Уничтожение персональных данных — один из видов их обработки оператором (к которым относятся и работодатели). Это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персданных (п. 8 ст. 3 закона от 27.07.2006 № 152-ФЗ).
ВАЖНО! Разъяснения из «КонсультантПлюс»
Оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение):
при представлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ);
при выявлении неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность, - в течение 10 рабочих дней с даты выявления неправомерной обработки персональных данных (ч. 3 ст. 21 Закона N 152-ФЗ);
при достижении цели обработки персональных данных - в течение 30 дней с даты достижения цели обработки персональных данных (ч. 4 ст. 21 Закона N 152-ФЗ);
при отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных, - в течение 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона N 152-ФЗ).
Однако…
Далее об уничтожении персданных читайте в «КонсультантПлюс» бесплатно, оформив пробный доступ.
С 01.03.2023 Роскомнадзор ввел требования к подтверждению уничтожения персональных данных (приказ от 28.10.2022 № 179, см. также информацию РКН от 19.01.2023):
- если оператор обрабатывает персданые вручную, уничтожение подтверждается актом, содержание которого должно соответствовать требованиям из п. 3 приказа № 179;
- если автоматизировано, акт должен быть подписан электронной подписью, а помимо акта должна иметься выгрузка из журнала регистрации событий в информационной системе персональных данных (требования к ней приведены в п. 5 приказа № 179). Если в выгрузке из журнала невозможно указать какие-то сведения, их можно отразить в акте.
Хранить акт и выгрузку нужно в течение 3 лет с момента уничтожения персональных данных.
Уничтожение персданных осуществляется комиссией (либо иным должностным лицом), созданной (уполномоченным) на основании приказа оператора.
Скачать форму акта об уничтожении персональных данных можно бесплатно, кликнув по картинке ниже:
Акт об уничтожении (о прекращении обработки) персональных данных
Ранее порядок документального оформления факта уничтожения персональных данных законодательно установлен не был, поэтому оператор определял его сам.
ВАЖНО! «КонсультантПлюс» предупреждает
За невыполнение обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, вас могут привлечь к административной ответственности. Например…
Про штрафы за персданые читайте в Готовом решении. Пробный доступ бесплатный.
Проведите ревизию документации по персданным и убедитесь, что все необходимые бумаги у вас в наличии, — с помощью нашей публикации.
С 01.03.2023 действуют и другие изменения по персональным данным. Их разобрали эксперты «КонсультантПлюс» в своем обзоре. Читайте бесплато по демо-доступу.