В какой срок необходимо уничтожить персональные данные после отзыва согласия на обработку - OtzyvPro.top

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

(часть 3.1 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

(часть 5.1 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 — 5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

(часть 7 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

Источник

В соответствии с частью 4 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение) в течение 30 дней с даты достижения цели обработки персональных данных. В указанный же срок оператор должен уничтожить персональные данные субъекта при поступлении от него отзыва согласия на их обработку.

Помимо этого, оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение):

в течение 7 рабочих дней со дня представления субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

в течение 10 рабочих дней с даты выявления неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность.

Одновременно с этим, при достижении цели обработки персональных данных может применяться другой срок для их уничтожения, в случае если:

такой срок предусмотрен договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

другой срок предусмотрен иным соглашением между оператором и субъектом персональных данных;

если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными закона.

(Комментирует заместитель начальника отдела по надзору за исполнением федерального законодательства Вершинина Юлия Васильевна).

В течение какого срока оператор обязан уничтожить персональные данные субъекта при достижении цели обработки персональных данных?

Помимо этого, оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение):

другой срок предусмотрен иным соглашением между оператором и субъектом персональных данных;

Источник

С прошлого года стало недостаточно просто уничтожить документы с персональными данными. Надо следовать специальной процедуре, составив акт об их уничтожении. Рассказываем, каков порядок уничтожения личных сведений, когда и в какие сроки это необходимо сделать, какой штраф полагается за нарушение требований закона. Приводим образцы документов (приказ о создании постоянно действующей комиссии по уничтожению документов с персональными данными, акт об уничтожении персданных, уведомление работника об уничтожении неправомерно использованных персональных данных) и формулировки для ЛНА о порядке уничтожения персданных, договора с контрагентом об обязательстве уничтожить передаваемые по договору персональные данные.

В нынешнем информационном обществе персональные данные играют основополагающую роль, поэтому их защита и своевременное уничтожение являются неотъемлемыми частями обязанностей бизнеса и государства. О нюансах уничтожения персданных, которые необходимо знать любой организации, говорим в статье.

Когда и в какие сроки надо уничтожать персданные

Уничтожение персональных данных¹ – это вид их обработки, подразумевающий действия, в результате которых:

становится невозможным восстановить содержание персональных данных в информационной системе и/или
уничтожаются материальные носители персональных данных.

В соответствии с Законом № 152‑ФЗ оператор (то есть организация или индивидуальный предприниматель, осуществляющий обработку персональных данных) обязан уничтожить персональные данные субъекта персданных (или обеспечить их уничтожение) в следующих ситуациях:

при получении от субъекта (или его представителя) персданных, сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14, ч. 3 ст. 20);
при выявлении неправомерной обработки персданных, если невозможно обеспечить ее правомерность (ч. 3 ст. 21);
после достижения цели обработки персданных (ч. 4 ст. 21);
при отзыве субъектом согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки (ч. 5 ст. 21);
при обращении субъекта с требованием о прекращении обработки его персданных (ч. 5.1 ст. 21).

Сроки уничтожения персональных данных различаются в зависимости от причины (все они приведены в Таблице):

общий срок уничтожения составляет 30 дней и применяется, когда речь идет о достижении целей обработки или отзыве субъектом согласия на обработку его персданных (если их сохранение более не требуется для целей обработки). Надо учитывать, что в этих случаях может быть предусмотрен и иной срок с учетом конкретных обстоятельств (ч. 4 и 5 ст. 21 Закона № 152‑ФЗ). В частности:
- он может быть определен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персданных, или иным соглашением между оператором и субъектом персданных;
- когда оператор не вправе осуществлять обработку персданных без согласия субъекта персданных на основаниях, предусмотренных Законом № 152‑ФЗ или другими федеральными законами;
значительно более короткие (по сравнению с общим) сроки применяются в особых случаях (см. Таблицу).

Таблица. Сроки уничтожения персональных данных

Если оператор не может уничтожить персональные данные в указанные сроки, то он обязан предпринять меры для блокирования доступа к этим данным, а затем уничтожить их в течение 6 месяцев (ч. 6 ст. 21 Закона № 152‑ФЗ).

Обратите внимание: в случае передачи персональных данных другому лицу оператор должен установить обязательство получателя персональных данных уничтожить их после окончания целей их обработки или при утрате необходимости в их обработке. Обязательство по уничтожению можно прописать в договоре с третьим лицом или в отдельном соглашении о конфиденциальности полученной информации. Образец формулировок см. в Примере 1.

