Инструкция: как составить акт об уничтожении персональных данных
Составьте акт об уничтожении персональных данных, если ликвидируете персданные в соответствии с законом. Расскажем, кто его создает, в каких случаях и как правильно это сделать.
В каком порядке уничтожаются персданных
Законодательство не регламентирует порядок уничтожения персональных данных (ПД), но обязывает компании разработать его самим (п. 2 ч. 1 ст. 18.1 Закона о персданных (далее — Закон)). На практике в организациях такой порядок утверждается не отдельным локальным документом, а является частью положения об обработке ПД.
В положении перечисляют случаи, когда требуется уничтожить документы: например, поданное работником заявление на уничтожение персональных данных или причины, указанные в законе (достигнута цель обработки данных, истек срок хранения документов, выявлена неправомерная обработка ПД и др.). В положении утверждаются способы ликвидации документов (измельчить, сжечь, уничтожить электронный носитель, привлечь стороннюю специализированную организацию для исполнения).
Порядок пошагово выглядит так:
Шаг 1. Издайте приказ с указанием сроков, когда уничтожаются ПД, причин ликвидации и списка ответственных лиц.
Шаг 2. Уничтожьте носители ПД.
Шаг 3. Составьте документы, подтверждающие факт ликвидации.
В большинстве случаев это акт об уничтожении персданных. Но если ПД велись в электронном виде, то необходима еще выгрузка из журнала регистрации событий в информационной системе ПД. Такие правила установил с 1 марта 2023 года Роскомнадзор в пункте 2 Приказа от 28.10.2022 № 179.
Подробнее: порядок уничтожения персональных данных
Кто составляет акт уничтожения персданных
В положении организации об обработке ПД утверждаются лица, ответственные за удаление сведений, они составляют форму акта об уничтожении персональных данных и подписывают ее. Чаще всего назначается комиссия из нескольких лиц, но сделать это может и один сотрудник (Информация Роскомнадзора от 11.08.2021). Если комиссия (или ответственное лицо) создается под каждый случай ликвидации ПД, то ее состав утверждается приказом директора организации.
Эксперты КонсультантПлюс разобрали, каков порядок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку. Используйте эти инструкции бесплатно.
Как правильно составить акт
Требования к документу п. 3 Приказа):
впервые утверждены в законодательстве в 2024 году уже упомянутым нами выше Приказом Роскомнадзора от 28.10.2022 № 179. В этом документе указываются следующие обязательные сведения (- наименование и адрес организации, где уничтожаются ПД;
- ФИО и должность лица, чьи персданные уничтожаются;
- ФИО и должность лиц, которые уничтожают ПД (состав комиссии или ответственное должностное лицо). Если ликвидация поручена сторонней организации, то указывается ее наименование и адрес;
- перечень уничтоженных персданных с указанием количества листов в отношении каждого документа (для бумажных носителей);
- наименование информационных систем ПД, из которых уничтожены ПД (для электронных носителей);
- дата, способ и причины, по которым уничтожаются персданные.
Государственное бюджетное образовательное учреждение дополнительного образования детей «Специализированная детско-юношеская спортивная школа олимпийского резерва “Аллюр”» Акт уничтожения персональных данных г. Москва 12.04.2024 Комиссия, созданная на основании приказа от 03.04.2024 в составе председателя Иванова И. И. (директор), членов Викторовой В. В. (главный бухгалтер) и Александровой А. А. (руководитель отдела кадров), составила настоящий акт о ликвидации следующих персональных данных сотрудников ГБОУ ДОД СДЮСШОР «АЛЛЮР», адрес: г. Москва, 3-й Бюджетный проезд, д. 1:
Директор Иванов И. И. Иванов Главный бухгалтер Викторова В. В. Викторова Руководитель отдела кадров Александрова А. А. Александрова |
Такой документ хранится три года (п. 8 приказа). Форма, составленная в электронном виде, подписанная электронной цифровой подписью, имеет такую же юридическую силу, как и бумажная (п. 4 приказа).
Как выглядит акт
Образец составлен на примере уничтожения персональных данных в связи с достижением цели обработки.
Может пригодиться: как составить отказ от предоставления персональных данных