понедельник, 12 декабря 2022 г.

Требования к подтверждению уничтожения персональных данных

Федеральный закон от 14 июля 2022 года №266-ФЗ дополнил статью 21 «Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных» федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» частью 7 следующего содержания:

7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

Приказом Роскомнадзора от 28 октября 2022 года №179 утверждены «Требования к подтверждению уничтожения персональных данных». Приказ вступает в силу с 1 марта 2023 года и действует до 1 марта 2029 года.

В случае если обработка персональных данных (далее ПДн) осуществляется оператором:

  • Без использования средств автоматизации - документом, подтверждающим уничтожение, является акт об уничтожении персональных данных (п.1);

  • С использованием средств автоматизации - документами, подтверждающими уничтожение, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн (п.2).

Акт об уничтожении персональных данных должен содержать (п.3):

  • Наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

  • Наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку ПДн по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);

  • Фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи ПДн были уничтожены;

  • Фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших ПДн, а также их (его) подпись;

  • Перечень категорий уничтоженных ПДн;

  • Наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) ПДн, с указанием количества листов в отношении каждого материального носителя (в случае обработки без использования средств автоматизации);

  • Наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены данные (в случае обработки с использованием средств автоматизации);

  • Способ уничтожения;

  • Причину уничтожения;

  • Дату уничтожения.

Акт об уничтожении ПДн в электронной форме признается электронным документом, равнозначным акту об уничтожении ПДн на бумажном носителе, подписанному собственноручной подписью лиц, указанных (п.4).

Выгрузка из журнала регистрации событий в информационной системе должна содержать (п.5):

  • Фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи данные были уничтожены;

  • Перечень категорий уничтоженных ПДн;

  • Наименование информационной системы ПДн, из которой они были уничтожены;

  • Причину уничтожения;

  • Дату уничтожения.

В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 5 настоящих Требований, недостающие сведения вносятся в акт об уничтожении персональных данных (п.6).

В случае если обработка ПДн осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение являются:

  • Акт об уничтожении ПДн, и

  • выгрузка из журнала.

Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных (п.8).
 
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=432556  

Комментариев нет:

Отправить комментарий