Документ

Информация Роскомнадзора от 19.01.2023

Комментарий

Оператор персональных данных обязан уничтожить обрабатываемые им данные в следующих случаях:

• незаконное получение персональных данных или отсутствие необходимости в этих данных (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ);
• неправомерная обработка персональных данных (ч. 3 ст. 21 Закона № 152-ФЗ);
• достижение цели обработки персональных данных (ч. 4 ст. 21 Закона № 152-ФЗ);
• отзыв субъектом персональных данных согласия на их обработку (ч. 5 ст. 21 Закона № 152-ФЗ).

Факт их уничтожения должен быть документально подтвержден. Требования к документальному оформлению  утверждены приказом Роскомнадзора от 28.10.2022 № 179 (см. подробнее). Требования будут действовать с 1 марта 2023 года по 1 марта 2029 года. Ведомство пояснило, что оформление  документов об уничтожении персональных данных зависит от того, как именно они обрабатываются.

Если для обработки используются какие-либо средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т. д.) или проводится смешанная обработка, то документами, подтверждающими уничтожение персональных данных, являются:

• акт об уничтожении персональных данных,
• выгрузка из журнала регистрации событий в информационной системе персональных данных.

Если в выгрузке из журнала невозможно указать какие-то сведения, их можно отразить в акте об уничтожении. В таком случае для подтверждения необходимы оба документа. Когда при обработке персональных данных не применяются средства автоматизации, подтверждением будет только акт об уничтожении персональных данных.