НОВЫЕ ТРЕБОВАНИЯ ПО УНИЧТОЖЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ


С 01.03.2023 вводятся требования к подтверждению уничтожения персональных данных (приказ Роскомнадзора от 28.10.2022 № 179 прошел необходимые утверждения).

Заключаются новые правила в следующем:
если оператор обрабатывает персональные данные вручную, уничтожение подтверждается актом, содержание которого должно соответствовать требованиям из пункта 3 приказа № 179; если обработка данных осуществляется автоматизировано, акт должен быть подписан электронной подписью, а помимо акта должна иметься выгрузка из журнала регистрации событий в информационной системе персональных данных (требования к ней приведены в пункте 5 приказа № 179).
Хранить акты и выгрузку нужно в течение 3 лет с момента уничтожения персональных данных.

Напомним, что обязанность уничтожить персональные данные субъекта (субъектов) возникает у оператора, если:
Субъект персональных данных (или его представитель) предоставил сведения, подтверждающие, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Уничтожить такие данные оператор обязан в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ); Выявлена неправомерная обработка персональных данных и невозможно обеспечить ее правомерность. На уничтожение персданных отводится 10 рабочих дней с даты выявления неправомерной обработки (ч. 3 ст. 21 Закона N 152-ФЗ); Достигнуты все цели обработки персональных данных (ради которых данные собирали). Уничтожить не требующиеся более данные нужно в течение 30 дней с даты достижения целей обработки (ч. 4 ст. 21 Закона N 152-ФЗ); Субъект персональных данных отозвал согласие на обработку его данных и их сохранение более не требуется для целей обработки персональных данных. Срок на уничтожение данных в таком случае по общему правилу - в течение 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона N 152-ФЗ). При этом возможно изменение сроков по основаниям, предусмотренным в законе № 152-ФЗ. Например, если срок предусмотрен договором (иным соглашением), стороной которого является субъект ПД.

Если у оператора нет возможности уничтожить персональные данные в течение срока, указанного в ч. 3 - 5.1 ст. 21 Закона N 152-ФЗ, оператору нужно их заблокировать и все равно обеспечить уничтожение в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона N 152-ФЗ).
5 декабря 2022 12:00 48