Пример 1. Условие в договоре об обязанности контрагента осуществить уничтожение персональных данных

По истечении срока обработки переданных Заказчиком персональных данных пользователей в случае отзыва согласия на обработку персональных данных, а также если станет известно, что персональные данные содержат неполную / неточную информацию, получены или обрабатываются с нарушением закона, Исполнитель обязан уничтожить полученные персональные данные пользователей в срок не позднее 3 рабочих дней с даты получения требования об этом или выявления обстоятельств, свидетельствующих о необходимости уничтожения персональных данных пользователей.

В качестве подтверждения уничтожения переданных персональных данных пользователей Исполнитель направляет в адрес Заказчика заверенные копии акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных в течение 2 рабочих дней с даты оформления этих документов.

Источник

Когда нужно уничтожать персональные данные сотрудников

Персональные данные (ПД) – это любая информация и документы, позволяющие идентифицировать человека. К ним относятся ФИО, дата рождения, СНИЛС, ИНН, адрес, телефон, семейное положение, медицинская и генетическая информация, биометрия. При трудоустройстве сотрудник подписывает согласие на обработку ПД — этот пункт включен в трудовой договор или резюме.

Некоторые данные о физлицах не являются ПД без связи с другими. Например, номер телефона не относится к персональным данным, но в комплекте с ФИО человека приобретает такой статус.

Уничтожение ПД, согласно закону № 152 ФЗ «О персональных данных», – это действия, после которых данные невозможно восстановить на цифровом или бумажном носителе. В ст. 21 Закона «О персональных данных» прописаны случаи, когда и в какие сроки работодатель обязан уничтожить ПД сотрудников. Ниже расскажем об этом подробно.

Выявление неправомерной обработки данных — 10 рабочих дней. Например, отдел кадров без согласия сотрудницы хранит копию свидетельства о рождении ее ребенка-инвалида. Бухгалтеру так удобнее: не нужно каждый раз запрашивать документы, чтобы оформить ей отпуск по уходу за ребенком. Но, если сотрудница не хочет, чтобы эту информацию хранили в компании, то может потребовать ее уничтожить. Помимо работников, выявить неправомерный сбор и хранение ПД могут директор при внутреннем аудите или Роскомнадзор при проверке.

Достижение целей обработки данных — 30 рабочих дней. Например, организация должна удалить резюме соискателей после закрытия вакансии, а личные данные сотрудников — после их увольнения.

Отзыв согласия на обработку данных – 30 рабочих дней. После увольнения человек может сам потребовать работодателя удалить его персональные данные. Для этого нужно написать заявление на отзыв ПД. В течение месяца после получения заявления работодатель, если еще не сделал этого, должен уничтожить данные и выслать бывшему сотруднику акт об уничтожении ПД, заверенный подписью.

Требование уничтожить ПД – 7 рабочих дней. Если работодатель получил данные сотрудника неправомерно, то должен их уничтожить. Например, отдел кадров перед трудоустройством попросил сотрудника предоставить справку о несудимости, но по закону для работы по этой специальности такая справка не обязательна.

Работодатель не должен собирать и хранить подобные данные, но в реальности многие это делают, поэтому сотрудники имеют право сами требовать их уничтожения.

Иногда работодатель не может уничтожить ПД в течение установленного срока: например, потому что сайт с данными сотрудников взломали мошенники. В этом случае нужно заблокировать и удалить данные в течение полугода.

Кроме требований Закона «О персональных данных», существуют законы об архивах, которые контролируют сроки хранения документов. Например, работодатель обязан хранить приказы о приеме на работу, переводе, увольнении и другие подобные документы от 50 до 75 лет. Уничтожать их раньше установленных сроков нельзя.

Как уничтожить персональные данные сотрудника

Данные сотрудников можно хранить на бумаге и цифровых носителях: в бухгалтерских и кадровых программам, страницах в соцсетях и сайте компании. Алгоритм уничтожения персональных данных выглядит так:

ответственное лицо формирует список документов для уничтожения;
документы сверяют со списком уничтожают их утвержденным компанией способом;
составляют акт об уничтожении документов;
электронные носители, если они есть, списывают и подтверждают это специальным актом.

Перед уничтожением документов, нужно прописать в локальных актах компании, например, в Положении об уничтожении ПД, основания для уничтожения и назначить приказом уполномоченное лицо, отвечающее за уничтожение ПД.

Пример положения о порядке уничтожения ПД

Так выглядит Положение о порядке уничтожения ПД (источник: www.mipt.ru)

После этого нужно уничтожить данные. Бумажные документы можно сжечь, измельчить с помощью машинки, или отдать на утилизацию в специальную организацию, которая выдаст квитанцию об уничтожении документов. Электронные данные можно стереть с помощью специальных программ.

