Сперва обсудим, а когда вообще надо выполнять требования Приказа РКН № 179. Без сомнений актировать уничтожение придется в случае обращения субъекта или РКН. Но что делать с рутинным уничтожением данных, например, технических логов, содержащих ПД?
Правила Приказа РКН применяются только в случаях, предусмотренных ч. 7 ст. 21 152-ФЗ, то есть, в основном, это случаи:
выявления незаконной обработки (нет законного основания),
достижения цели обработки ПД
отзыва согласия / требования о прекращении обработки
прекращения обработки по поручению оператора.
Но если слепо следовать написанному, то получается, что актирование и журналирование уничтожения ПД необходимо осуществлять каждый день и несколько раз — например, при распечатке лишней копии договора, резюме, создании нескольких черновиков одного и того же документа, завершении работы с тестовой базой...
Пища к размышлению:
Триггерами уничтожения являются (триггеры индивидуальны для каждой компании):
Запрос / требование субъекта ПД или РКН о прекращении обработки или уничтожении ПД. Именно по таким кейсам могут потребоваться доказательства факта уничтожения ПД, поскольку РКН потребуется показать документы.
Прекращение действия всех правовых оснований обработки ПД, то есть, когда компания должна полностью уничтожить все ПД о субъекте в своем контуре. Это, например, прекращение договора с клиентом-физическим лицом и истечение пятилетнего срока хранения его данных для бухгалтерского и налогового учета без необходимости передачи в архив.
При наличии таких триггеров ПД уничтожаются из всех ИТ-систем или с материальных носителей, уничтожение актируется и журналируется (логируется) по всем канонам Приказа РКН. Благо, требований / запросов обычно ограниченное количество, а случаи полного прекращения предсказуемы, и чаще всего уничтожение и его формализация поддаются автоматизации.
Триггерами уничтожения НЕ являются отдельные / частные удаления и прекращение процессов обработки, ЕСЛИ сохраняются (мастер / иные) данные, например:
регулярное удаление копий данных, например, из тестовых баз данных, бэкапов и черновиков, а также копий материальных носителей (бумажных договоров или сканов личных документов)
систематическое удаление части данных по установленному TTL, например, исторических транзакций, истории обращений, изменений данных в личном кабинете действующего клиента
очистка лог-файлов и иных технических данных
передача в архив.
Поэтому критично разработать понятную для работников процедуру уничтожения, ведь DPO не сможет следить за всеми триггерами на ежедневной основе. Процедура должна включать сами триггеры (условия и причины) для запуска процесса уничтожения, определять круг ответственных, ИТ-системы, метод уничтожения (мануальный или автоматический), материальные носители и способ уничтожения, сроки и т. д. И для проработки процедуры нужна актуальная и подробная RoPA.
Без этой процедуры вряд ли возможно корректно формализовать уничтожение и уничтожить ПД. К слову, это только одна из процедур в privacy playbook.