Установлены требования к подтверждению факта уничтожения персональных данных

Общеобразовательное учреждение (как оператор персональных данных) обязано уничтожить обрабатываемые ею персональные данные (далее — ПД) в случаях:

1) незаконного получения персональных данных или отсутствия необходимости в этих данных (ч. 3 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);

2) неправомерной обработки персональных данных (ч. 3 ст. 21 ФЗ № 152);

3) отзыва субъектом персональных данных согласия на их обработку (ч. 5 ст. 21 ФЗ № 152);

4) достижения цели обработки персональных данных (ч. 4 ст. 21 ФЗ № 152).

Подтверждение уничтожения ПД должно осуществляться в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных. В настоящее время такие требования установлены приказом Роскомнадзора от 28.10.2022 № 179.

Требованиями установлено, что документами, подтверждающими уничтожение персональных данных, являются:

• Акт об уничтожении персональных данных, в случае их обработки без использования средств автоматизации* (п. 1 Требований);
• Акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных, в случае их обработки с использованием средств автоматизации (п. 2 Требований).

Требованиями также оговорено содержание этих документов и установлен срок их хранения (3 года).

В разделе обновлений для пользователей модуля «Школьная документация и юридическая поддержка» мы подготовили образцы документов, необходимых для осуществления процедуры удаления персональных данных:

• Приказ об уничтожении персональных данных, цели обработки которых достигнуты
• Приказ об уничтожении персональных данных, которые не являются необходимыми для заявленных целей обработки
• Приказ о создании комиссии по уничтожению персональных данных
• Порядок уничтожения персональных данных

*Обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства России от 15.09.2008 г. № 687).

Обработка персональных данных считается осуществленной без использования средств автоматизации, если такие действия, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека (п. 1 Положения).