Приказ о создании комиссии по уничтожению персональных данных (ПДн) – это строго обязательный распорядительный документ оператора ПДн (организации или ИП), который официально формирует группу ответственных лиц для законного, безопасного и документально подтвержденного процесса окончательного удаления конфиденциальной информации о физических лицах. В рамках настоящего материала мы рассмотрим правовые основания создания такой комиссии, ее критически важный состав, детальный порядок уничтожения на разных носителях, юридическую значимость приказа и правила его корректного оформления в соответствии с требованиями 152-ФЗ.
Важно! Этот документ можно скачать в КонсультантПлюс
Скачать в КонсультантПлюсБесплатный доступ к документуОбразец приказа о создании комиссии по уничтожению персональных данных
Бланк приказа о создании комиссии по уничтожению персональных данных
Правовая необходимость и цели комиссии
Создание комиссии по уничтожению ПДн является прямым требованием законодательства (ст. 7, 16.1, 18.1, 19 152-ФЗ "О персональных данных") для обеспечения гарантированной невозможности восстановления уничтожаемой информации. Это ключевой элемент системы защиты ПДн, предотвращающий утечки, несанкционированный доступ и нарушения прав субъектов ПДн при завершении срока их обработки или отзыве согласия. Комиссия обеспечивает легитимность и прозрачность процесса ликвидации данных.
Основные задачи комиссии включают проверку оснований для уничтожения (истечение срока хранения, достижение цели обработки, отзыв согласия субъектом, ликвидация оператора), определение точного перечня ПДн и носителей, подлежащих уничтожению. Она обязана выбрать и применить физически безопасный метод уничтожения (механическое разрушение, термическое воздействие, электронное стирание), исключающий восстановление. Комиссия составляет итоговый акт, фиксирующий факт, дату, способ уничтожения и ответственных исполнителей. Без акта комиссии оператор не может подтвердить исполнение требований закона.
Состав комиссии
Состав комиссии утверждается приказом оператора ПДн и должен включать лиц, имеющих непосредственное отношение к обработке и защите данных, а также представителей, обеспечивающих контроль. Обязательными членами являются ответственный за организацию обработки ПДн (назначенный приказом, часто это руководитель или DPO), который несет основную ответственность за соблюдение 152-ФЗ. Представитель службы ИТ-безопасности (системный администратор, специалист по защите информации) включается для технически корректного уничтожения электронных данных.
Также в комиссию входит представитель подразделения – владельца информации (например, начальник отдела кадров для данных сотрудников, руководитель клиентской службы для данных клиентов) для идентификации уничтожаемых данных. Для независимости и усиления контроля обязательно включение представителя службы внутреннего аудита или юридического отдела. Председателем назначается ответственный за обработку ПДн или иное уполномоченное первое лицо организации. Все члены комиссии должны быть ознакомлены с политикой обработки ПДн и подписать обязательство о неразглашении.
Детальный порядок работы комиссии
Работа комиссии начинается с составления перечня (описи) ПДн, подлежащих уничтожению. Для бумажных носителей (личные дела, анкеты, карточки) опись включает наименование документа, ФИО субъекта, дату создания, количество листов. Для электронных данных (файлы, базы, резервные копии) указываются путь к файлу, имя, тип носителя (HDD, SSD, флешка, сервер), контрольные суммы. Комиссия проверяет отсутствие оснований для дальнейшего хранения (судебные споры, требования контролирующих органов).
На этапе непосредственного уничтожения комиссия обеспечивает применение адекватных методов: для бумаг – шредирование до уровня "конфетти" (класс безопасности 3-5 по DIN 66399) или сжигание в присутствии комиссии; для электронных носителей – использование сертифицированных программных средств гарантированного стирания (с многократной перезаписью) или физическое разрушение дисков/чипов (демонтаж, дробление, расплавление). Уничтожение облачных данных требует подтверждения от провайдера. Процесс проводится под непрерывным контролем членов комиссии.
Юридическая роль приказа и акта
Изданный приказ о создании комиссии является единственным правовым основанием для проведения процедуры уничтожения ПДн в соответствии с 152-ФЗ. Этот документ наделяет комиссию необходимыми полномочиями и делает ее действия легитимными. Без приказа и составленного комиссией Акта об уничтожении персональных данных оператор не сможет доказать Роскомнадзору или суду факт выполнения требований закона при проверке или в случае инцидента.
Акт, подписанный всеми членами комиссии, является первичным учетным документом, подтверждающим факт, сроки, способ и результат уничтожения ПДн. Он фиксирует невозможность восстановления информации. Акт хранится оператором отдельно от уничтоженных данных в течение сроков, установленных локальными актами (рекомендуется не менее 5 лет). Приказ и акт являются доказательствами добросовестности оператора при привлечении к административной (ст. 13.11 КоАП РФ) или уголовной ответственности.
Инструкция по оформлению приказа
Оформление приказа начинается с указания полного наименования оператора ПДн, даты и места издания. Заголовок: "О создании комиссии по уничтожению персональных данных". Констатирующая часть содержит правовые основания: "В целях соблюдения требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", Политики обработки ПДн [Название организации], обеспечения гарантированного и документированного уничтожения ПДн при прекращении оснований для их обработки...".
Распорядительная часть включает себя распорпяжения директора по теме. Вот примерный их перечень:
1) Создать комиссию по уничтожению ПДн в составе: Председатель – [Должность, ФИО] (Ответственный за обработку ПДн); Члены комиссии: [Должность, ФИО] (Начальник отдела кадров); [Должность, ФИО] (Руководитель службы ИБ/Системный администратор); [Должность, ФИО] (Представитель юридического отдела/Внутреннего аудита).
2) Возложить на комиссию обязанности: составлять опись ПДн и носителей, подлежащих уничтожению; определять безопасный метод уничтожения; организовывать и контролировать процесс уничтожения; составлять Акт об уничтожении ПДн по установленной форме; обеспечивать сохранность акта.
3) Установить, что комиссия действует на постоянной основе или созывается по мере необходимости (указать конкретные случаи: истечение сроков, отзыв согласий и т.д.).
4) Назначить [Должность, ФИО] ответственным за обеспечение комиссии необходимыми ресурсами и техникой для уничтожения.
5) [Должность, ФИО] ознакомить членов комиссии с приказом под подпись, разъяснив требования законодательства о конфиденциальности.
Приказ подписывается руководителем оператора ПДн, регистрируется и хранится с актами уничтожения.
Примерный образец
