемые методы уничтожения должны реально исключать возможность восстановления данных.
Рекомендации и выводы
Да, инструкция по уничтожению ПДн обязательна. Она позволяет организации:
- Подтвердить выполнение требований ФЗ-152.
- Минимизировать риски утечек.
- Успешно пройти проверку Роскомнадзора.
Компания ICTech поможет вашей организации разработать инструкцию по уничтожению ПДн, подготовить формы актов и журналов, а также включить эти документы в пакет по ФЗ-152, чтобы при проверке вы были полностью защищены.