Некоторые компании отдают бумажные документы в агентства по сбору макулатуры, но это небезопасно: такие компании не измельчают бумагу, и документы могут попасть к кому угодно.

Составить акт об уничтожении ПД. Раньше Роскомнадзор только рекомендовал составлять акт, с 1 марта 2023 года это стало обязательным. В нем должны быть указаны:

название компании/ФИО работодателя и адрес;
наименование юрлица, которое осуществляет обработку ПД по поручению работодателя, если такое есть;
ФИО сотрудника, чьи данные уничтожили;
ФИО и должности лиц, которые уничтожили данные;
перечень категорий уничтоженных данных: счета-фактуры, трудовые договора и т.д.;
название материального носителя с указанием количества листов;
название информационной системы, из которой уничтожены данные;
причина, способ и дата уничтожения данных;
подписи лиц, уничтоживших ПД.

Акт можно составить в бумажном и электронном виде с цифровой подписью.

Пример акта об уничтожении ПД на электронном носителе

Так выглядит акт об уничтожении ПД на электронном носителе (источник: www.stylishbag.ru)

После уничтожения электронных данных, нужно сделать выгрузку из журнала регистрации событий в информационной системе. В выгрузке хранятся данные работодателя и сотрудника, перечень уничтоженных документов, дата уничтожения ПД. В бухгалтерских и кадровых программах этот документ формируется автоматически, но в некоторых из них нельзя сделать выгрузку в точном соответствии с требованиями Роскомнадзора: в этом случае недостающие сведения нужно внести в акт.

После уничтожения данных нужно уведомить об этом сотрудника или его представителя в письменной форме, к письму приложить копию акта. Акты об уничтожении ПД и выгрузку из журнала нужно хранить в течение трех лет.

Если при проверке Роскомнадзором акт об уничтожении данных отсутствует, или в нем есть ошибки и нарушения установленных сроков, компанию и должностных лиц оштрафуют.

Ответственное лицо	Первое нарушение	Повторное нарушение
Должностное лицо	от 8 до 20 тыс. ₽	от 30 до 50 тыс. ₽
ИП	от 20 до 40 тыс. ₽	от 50 до 100 тыс.₽
Организация	от 50 до 90 тыс. ₽	от 300 до 500 тыс. ₽

Чтобы избежать лишних трат, нужно внимательно следить за сроками уничтожения ПД и правильно оформлять акты об их уничтожении. Часто Роскомнадзор приходит в компании с проверками из-за жалоб сотрудников, поэтому полезно периодически устраивать внутренний аудит и проверять, не хранятся ли в компании личные данные, которые забыли вовремя уничтожить.

Коротко, увлекательно и с пользой о деньгах — в нашем телеграм-канале t.me/Life_Akbars. Присоединяйтесь!

Источник

Если компания берет у человека сведения о нем, его персональную информацию, то спрашивает согласие на это. Иногда бывают ситуации, когда работник свое согласие отзывает. В статье расскажем, что делать в этом случае.

В каком случае можно отозвать разрешение на обработку личных данных

Согласно закону, каждый человек может попросить оператора, который обрабатывает его личные данные, прекратить обработку, в случае, если человек изначально ее разрешил.

Важно! Родственники, друзья или представители не имеют права требовать отзыв согласия на обработку персональных данных. Это может сделать только тот, кто его давал.

Отозвать разрешение на работу с личной информацией можно в любое время, например, если родители переводят ребенка в другой сад или школу или при смене сотового оператора. Даже в банк можно направить отзыв согласия, если вы больше не являетесь его клиентом. Это целесообразно сделать, чтобы кредитная организация не мучила звонками со своими рекламными предложениями.

А вот с коллекторами не все так просто. Они могут работать с персональными сведениями даже без разрешения должника, закон это допускает. Им можно письменно отправить отзыв разрешения на обработку личной информации, в этом случае он будет называться отказ от взаимодействия. Это только ограничит их работу, они не смогут звонить по указанным номерам или писать на электронную почту. Но присылать бумажные письма через Почту России продолжат, также у них остается право подать в суд на должника.

Еще можно отправить заявление на отзыв согласия на обработку персональных данных бывшему работодателю. Если сотрудник больше не работает в компании, нет смысла использовать его личную информацию.

Обратите внимание! Если работодатель просит у работника только ту информацию, которая нужна, чтобы заключить трудовой договор, то согласие работника не требуется (апелляционное определение СК по гражданским делам Оренбургского областного суда от 21.06.2017 по делу № 33-4566/2017, п. 5 ч. 1 ст. 6 Закона №152-ФЗ).

