Регламент и акт уничтожения персональных данных

Федеральный закон № 152-ФЗ «О персональных данных» устанавливает несколько оснований, при наступлении которых оператор обязан уничтожить персональные данные. Невыполнение этой обязанности влечёт административную ответственность.

Основание 1. Достижение цели обработки (ч. 4 ст. 21)

Оператор обязан прекратить обработку и уничтожить персональные данные, когда цель их обработки достигнута. Например: трудовой договор расторгнут, услуга оказана, заказ выполнен. С этого момента начинается отсчёт срока уничтожения — не более 30 дней, если иное не предусмотрено договором или законом.

Важно учитывать, что ряд законов обязывает хранить данные после достижения цели: бухгалтерские документы — 5 лет (ст. 29 закона 402-ФЗ), документы по кадровому учёту — 50 или 75 лет (ст. 22.1 закона 125-ФЗ). В этих случаях уничтожение производится после истечения срока хранения, установленного специальным законом.

Основание 2. Требование субъекта (ч. 1 ст. 21)

Субъект персональных данных вправе потребовать от оператора уничтожения своих ПДн, если:

• данные являются незаконно полученными;
• данные не являются необходимыми для заявленной цели обработки;
• оператор не обеспечивает их актуальность.

С момента получения такого требования оператор обязан уничтожить данные в срок не более 7 рабочих дней и уведомить субъекта о проведённом уничтожении.

Основание 3. Истечение срока согласия

Если обработка ПДн осуществлялась на основании согласия субъекта и срок такого согласия истёк (либо субъект отозвал согласие), оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если только обработка не может быть продолжена на ином правовом основании (например, на основании закона или договора).

Основание 4. Выявление неправомерной обработки (ч. 3 ст. 21)

Если оператор самостоятельно выявил факт неправомерной обработки ПДн или такой факт установлен по результатам проверки Роскомнадзора, данные подлежат уничтожению в срок не более 10 рабочих дней с момента выявления.

Основание 5. Ликвидация оператора

При ликвидации юридического лица или прекращении деятельности ИП все персональные данные подлежат уничтожению, за исключением тех, которые должны быть переданы в архив в соответствии с законодательством.

Процедура уничтожения зависит от формы хранения данных — электронной или бумажной. В обоих случаях уничтожение должно быть безвозвратным: восстановление данных после уничтожения не допускается.

Уничтожение электронных данных

Для данных в информационных системах применяются следующие методы:

• Программное удаление — удаление записей из базы данных с последующей перезаписью освободившегося дискового пространства. Простое удаление файла (перемещение в корзину) не является уничтожением, так как данные можно восстановить.
• Перезапись данных — многократная перезапись области диска случайными данными (метод Гутмана, стандарт DoD 5220.22-M). Гарантирует невозможность восстановления с помощью программных и аппаратных средств.
• Форматирование носителя — низкоуровневое форматирование жёсткого диска или SSD с последующей верификацией. Применяется при выводе носителя из эксплуатации.
• Физическое уничтожение носителя — размагничивание (degaussing), измельчение, сжигание. Используется для носителей, содержащих данные высокой степени конфиденциальности.
• Криптографическое уничтожение — уничтожение ключей шифрования, если данные были зашифрованы. Без ключа зашифрованные данные невозможно прочитать.

Уничтожение бумажных документов

Для бумажных носителей применяются:

• Шредирование — измельчение документов с помощью шредера. Рекомендуется уровень измельчения не ниже P-4 по стандарту DIN 66399 (фрагменты не более 2 × 15 мм).
• Сжигание — полное сжигание документов с составлением акта. Применяется для больших объёмов или особо конфиденциальных документов.
• Химическое растворение — обработка бумаги химическими реагентами, растворяющими целлюлозу. Используется редко.

Сроки уничтожения

При невозможности уничтожения в установленный срок оператор обязан заблокировать данные (прекратить любые операции, кроме хранения) и обеспечить уничтожение в течение 6 месяцев.

