Уничтожение персональных данных: порядок и способы удаления документов содержащих пд из интернета, из электронных и бумажных носителей, образец акта

Вопрос регулирования отношений в сфере защиты персональных данных лиц происходит согласно со следующими нормами:

Специальный Федеральный закон от N 152-ФЗ 27.07.2006. Закон включает в себя главы с:

• общими положениями;
• правилами обработки;
• правовым положением субъекта (лица, к которому относятся персональные данные) и оператора (компании, чтоб занимается обработкой) в сфере персональных данных;
• государственным регулированием вопроса и ответственность за несоблюдение нормативных актов.

Глава 14 Трудового кодекса РФ, статьи 86-90. Здесь описаны:

• требования к процедуре обработки личных сведений;
• гарантии сохранения информации в секрете;
• порядок хранения, использования, передачи объектов охраны закона 152-ФЗ;
• ответственность за нарушения.

Статья 42 Федерального закона N 79-ФЗ от 27.07.2004 регулирует порядок ведения кадровой документации, содержащей личные данные о гражданском служащем.

Законные основания для уничтожения персональной информации

В законе 152-ФЗ прописано, что под уничтожением персональных данных  подразумеваются действия, которые повлекут:

• невозможность восстановить информацию о субъектах данных в системах хранения;
• уничтожение материального носителя.

Согласно ст.21 закона 152-ФЗ выделяют три основания для ликвидации:

1. Если с данными проводятся неправомерные действия.
2. Если цель, поставленная для обработки сведений, была достигнута.
3. Если пропала необходимость обработки сведений, например, если субъект отозвал заявление на такие действия.

При наступлении одного из этих случаев, оператор, в указанные законом сроки, обязывается уничтожить личный сведения субъекта, после чего уведомить последнего о проделанной работе.

Порядок уничтожения информации

Исходя из оснований, будут различаться процедуры удаления информации.

В первом случае, при неправомерном вмешательстве, используется такая схема:

1. Изначально производится выявление факта нарушения. Юрист предприятия дает правовую оценку, если нарушение выявлено, сообщение направляется администратору.
2. После этого в течение 10 дн. производятся попытки устранить опасность. Если угроза миновала, информация подлежит разблокировке. Если действия оказались безрезультатными в течение 3 дн., то сведения удаляются в десятидневный срок, о чем уведомляется субъект, к которому они относятся.

К неправомерным действиям с персональными сведениями относят любую обработку информации, которая производится без согласия субъекта, в виде:

• сбора;
• накопления;
• систематизации;
• удаления;
• блокирования;
• хранения;
• изменения или обновления;
• распространения;
• обезличивания.

Так, например, если информация была передана третьему субъекту, то компания направляет письмо с прошением удалить сведения либо спросить разрешение на обработку файлов у владельца. Если контрагент согласен, то он уничтожает сведения и сообщает об этом владельцу. В противном случае администратор компании обязан в 10-дневный период уничтожить все файлы, а также уведомить субъекта.

Читайте так же:   Последствия выговора на работе для сотрудника

Если цель обработки была достигнута, то действует следующий алгоритм (п.4 ст.21 закона 152-ФЗ):

1. Фиксация момента достижения цели.
2. В течение 30-дневного срока со дня выполнения задачи, администратор удаляет сведения.
3. Параллельно готовится уведомление владельцу.
4. После уничтожения информации, уведомление направляется субъекту.

Пункт о цели работы с личной информацией является существенным условием в письменном соглашении об обработке данных. В письменном заявлении на проведение операций с персональными сведениями субъект указывает:

• ФИО, паспортные данные;
• полное наименование и реквизиты оператора (организация, которая производит обработку);
• цель;
• список данных, которые подлежат обработке;
• виды обработки, которые могут применяться к объектам предоставленного разрешения;
• срок действия соглашения;
• процедуру отказа от разрешения на работу с информацией.

Схема действий при отзыве заявки на обработку ведомостей (п.5 ст.21 закона 152-ФЗ):

1. Субъект направляет письмо с отзывом.
2. Компания принимает решение об удовлетворении или отклонении требований.
3. В случае положительного ответа, в течение 30 дн. готовится уведомление об уничтожении файлов. В этот же период данные должны быть удалены.
4. Администратор уведомляет субъекта о проведенной работе.

Отозвать разрешение можно частично, например, запретить обработку адреса, номера телефона. Или ограничить определенный вид использования, например, уточнение, обезличивание.

Оператор должен также организовать удаление ведомостей другими лицами, которые по поручению первого работали с данными.