После окончания трудовых отношений документы передают в архив. Даже если с работника взяли согласие на обработку личных данных, а потом он его отзовет, информация будет храниться в архиве определенный срок. Работать с ней уже будет нельзя, но и уничтожить тоже.

В заявлении о прекращении обработки персональных данных работник может подробно расписать детали и причину, по которой он отзывает согласие или просто указать «в связи с неправомерным использованием личных сведений».

Также в заявлении, чтобы оно считалось юридически действительным, нужно указать:

наименование оператора и его адрес;
сведения о самом заявителе (ФИО, адрес, паспортные данные);
дата, подпись и расшифровка.

Важно! Работник может отозвать согласие на работу с личной информацией когда захочет, даже если он продолжает трудиться в компании. Уволить за это нельзя, отзыв согласия на обработку персональных сведений не является основанием для расторжения трудового договора.

Когда согласие работника на обработку персональных данных отозвать нельзя

Если человек отзывает согласие на работу со своими персональными сведениями, то их следует уничтожить (ст. 21 Закона №152-ФЗ), если для целей обработки эта информация больше не нужна. Но существуют два условия, при котором оператор может не обращать внимания на отзыв согласия и продолжать работать с личной информацией:

если в договоре или соглашении между оператором и владельцем персональных данных это условие предусмотрели;
если есть законные основания для продолжения обработки (пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ).

Например, будут продолжать взаимодействие с данными банки и микрофинансовые организации. Согласно закону от 07.08.2001 № 115-ФЗ «О противодействии отмыванию доходов…» они обязаны хранить данные 5 лет после того, как прекратились отношения между банком и клиентом. Если есть отзыв согласия, предложить человеку свои услуги они уже не смогут, но саму информацию не уничтожат и в случае запроса из прокуратуры или суда ее выдадут (апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479). А если у человека есть какие-либо взаимоотношения с банком, то отозвать согласие нельзя.

Также без разрешения гражданина будут использовать его персональные данные:

суды и судебные приставы, если против человека ведется дело или есть предписание;
органы социальной поддержки (выплата пособий, пенсий, льгот);
при защите жизни гражданина и его здоровья (врачи, полиция);
журналисты, если это связано с их деятельностью;
вторая сторона в договорах ГПХ или международных, если они заключены с владельцем персональных сведений;
органы статистики, если обезличивают информацию;
другие ситуации согласно ст. 6, 10, 11 Закона №152-ФЗ.

Что делать, если работник прислал отзыв согласия на обработку персональных данных

Если работник потребовал прекратить обработку его личной информации, то действовать нужно по следующему алгоритму:

Если в компании еще нет соответствующего ЛНА, сформируйте и утвердите документ, в котором закрепите порядок уничтожения персональных данных.
Зарегистрируйте полученный отзыв разрешения. Работник подает его в двух экземплярах. Нужно поставить отметку на втором экземпляре.
Выдайте или направьте сотруднику уведомление в свободной форме о том, что заявление на отзыв разрешения на обработку персональной информации (№, дата) вы получили и приняли в работу. В нем укажите, что вы как оператор примете все меры согласно п. 5 ст. 21 Закона № 152-ФЗ. Дальнейшая обработка будет проводиться только в случаях, предусмотренных в Законе. Подпишите и поставьте печать.

Какие общие требования предъявляют к обработке персональных данных, читайте в статье.

4. В течение 10 дней прекратите работу с личной информацией человека, если она больше не нужна для целей обработки согласно законодательству. Если ее обрабатывает третье лицо, обеспечьте прекращение обработки.

5. Приказом созовите специальную комиссию по уничтожению персональных данных. В ее составе должны быть не меньше трех человек: председатель и два других сотрудника, один из которых или оба ответственные за обработку персональных данных в компании. Комиссия составит перечень документов с учетом срока хранения, которые нужно уничтожить.

Образец приказа о создании комиссию по уничтожению персональных данных скачайте здесь

6. Уничтожьте носители, которые содержат персональную информацию о работнике. Сделать это нужно в течение 30 дней после того, как получили отзыв. Уничтожение персональных данных — это действие, в результате которого информацию с бумажного или электронного носителя нельзя будет прочитать. В электронном виде информацию просто стирают. Для бумаги можно воспользоваться шредером.

7. Сформируйте акт об уничтожении персональных данных.

Образец акта скачайте здесь.

8. В специальном журнале зафиксируйте названия, номера и даты документов, которые уничтожили, а также причину и способ уничтожения. Форму журнала можно разработать самостоятельно.

Источник