РЕКОМЕНДАЦИИ ПО УНИЧТОЖЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ЧАСТНОСТИ МЕДИЦИНСКИХ АРХИВОВ — Сервис СЭАОВ — проверка контрагентов по утилизации медотходов
info@ecoalition.ru

Как работает сервис проверки контрагентов по медотходам СПОМО

О сервисе СПОМО (вебинар)

Санитарно-экологическая ассоциация по обращению с отходами и вредными выбросами

РЕКОМЕНДАЦИИ ПО УНИЧТОЖЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ЧАСТНОСТИ МЕДИЦИНСКИХ АРХИВОВ

Скачать документ

Ниже в тесте юридическое лицо , обрабатывающее персональные данные, например, больница, именуется оператором ПД (или просто оператором)

Если подробно, то порядок уничтожения персональных данных содержащихся в отходах такой:

Часть 7 статьи 5 и ч. 4 статьи 21 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 28.02.2025) «О персональных данных» (далее — Закон N 152-ФЗ) посвящена порядку действий оператора на случай достижения цели обработки персональных данных (комментарий: окончания срока хранения архива). Общее правило состоит в том, что оператор обязан прекратить дальнейшую обработку, обезличить либо уничтожить (обеспечить их уничтожение если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) соответствующие данные на всех носителях, где они содержатся.

Персональные данные уничтожаются оператором в течение 30 дней с даты достижения цели обработки персональных данных.

Порядок документального оформления факта уничтожения персональных данных различается в зависимости от способа обработки персональных данных.

Уничтожение персональных данных является видом обработки персональных данных и представляет собой действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. п. 3, 8 ст. 3 Закона N 152-ФЗ).

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в ч. 3 — 5.1 ст. 21 Закона N 152-ФЗ, оператор блокирует такие персональные данные и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона N 152-ФЗ).

Документальное оформление факта уничтожения персональных данных в том числе при достижении цели обработки персональных данных осуществляется в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 N 179 (далее — Требования) (ч. 7 ст. 21 Закона N 152-ФЗ).
Персональные данные уничтожаются комиссией (иным должностным лицом), созданной (уполномоченным) на основании приказа оператора. Приказ составляется в произвольной форме. В нем указывается состав комиссии — председатель и ее члены (например, начальник кадровой службы, главный бухгалтер, руководители структурных подразделений, секретарь организации и пр.), цель создания комиссии, функции, сроки ее работы, какие персональные данные и на каких носителях (бумажных, электронных) подлежат уничтожению, способы уничтожения персональных данных на бумажных носителях (электронных носителей) и другие необходимые сведения.

Комиссия должна определить и составить перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам (в частности, Законом N 152-ФЗ, Федеральным законом от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Приказом Росархива от 20.12.2019 N 236, другими определяющими случаи и особенности обработки персональных данных федеральными законами).

Составленный комиссией перечень документов (носителей), подлежащих уничтожению, должен быть сверен с записями в акте о прекращении обработки персональных и на указанных документах (носителях).

Способами уничтожения персональных данных, определяемыми и утверждаемыми оператором, могут быть:
• для бумажных носителей персональных данных — разрезание, гидрообработка, сжигание, механическое уничтожение (например, пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения);
• для электронных носителей — стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска и т.п.
Затем осуществляется непосредственное уничтожение персональных данных на документах (носителях) без возможности их восстановления.
В зависимости от метода обработки персональных данных различают несколько способов подтверждения факта уничтожения персональных данных (п. п. 1, 2, 7 Требований):
• если персональные данные обрабатывались оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных;
• если персональные данные обрабатывались оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных;
• если персональные данные обрабатывались оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий.
Акт об уничтожении персональных данных должен содержать (п. 3 Требований):
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лиц, осуществляющих обработку персональных данных по поручению оператора (если обработка была поручена таким лицам);
в) фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
д) перечень категорий уничтоженных персональных данных;
е) наименование уничтоженных материальных носителей, содержащих персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационных систем персональных данных, из которых были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных.
При этом акт об уничтожении персональных данных в электронной форме, подписанный электронной подписью в установленном порядке, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью (п. 4 Требований).
Выгрузка из журнала должна содержать (п. 5 Требований):
а) фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных.
Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные выше, недостающие сведения вносятся в акт об уничтожении персональных данных (п. 6 Требований).

Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных (п. 8 Требований).
Уничтоженные документы (носители), содержавшие персональные данные, должны быть списаны с книг и журналов учета (регистрации) данных документов (носителей).

Прямого указания на сжигание в законах нет, но из определения понятия уничтожения ПД (п.8. ст.3 Закона № 152-ФЗ «О ПД» и п. 31 Приказ Росархива от 31.07.2023 N 77 «Об утверждении Правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в государственных органах, органах местного самоуправления и организациях») следует, что уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Сжигание – способ уничтожения, после которого невозможно восстановить ПД.

Дополнительно в организации (мед. учреждении) можно регламентировать в локальных нормативных актах порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ «О ПД»). Среди прочего можно установить такой способ как сжигание.

Наш сайт использует cookie. Продолжая им пользоваться вы соглашаетесь на обработку персональных данных в соответствии с Политикой конфиденциальности.
Принять