Регламент (порядок) уничтожения — внутренний нормативный документ организации, определяющий процедуру, ответственных лиц и сроки уничтожения ПДн. Ниже — типовая структура документа.

Регламент утверждается приказом руководителя организации. Рекомендуется ознакомить с документом под подпись всех сотрудников, имеющих доступ к ПДн.

Акт уничтожения — документ, подтверждающий факт уничтожения персональных данных. Составляется по результатам каждой процедуры уничтожения и подписывается всеми членами комиссии. Акт является основным доказательством соблюдения требований закона при проверке Роскомнадзора.

Обязательные реквизиты акта

Акт уничтожения персональных данных должен содержать следующие сведения:

• Дата и номер акта — регистрационный номер в соответствии с внутренней нумерацией.
• Состав комиссии — ФИО, должности всех членов комиссии, участвовавших в уничтожении.
• Основание уничтожения — конкретная норма закона или обстоятельство (достижение цели, требование субъекта, отзыв согласия).
• Перечень уничтоженных данных — категории ПДн, субъекты (без указания конкретных данных), объём (количество записей, документов).
• Способ уничтожения — описание применённого метода: программное удаление с перезаписью, шредирование, физическое уничтожение носителя.
• Наименование ИСПДн — информационная система, из которой удалены данные (для электронных данных).
• Подписи членов комиссии — собственноручные подписи каждого члена комиссии с расшифровкой.

Типовая форма акта

Акты уничтожения хранятся в течение 3 лет с момента уничтожения данных (рекомендация Роскомнадзора). Некоторые организации хранят акты 5 лет для соответствия общему сроку исковой давности.

Комиссия по уничтожению ПДн — коллегиальный орган, ответственный за проведение и документирование процедуры уничтожения. Создание комиссии не является строго обязательным требованием 152-ФЗ, однако настоятельно рекомендуется Роскомнадзором и является общепринятой практикой.

Кто входит в состав комиссии

Рекомендуемый состав комиссии — не менее 3 человек:

• Председатель — руководитель организации или его заместитель. Организует работу комиссии, подписывает акты.
• Ответственный за организацию обработки ПДн — лицо, назначенное приказом в соответствии со ст. 22.1 152-ФЗ. Определяет, какие данные подлежат уничтожению.
• Специалист ИТ-подразделения — непосредственно выполняет техническое уничтожение электронных данных, обеспечивает невозможность восстановления.
• Юрист (при наличии) — проверяет правовую обоснованность уничтожения, отсутствие законодательных требований к дальнейшему хранению.
• Сотрудник кадровой службы — при уничтожении ПДн работников и соискателей.

В небольших организациях допускается совмещение ролей, но в комиссии должно быть не менее 3 человек для обеспечения коллегиальности решений.

Приказ о создании комиссии

Комиссия создаётся приказом руководителя организации. Приказ содержит:

• основание создания комиссии (ссылка на 152-ФЗ и внутренний регламент);
• поимённый состав с указанием должностей;
• полномочия комиссии;
• периодичность работы (ежеквартально, по мере необходимости).

Порядок работы комиссии

Типичный порядок работы комиссии:

1. Ответственный за обработку ПДн формирует перечень данных, подлежащих уничтожению, с указанием оснований.
2. Юрист (или председатель) проверяет отсутствие иных правовых оснований для хранения данных.
3. Комиссия утверждает перечень и назначает дату уничтожения.
4. ИТ-специалист выполняет техническое уничтожение электронных данных.
5. Бумажные документы уничтожаются в присутствии не менее двух членов комиссии.
6. Составляется и подписывается акт уничтожения.
7. Акт регистрируется и передаётся на хранение ответственному лицу.

Кибероснова Документы формирует полный пакет документов для комиссии по уничтожению: регламент, приказ, шаблон акта — с учётом специфики вашей организации.