Личную информацию следует удалять в случаях незаконного её получения, изменения целей первоначального сбора или по требованию владельца данных.
Уничтожение персональных данных — операции, результатом которых становится невозможность восстановления информации, включая уничтожение физических носителей, согласно пункту 8 статьи 3 Закона от 27 июля 2006 года № 152-ФЗ.
Вытребование персональной информации подразумевает уничтожение носителей, на которых эта информация сохранена.
Бумажные бумаги можно уничтожить с помощью шредера или поджига. Электронные документы удаляют без возможности восстановления или затирают.
По истечении срока необходимости компании в персональных данных работника информацию и ее носители уничтожают в течение тридцати дней (ч. 4,5 ст. 21 Закона № 152-ФЗ). Работники, в первую очередь уволенные, могут потребовать прекратить хранение их персональных данных.
В каких случаях организация должна уничтожать личные сведения?
- обработали данные неправомерно (ч. 3 ст. 21 закона № 152-ФЗ);
- Выполнили цели сбора и обработки данных, предусмотренные частью 4 статьи 21 закона № 152-ФЗ.
- Владелец информации требует её уничтожения в соответствии с пунктом 1 статьи 14 и пунктом 3 статьи 20 закона № 152-ФЗ.
- Владелец информации отозвал своё согласие на её обработку согласно пункту 5 статьи 21 закона № 152-ФЗ.
Процедура уничтожения персональных данных
Удаление личных сведений происходит по заданному плану. Три шага выполняются подряд:
- Вышел приказ о ликвидации личной информации и формировании комиссии.
- физическое уничтожение персональных данных;
- составление акта об уничтожении.
Компания должна определить порядок удаления персональных данных в своих внутренних документах. В них следует указать ситуации, когда это необходимо, а также применяемые методы уничтожения, например, использование бумаг-шреддеров.
В комиссию по уничтожению персональных данных входит сотрудник, отвечающий в компании за обработку персональных данных. Комиссии нужно составить список документов для уничтожения.
Для подтверждения удаления личной информации часто используют акт о завершении ее обработки и соответствующую запись в специальной книге учета.
Потребностей по подтверждению уничтожения персональных данных с 1 марта 2023 года.
Документы, которые могут быть как бумажными, так и электронными, обрабатываются вручную или автоматически, поэтому их хранение разное, а документы об уничтожении — особым образом.
Требования для подтверждения уничтожения личных данных определены. Приказом Роскомнадзора от 28.10.2022 № 179Вступит в силу с первого марта двадцать третьего года.
- При ручном обращении с данными требуется лишь составлять акт о ликвидации.
- При обработке данных информационной системой формируется акт об уничтожении и выполняется экспорт записи из регистра событий системы компании.
Не существует унифицированных образцов акта и журнала; их следует создать индивидуально.
В документе о ликвидации личной информации требуется отразить:
- когда было проведено уничтожение;
- кто несет ответственность за верность процедуры;
- количество и виды уничтоженных носителей;
- основание для уничтожения;
- способ уничтожения.
Способы уничтожения персональных данных
Способ удаления бумажных документов с личной информацией определяется типом носителя.
Документы следует уничтожить так, чтобы их невозможно было восстановить.
Электронные документы, хранящиеся в информационной системе или на машиночитаемых носителях, следует уничтожать путем затирания информации или физического повреждения носителя. При отсутствии физического уничтожения диска новую информацию необходимо записать на место удаленной, исключив возможность восстановления данных. Также можно отформатировать диск.