Сроки уничтожения информации в зависимости от причины

Вместе с порядком уничтожения личных сведений, в ст. 21 закона 152-ФЗ указаны сроки для произведения таких действий:

• Незаконное использование или правонарушение в отношении личных ведомостей. 3 дня на устранение противоправных действий, в случае неудовлетворительного результата – 10 дней для удаления (п.3).
• Достижение цели обработки – 30 дней со дня установления данного факта (п.4).
• Заявление с отказом на дальнейшую обработку сведений от субъекта – 30 дней с даты принятия отзыва (п.5).

В п.6 ст.21 закона 152-ФЗ прописано, что если оператор не в состоянии провести удаление сведений в вышеуказанные сроки, то вся информация блокируются и подлежат удалению в 6-месячный срок.

Как блокировать и уничтожить информацию на различных носителях?

Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора. Субъектом, уполномоченным проводить такие действия (администратором), может быть:

• ответственный за обработку сотрудник, который наделен такими полномочиями по должностной инструкции;
• комиссия, состав и порядок работы которой утвержден приказом компании-оператора.

Исходя из формулировки понятия уничтожения ведомостей в законе, можно выделить два вида удаления:

• уничтожение сведений с невозможностью их восстановить;
• удаление носителя.

Поскольку законодательно не определены требования для уничтожения информации, оператор самостоятельно разбирается с ликвидацией личных сведений.

На рыке работает множество компаний, готовых предоставить соответствующие услуги в разных вариациях.

На бумаге

Если хранение личных сведений производится на бумажном носителе, то операторы используют такие способы уничтожения:

• шредирование — измельчение на специальном приборе или гидрообработка;
• также можно прибегнуть к методу в виде термической обработки (сожжение бумаг).

Перед использованием шредера оператор вправе выбрать одну из пяти степеней конфиденциальности. Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.

Различают несколько разновидностей электронных носителей, среди них:

• дискеты и zip-диски;
• CD и DVD диски;
• винчестеры;
• жесткие диски и пр.

Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.

Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).

Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:

• механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
• химически – помещение объекта в агрессивную среду;
• термически – поджег, переплав.

Применение таких способов сводит возможность считывания файлов с носителей к нулю.

Удаление из баз удаленных хранилищ

Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта. Удаление ведомостей из баз регулируется нормами разработчиков системы.

Для этого пользователь должен ознакомиться с правилами пользования дистанционными накопителями.

Обычно разработчики создают удобное руководство по пользованию, в том числе очищению баз от неиспользуемых файлов.

Другой способ уничтожить данные из хранилища – удалить само облако.

Документальное оформление

Исходя из вышеизложенных схем уничтожения персональных сведений, на разных основаниях в процессе удаления информации принимает участие юрист и администратор. Неуказанный в схемах участник – администратор безопасности. Это лицо, которое производит надзор над проводимыми действиями, следит за правильностью оформления процедуры.

• наименование организации;
• печать;
• дата составления акта;
• название документа;
• перечень фактов, которые подлежат удалению;
• вид носителя;
• способ уничтожения.

Акт подписывается администратором — одним лицом или всеми членам комиссии, как прописано в локальных актах. Документ должен быть проверен юристом и администратором безопасности.

По результатам проверки также составляется уведомление об уничтожении персональных ведомостей для субъекта.

Нарушения порядка ликвидации ведомостей и ответственность за их совершение

За нарушение законодательства о персональной информации оператора ждет административная ответственность по пунктам 5 и 6 ст. 13.11 КоАП РФ:

1. По п. 5 наказание наступает за несоблюдение сроков удаления и блокировки файлов. На нарушителя накладывается предупреждение, или штраф от 1000 до 2000 руб. для граждан, для должностных лиц – от 4000 до 10 000 руб., для ИП – от 10 000 до 20 000 руб., для юридических лиц – от 25 000 до 45 000 руб.
2. По п. 6 – за неприменение средств автоматизации, которые обеспечивают сохранность сведений при хранении, если бездействие привело к незаконному использованию, если в составе нет уголовного преступления, на оператора накладывается штраф: на граждан – от 700 до 2000 руб., на должностных лиц – от 4000 до 10 000 руб., на ИП – от 10 000 до 20 000 руб., на юридических лиц – от 25 000 до 50 000 руб.

Действия, которые имеют уголовный характер, квалифицируются по ст. 137 УК РФ, как нарушение неприкосновенности частной жизни.

После отзыва разрешения на обработку персональных ведомостей, они подлежат уничтожению. О том, как составить подобный отказ расскажет автор ролика ниже.

Рекомендуем другие статьи по теме

Источник: https://ZnayBiz.ru/kadry/rezhim/trudovaya-disciplina/unichtozheniye-personalnyx-dannyx.html

Как происходит процесс уничтожения персональных данных? Порядок уничтожения персональных данных

Уничтожение персональных данных – это мероприятия, при выполнении которых становится невозможным восстановить содержание личных данных в информативной системе ПД, а еще уничтожаются материальные носители персональных данных.

