Роскомнадзор объяснил, как уничтожать персональные данные

О чем речь. Персональные данные — это любая информация, по которой человека можно хотя бы косвенно идентифицировать: имя и фамилия, номер телефона, e-mail, паспортные данные, дата рождения, адрес, cookie-файлы и другая.

Если бизнес получает такие данные о сотрудниках, клиентах, контрагентах, то он становится оператором персональных данных. Закон обязывает операторов персональных данных правильно получать, хранить и уничтожать сведения.

Раньше не было обязательного порядка, как уничтожать данные. Операторы персональных данных поступали по своему усмотрению.

Набор и содержание документов об уничтожении зависят от того, использовал ли оператор при обработке данных средства автоматизации — программы, сервисы — или делал все вручную, например в Excel или на бумаге.

Если оператор собирал данные без сервисов, он составляет только акт об уничтожении персональных данных.

Если оператор собирал данные с помощью сервисов, надо составить:

• акт об уничтожении персональных данных;
• выгрузку из журнала регистрации событий в информационной системе персональных данных.

Если оператор собирал данные одновременно с помощью сервисов и вручную:

• акт об уничтожении с обязательными элементами для него;
• выгрузку из журнала регистрации событий в информсистеме персональных данных. В документ можно не включать обязательные элементы для выгрузки.

Акт можно сделать в электронном виде и заверить электронной подписью.

В пункте 3 требований Роскомнадзора перечислили, что писать в акте. А в пункте 5 — что должно быть в выгрузке.

Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные требованиями, недостающие сведения вносят в акт об уничтожении.

Акт и выгрузку придется хранить 3 года с момента уничтожения личных сведений. Отчитываться об уничтожении данных не надо.

Что это значит для бизнеса. С 1 марта 2023 года уничтожать персональные данные надо с учетом требований Роскомнадзора.