Заключаются новые правила в следующем:
- Если оператор обрабатывает персональные данные вручную, уничтожение подтверждается актом, содержание которого должно соответствовать требованиям из пункта 3 приказа № 179;
- Если обработка данных осуществляется автоматизировано, акт должен быть подписан электронной подписью, а помимо акта должна иметься выгрузка из журнала регистрации событий в информационной системе персональных данных (требования к ней приведены в пункте 5 приказа № 179).
Хранить акты и выгрузку нужно в течение 3 лет с момента уничтожения персональных данных.
Напомним, что обязанность уничтожить персональные данные субъекта (субъектов) возникает у оператора, если:
- Субъект персональных данных (или его представитель) предоставил сведения, подтверждающие, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Уничтожить такие данные оператор обязан в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ);
- Выявлена неправомерная обработка персональных данных и невозможно обеспечить ее правомерность. На уничтожение персданных отводится 10 рабочих дней с даты выявления неправомерной обработки (ч. 3 ст. 21 Закона N 152-ФЗ);
- Достигнуты все цели обработки персональных данных (ради которых данные собирали). Уничтожить не требующиеся более данные нужно в течение 30 дней с даты достижения целей обработки (ч. 4 ст. 21 Закона N 152-ФЗ);
- Субъект персональных данных отозвал согласие на обработку его данных и их сохранение более не требуется для целей обработки персональных данных. Срок на уничтожение данных в таком случае по общему правилу - в течение 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона N 152-ФЗ). При этом возможно изменение сроков по основаниям, предусмотренным в законе № 152-ФЗ.
Например, если срок предусмотрен договором (иным соглашением), стороной которого является субъект ПД.
Если у оператора нет возможности уничтожить персональные данные в течение срока, указанного в ч. 3 - 5.1 ст. 21 Закона N 152-ФЗ, оператору нужно их заблокировать и все равно обеспечить уничтожение в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона N 152-ФЗ).