Какие есть способы?

Уничтожения документов, содержащих ПД, происходит следующими методами:

• сожжение;
• дробление;
• химическое разложение;
• превращение в бесформенную массу или порошок. .

Общий порядок действий с документами содержащими ПД

ПД хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению. Для этого существует следующий порядок действий:

1. Носители, в которых содержится персональная информация, подлежат уничтожению, согласно утверждённому приказу руководителя организации. Занимается уничтожением специальная комиссия.
2. Распространители, содержащие ПД, удаляются в срок, который не превышает 30 дней с момента достижения цели обработки личных данных или утраты необходимости в их достижении.
3. Комиссия выполняет отбор машинопечатных и бумажных носителей ПД, которые подлежат удалению.
4. На отобранные к уничтожению распространители составляется акт. В акте исправления не допускаются.
5. Комиссия выполняет проверку всех носителей, занесенных в акт.
6. По окончании сверки в акт подписывают всех членом комиссии, а затем его утверждает руководитель организации.
7. Распространители ПД, подлежащие удалению и включённые акт, после сверки комиссией складывают в нужное место и опечатывают.
8. Персональные данные могут быть уничтожены любым способом, который не позволит провести их дальнейшую обработку.

Оформление сопровождения процедуры

Удаление носителей, содержащих личные данные, происходит под контролем специальной Комиссии. Она создаётся приказом руководителя организации. Во время манипуляции составляется акт об уничтожении ПД. После составления акта в течение 3-х дней направляются на утверждение руководителю организации.

  Аккредитив что это простым языком, виды, схема расчетов

Внимание! После его утверждения хранится акт в сейфе у руководителя соответствующего подразделения.

Факт удаления носителя с персональными данными заносится в «Журнал регистрации носителей информации, содержащих ПД и иную конфиденциальную информацию», где в графе «Дата и номер акта уничтожения» вносятся соответствующие данные. Этот журнал является конфиденциальной документацией и вместе с актами уничтожения его хранят в сейфе

Сроки уничтожения информации в зависимости от причины

Вместе с порядком уничтожения личных сведений, в ст. 21 закона 152-ФЗ указаны сроки для произведения таких действий:

• Незаконное использование или правонарушение в отношении личных ведомостей. 3 дня на устранение противоправных действий, в случае неудовлетворительного результата – 10 дней для удаления (п.3).
• Достижение цели обработки – 30 дней со дня установления данного факта (п.4).
• Заявление с отказом на дальнейшую обработку сведений от субъекта – 30 дней с даты принятия отзыва (п.5).

В п.6 ст.21 закона 152-ФЗ прописано, что если оператор не в состоянии провести удаление сведений в вышеуказанные сроки, то вся информация блокируются и подлежат удалению в 6-месячный срок.

Акт об удалении

Об удалении носителей комиссия составляет и подписывает соответствующий акт. Его отправляют на утверждение руководителю организации. В акте указываются следующие сведения:

• дату, место и время уничтожения персональных данных;
• должности, фамилии, инициалы членов комиссии;
• вид и количество уничтожаемых носителей, содержащих персональные данные физических лиц;
• основание удаления персональных данных;
• способ уничтожения.

Скачать бланк акта об удалении (уничтожении) персональных данных

Как блокировать и уничтожить информацию на различных носителях?

Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора. Субъектом, уполномоченным проводить такие действия (администратором), может быть:

• ответственный за обработку сотрудник, который наделен такими полномочиями по должностной инструкции;
• комиссия, состав и порядок работы которой утвержден приказом компании-оператора.

Исходя из формулировки понятия уничтожения ведомостей в законе, можно выделить два вида удаления:

• уничтожение сведений с невозможностью их восстановить;
• удаление носителя.

Поскольку законодательно не определены требования для уничтожения информации, оператор самостоятельно разбирается с ликвидацией личных сведений.

На рыке работает множество компаний, готовых предоставить соответствующие услуги в разных вариациях.

На бумаге

Если хранение личных сведений производится на бумажном носителе, то операторы используют такие способы уничтожения:

• шредирование — измельчение на специальном приборе или гидрообработка;
• также можно прибегнуть к методу в виде термической обработки (сожжение бумаг).

Перед использованием шредера оператор вправе выбрать одну из пяти степеней конфиденциальности. Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.

На электронных носителях

Различают несколько разновидностей электронных носителей, среди них:

• дискеты и zip-диски;
• CD и DVD диски;
• винчестеры;
• жесткие диски и пр.

Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.

Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).

Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:

• механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
• химически – помещение объекта в агрессивную среду;
• термически – поджег, переплав.

