Оператор персональных данных обязан уничтожить обрабатываемые им данные в следующих случаях:

• незаконное получение персональных данных или отсутствие необходимости в этих данных (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ);
• неправомерная обработка персональных данных (ч. 3 ст. 21 Закона № 152-ФЗ);
достижение цели обработки персональных данных (ч. 4 ст. 21 Закона № 152-ФЗ); 
отзыв субъектом персональных данных согласия на их обработку (ч. 5 ст. 21 Закона № 152-ФЗ). 

Из Требований следует, если для обработки используются какие-либо средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т. д.) или проводится смешанная обработка, то документами, подтверждающими уничтожение персональных данных, являются:

• акт об уничтожении персональных данных, 
• выгрузка из журнала регистрации событий в информационной системе персональных данных.

1. ФИО (при наличии) субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
2. перечень категорий уничтоженных персональных данных;
3. наименование информационной системы персональных данных, из которой они были уничтожены; 
4. причину уничтожения персональных данных; 
5. дату уничтожения персональных данных.

• наименование организации или ФИО физического лица – оператора персональных данных;
• адрес оператора персональных данных;
• наименование организации или ФИО физического лица, которые обрабатывали персональные данные по поручению оператора (при наличии такого поручения);
• ФИО (при наличии) субъектов персональных данных или иная информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены;
• ФИО (при наличии) и должность лиц, уничтоживших персональные данные и их подписи;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженных материальных носителей с персональными данными с указанием количества листов в отношении каждого такого носителя (если персональные данные обрабатывались вручную);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные (если персональные данные обрабатывались с использованием средств автоматизации);
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

В приказе Роскомнадзора не уточняется, какая именно электронная подпись должна применяться, поэтому полагаем, что акт следует подписывать усиленной квалифицированной электронной подписью, если локальными нормативными актами оператора персональных данных не предусмотрено, что он может быть подписан усиленной неквалифицированной электронной подписью.

Все документы об уничтожении персональных данных должны храниться не менее трех лет с момента уничтожения, как именно исчислять срок, не уточняется. Рекомендуем хранить документы с небольшим запасом по времени.

Ранее требований к фиксации факта уничтожения персональных данных закон не устанавливал, операторы персональных данных самостоятельно определяли порядок фиксации факта их уничтожения. 

К 1 марта 2023 года следует привести установленный порядок в соответствие с требованиями, закрепленным приказом Роскомнадзора от 28.10.2022 № 179.

Удаление персональных данных и работа с ними всегда будут защищены, например в программе 1С:ЗУП создана специальная настройка защиты персональных данных сотрудников.  

Выполнить настройку в программе 1С:ЗУП можно в разделе «Администрирование», пункт навигации «Настройки пользователей и прав», пункт «Защита персональных данных» (Рис.1).

Статья была полезной?

Еще больше новостей в нашем Telegram-канале t.me/dialog_it - анонс вебинаров, бизнес-новости, лайфхаки по 1С    

Для того, чтобы купить, установить, настроить сервисы и программные продукты 1С, а также по всем вопросам позвоните нам по номеру +7 (812) 704-80-93 или напишите it@dialogit.ru