🚩 Внимание! Просим Вас обращать внимание на дату выхода публикации, в связи с изменениями в законодательстве представленный материал может утратить актуальность частично или полностью в более поздние даты.
В соответствии с частью 7 статьи 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
Данные требования установлены Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
С 1 марта 2023г. согласно установленным требованиям, у Оператора появились две новые обязанности:
1. Фиксировать уничтожение персональных данных.
В случае если ОБРАБОТКА персональных данных осуществляется оператором БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ, подтверждающим документом является АКТ об уничтожении персональных данных.
🟢 Напомним! раньше оператор должен был только уничтожать персональные данные, но требований к содержанию акта Роскомнадзор не предъявлял.
В случае если ОБРАБОТКА персональных данных осуществляется оператором С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ, подтверждающими документами являются АКТ И ВЫГРУЗКА ИЗ ЖУРНАЛА регистрации событий в информационной системе персональных данных.
🟢 Напомним! МИС организации является средством автоматизации.
Акт в электронной форме признается электронным документом, равнозначным акту на бумажном носителе.
✅ Акт об уничтожении персональных данных должен содержать:
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
✅ Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
2. Хранить акты и выгрузки в течение трех лет с момента уничтожения персональных данных.
Медицинским организациям целесообразно будет внести изменения в соответствующие локальные акты (Положение об обработке персональных данных) и переутвердить их. Например, указать, в каких случаях составляют только акт об уничтожении, а в каких выгрузку из журнала.
🟢 Скачать «Акт об уничтожении персональных данных»
🟢 Скачать «Выгрузка из журнала регистрации событий в информационной системе персональных данных»
🟢 Ознакомиться с Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
В соответствии с частью 7 статьи 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
Данные требования установлены Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
С 1 марта 2023г. согласно установленным требованиям, у Оператора появились две новые обязанности:
1. Фиксировать уничтожение персональных данных.
В случае если ОБРАБОТКА персональных данных осуществляется оператором БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ, подтверждающим документом является АКТ об уничтожении персональных данных.
🟢 Напомним! раньше оператор должен был только уничтожать персональные данные, но требований к содержанию акта Роскомнадзор не предъявлял.
В случае если ОБРАБОТКА персональных данных осуществляется оператором С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ, подтверждающими документами являются АКТ И ВЫГРУЗКА ИЗ ЖУРНАЛА регистрации событий в информационной системе персональных данных.
🟢 Напомним! МИС организации является средством автоматизации.
Акт в электронной форме признается электронным документом, равнозначным акту на бумажном носителе.
✅ Акт об уничтожении персональных данных должен содержать:
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
✅ Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
2. Хранить акты и выгрузки в течение трех лет с момента уничтожения персональных данных.
Медицинским организациям целесообразно будет внести изменения в соответствующие локальные акты (Положение об обработке персональных данных) и переутвердить их. Например, указать, в каких случаях составляют только акт об уничтожении, а в каких выгрузку из журнала.
🟢 Скачать «Акт об уничтожении персональных данных»
🟢 Скачать «Выгрузка из журнала регистрации событий в информационной системе персональных данных»
🟢 Ознакомиться с Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»