Федеральный закон от 14 июля 2022 года №266-ФЗ дополнил статью 21 «Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных» федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» частью 7 следующего содержания:
7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
Приказом Роскомнадзора от 28 октября 2022 года №179 утверждены «Требования к подтверждению уничтожения персональных данных». Приказ вступает в силу с 1 марта 2023 года и действует до 1 марта 2029 года.
В случае если обработка персональных данных (далее ПДн) осуществляется оператором:
- Без использования средств автоматизации - документом, подтверждающим уничтожение, является акт об уничтожении персональных данных (п.1);
- С использованием средств автоматизации - документами, подтверждающими уничтожение, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн (п.2).
Акт об уничтожении персональных данных должен содержать (п.3):
- Наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
- Наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку ПДн по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
- Фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи ПДн были уничтожены;
- Фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших ПДн, а также их (его) подпись;
- Перечень категорий уничтоженных ПДн;
- Наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) ПДн, с указанием количества листов в отношении каждого материального носителя (в случае обработки без использования средств автоматизации);
- Наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены данные (в случае обработки с использованием средств автоматизации);
- Способ уничтожения;
- Причину уничтожения;
- Дату уничтожения.
Акт об уничтожении ПДн в электронной форме признается электронным документом, равнозначным акту об уничтожении ПДн на бумажном носителе, подписанному собственноручной подписью лиц, указанных (п.4).
Выгрузка из журнала регистрации событий в информационной системе должна содержать (п.5):
- Фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи данные были уничтожены;
- Перечень категорий уничтоженных ПДн;
- Наименование информационной системы ПДн, из которой они были уничтожены;
- Причину уничтожения;
- Дату уничтожения.
В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 5 настоящих Требований, недостающие сведения вносятся в акт об уничтожении персональных данных (п.6).
В случае если обработка ПДн осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение являются:
- Акт об уничтожении ПДн, и
- выгрузка из журнала.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных (п.8).
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=432556
Комментариев нет:
Отправить комментарий