Способ уничтожения персональных данных

Способ уничтожения персональных данных

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 — 5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Источник

Акт уничтожения персональных данных на бумажных носителях

Если компания больше не нуждается в информации о своих сотрудниках или клиентах, то она обязана уничтожить носители с персональными данными этих лиц. Это нужно сделать, чтобы информация не попала к злоумышленникам. Уничтожение должно сопровождаться работой специально созданной комиссии, а также составлением и подписанием соответствующего акта. Как правильно его оформить, читайте в статье.

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Порядок уничтожения персональных данных

Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:

1. В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
2. Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
3. Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
4. Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.

Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.

Способы уничтожения

Информация на уничтожаемых носителях не должна быть подвержена восстановлению. В случае с бумажными носителями используют такие способы уничтожения, как измельчение (ножницами или с помощью шредера), сжигание, гидрообработка. При данной обработке носители будут невосстановимы.

За результативность процесса несут ответственность члены специально созданной комиссии в компании.

Составляем акт уничтожения персональных данных на бумажных носителях

Акт можно написать от руки или набрать на компьютере и впоследствии распечатать и подписать. Желательно брать «фирменный бланк» компании с ее реквизитами.

Итак, в шапке документа должны быть:

1. Наименование оператора персональных данных. Это название организации.
2. Отметка руководителя об утверждении акта. Здесь должны быть указаны дата подписания, должность и подпись с расшифровкой. Блок заполняется в последнюю очередь.
3. Наименование документа.
4. Место составления.
5. Дата составления.

Далее начинается основная часть, где указывают следующее:

1. Состав комиссии. Пишут должности и ФИО членов комиссии и председателя.
2. На основании какого документа действует комиссия (приказ, распоряжение). Чаще всего это приказ.
3. Ссылку на закон о персональных данных — ФЗ №152 от 27.07.2006 г.
4. Дату уничтожения.
5. Тип носителей.
6. Список уничтоженных документов. Его можно оформить в виде таблицы с следующими графами: порядковый номер, номер и наименование носителя, примечание или пояснение.
7. Каким путем было проведено уничтожение данных.
8. Основание для проведения процедуры уничтожения.

Завершают документ подписи председателя и членов комиссии. После подписания акт передают руководителю для утверждения. Он ставит свою подпись в соответствующей графе на бланке.

В идеале в документе не должно быть ошибок (орфографических, грамматических и любых других). Если вдруг была обнаружена фактическая ошибка, то ее, конечно, нужно исправить, используя стандартный порядок исправления и завизировав внесенные коррективы. При большом количестве ошибок лучше взять новый бланк, заполнить его, а старый документ уничтожить.

Источник

Раздел VI. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

Раздел VI.
Порядок уничтожения персональных данных при достижении целей
обработки или при наступлении иных законных оснований

37. Уничтожению подлежат персональные данные при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

38. Уничтожение персональных данных может быть произведено любым способом, исключающим возможность восстановления материального носителя персональных данных, согласно акту об уничтожении персональных данных.

39. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

40. В случае отсутствия возможности уничтожения персональных данных оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник

Способ уничтожения персональных данных

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Дополнение к ответу: С целью исключения ошибочного уничтожения документов (носителей), содержащих персональные данные физических лиц (субъектов персональных данных), на момент утверждения Акта не подлежащих уничтожению (например: не истекли установленные сроки хранения, нет факта утраты необходимости в достижение цели, цели обработки не достигнуты), необходимо учесть обязательные требования законодательства Российской Федерации в области персональных данных и других, определяющих случаи и особенности обработки персональных данных федеральных законов. Оператору целесообразно:

1. определить состав комиссии (основание — приказ Оператора) с обязательным включением лица, ответственного за обработку документов планируемых к уничтожению (по направлению деятельности, в пределах установленных полномочий);
2. определить перечень, оформить список документов, подлежащих уничтожению, согласно установленных действующими нормативными правовыми актами сроков, например:
   • Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных»;
   • Федеральным законом от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
   • Приказом Министерства культуры РФ от 25.08.2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (Номенклатура дел, утверждаемая оператором ежегодно);
   • другими, определяющими случаи и особенности обработки персональных данных федеральными законами;
3. после утверждения акта, перечисленные документы (носители) должны быть сверены с записями в акте и на указанных документах (носителях), далее персональные данные должны быть уничтожены, определенным и утвержденным Оператором способом уничтожения, путем: разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья, либо стирания на устройстве гарантированного уничтожения информации и т.п.);
4. уничтоженные документы (носители), содержавшие персональные данные, с книг и журналов учета (регистрации) данных документов (носителей) должны быть списаны.

Вопрос: Из Федерального закона «О персональных данных» и подзаконных актов не ясен конкретный перечень внутренних документов, которые должна разработать организация. Какой необходимый минимальный комплект документов Вы рекомендуете разработать?

Ответ: Жестких требований о количестве подлежащих разработке локальных актов оператора действующим законодательством не установлено.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных. Это меры организационного, правового и технического характера.

Практика реализации этих мер сформировала необходимый минимум документов, который должен быть принят оператором, это:

Дополнение к ответу: Постановлением Правительства Российской Федерации от 21.03.2012 г. № 211 утвержден Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и принятых на его основе нормативно-правовых актов ФСБ России и ФСТЭК России, например:

Вопрос: в каком виде должны направляться собственникам помещений платежные документы об оплате коммунальных услуг?

Ответ: Пунктом 69 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных постановлением Правительства Российской Федерации от 6 мая 2011 г. № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов», установлен перечень сведений, содержащихся в платежном документе, в том числе, включающий почтовый адрес жилого помещения, фамилию, имя и отчество собственника или нанимателя жилого помещения.

В соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При доставке платежных документов в открытом виде до почтовых ящиков персональные данные жильцов не защищены от случайного к ним доступа третьих лиц

В силу пункта 3 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут относиться применение правовых, организационных и технических мер по обеспечению безопасности персональных данных. В целях соблюдения конфиденциальности персональных данных при доставке платежных документов и исключения возможности ознакомления третьих лиц с содержащимися в них сведениями используются различные способы — вложение указанных документов в конверт, бесконвертное склеивание, когда платежный документ складывается и запечатывается, и прочие.

Для решения вопроса о достаточности принимаемых операторами мер по защите персональных данных при доставке до почтовых ящиков необходимо оценивать все фактические обстоятельства, в том числе условия договоров об оказании услуг, заключенных между собственниками жилья и управляющими компаниями или ТСЖ, содержание письменного согласия граждан на обработку их персональных данных, привлечение оператором уполномоченных работников или третьих лиц, способ доставки счетов, и иные.

Время публикации: 06.11.2015 15:07
Последнее изменение: 30.01.2017 16:40

Источник