Уважаемые коллеги!

Как хранить персональные данные?

Бумажные персональные данные хранят в сейфе, несгораемом шкафу или специально оборудованном помещении. Электронные - с использованием логина и пароля. Доступ к электронным данным предоставляется отдельным лицам, которые непосредственно работают с данными документами, перечень таких лиц утверждается работодателем предварительно. Порядок и требования к месту хранения, положение об уничтожении закрепляют во внутреннем акте компании.

Причины уничтожения персональных данных прописаны в ст. 21 266-ФЗ. Это можно сделать в следующих случаях:

• окончание срока хранения;
• потребность в обработке закончена;
• неправомерность сбора и обработки;
• отзыв сотрудника разрешения об обработке.

Сам Закон о персональных данных процедуру уничтожения не регламентирует. В пункте 8 статьи 3 ФЗ № 152 приведено лишь определение уничтожения персональных данных:

это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Ранее Роскомнадзор сообщал, что порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Не так давно в Минюсте России зарегистрировали приказ Роскомнадзора об утверждении требований к подтверждению уничтожения персональных данных. Документ будет действовать в период с 1 марта 2023 года до 1 марта 2029 года.

Подтверждающим уничтожение документом будет являться акт об уничтожении. При обработке данных с использованием средств автоматизации также должна будет использоваться выгрузка из журнала регистрации событий. Установлены требования к форме Акта и выгрузки из журнала регистрации событий.

Акт должен содержать:

• наименование юридического лица или ФИО физического лица и адрес оператора;
• наименование юридического лица или ФИО физического лица, адрес лица, осуществляющего обработку персональных данных по поручению оператора (если обработка была поручена такому лицу;
• ФИО субъекта или иную информацию, относящуюся к физическому лицу, чьи персональные данные были уничтожены;
• ФИО и должность лиц, уничтоживших персональные данные субъекта, а также их подпись;
• перечень категорий уничтоженных персональных данных субъекта;
• наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (в случае обработки персональных данных с использованием средств автоматизации);
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных

Выгрузка из журнала должна содержать:

• ФИО субъекта или иную информацию, относящуюся к физическому лицу, чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

Если выгрузка из журнала не позволяет указать отдельные сведения, то эти данные следует внести в акт об уничтожении персональных данных.

Акт об уничтожении персональных данных и выгрузка из журнала регистрации событий подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

С наилучшими пожеланиями,

АНО ДПО "Энергобезопасность"