Применение таких способов сводит возможность считывания файлов с носителей к нулю.

Удаление из баз удаленных хранилищ

Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта. Удаление ведомостей из баз регулируется нормами разработчиков системы.

Для этого пользователь должен ознакомиться с правилами пользования дистанционными накопителями.

Обычно разработчики создают удобное руководство по пользованию, в том числе очищению баз от неиспользуемых файлов.

  Что такое аккредитив простыми словами

Другой способ уничтожить данные из хранилища – удалить само облако.

Как удалить из различных носителей: пошаговая инструкция

Из Интернета

В зависимости от типа носителя, существует свой способ удаления ПД из интернета:

Источник: https://urxpert.info/pravovaya-pomoshh/kak-proishodit-protsess-unichtozheniya-personalnyh-dannyh-poryadok-unichtozheniya-personalnyh-dannyh.html

Персональные данные: уничтожение персональных данных

При использовании персональных данных уничтожение персональных данных осуществляют в указанных законом случаях. Читайте в статье об основаниях, сроках и порядке уничтожения.

Если компания обрабатывает персональные данные своих работников и клиентов, она относится к операторам таких данных. Закон устанаваливает ряд обязанностей оператора в отношении:

• сбора данных,
• использования,
• хранения,
• защиты и т. д

В обязанности операторов персональных данных уничтожение персональных данных входит наряду с соблюдением правил сбора, обработки и хранения.

42 полезных документа для юриста компании

• Скачайте и упростите свою работу

Уничтожение персональных данных — это действия, в результате которых сведения указанного характера перестают быть доступны и их невозможно восстановить (п. 8 ст. 3 Федерального закона от 27.07.

2006 № 152-ФЗ). Нередко при уничтожении персональных данных уничтожение данных происходит вместе с документом, которых их содержал.

В законе есть прямое указание, что при необходимости компания ликвидирует материальные носители, которые содержали указанные сведения.

Когда компания решает вопрос об уничтожении персональных данных, уничтожение производят в четырех случаях:

1. Владелец данных потребовал их ликвидировать (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ). Например, обнаружил их неполноту, недостоверность или узнал, что компания не вправе использовать его данные.
2. Компания выявила, что данные обрабатываются неправомерно (ч. 3 ст. 21 закона № 152-ФЗ). Например, когда ее сотрудник запросил у клиента информацию, которая не соответствует целям обработки.
3. Компания достигла цели, для которой собирала и использовала данные (ч. 4 ст. 21 закона № 152-ФЗ). Например, с клиентом компании расторгают договор.
4. Владелец данных отозвал согласие на обработку информации о себе (ч. 5 ст. 21 закона № 152-ФЗ). Например, увольняется работник, который предоставлял компании персональные сведения.

Для случаев ч. 4 и 5 ст. 21 закона № 152-ФЗ есть два исключения, при которых уничтожение персональных данных можно не проводить:

1. Если иное условие присутствуе в договоре между компанией и субъектом данных.
2. Если компания на законных основаниях вправе обрабатывать данные без согласия субъекта.

Компании нужно соблюдать порядок уничтожения персональных данных

Процедура уничтожения документов, содержащих персональные данные, не зависит от причины ликвидации информации. В порядок уничтожения персональных данных входит:

1. Формирование комиссии по ликвидации данных. Комиссию создают на основании приказа руководителя компании. Как правило, в комиссии участвуют сам руководитель, начальник кадровой службы, секретарь организации, а также главный бухгалтер. По необходимости компания привлекает в комиссию других сотрудников, например, руководителя отдела по работе с клиентами. Приказ составляют в свободной форме. В документе перечисляют, что именно в ходит в функции комисии (определить, какие персональные данные подлежат уничтожению и т. п.)
2. Непосредственное уничтожение соответствующей информации без возможности восстановления.
3. Издание акта уничтожения персональных данных. Документ также утверждает руководитель компании. Акт составляют в свободной форме.

Срок уничтожения персональных данных зависит от причины уничтожения

Когда появляется основание ликвидировать информацию, необходимо соблюдать сроки уничтожения персональных данных. Они зависят от основания ликвидации:

1. Если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
2. Если компания самостоятельно выявила нарушения в использовании информации, срок уничтожения персональных данных — 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ).
3. Когда компания достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).
4. Если владелец данных отказался от дальнейшей обработки и отозвал согласие, компании нужно ликвидировать информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).

Если при необходимости ликвидировать персональные данные уничтожение персональных данных не осуществят, компания понесет ответственность в соответствии с положениями закона № 152-ФЗ и ст. 13.11 КоАП РФ.

Источник: https://www.law.ru/article/21816-unichtojenie-personalnyh-dannyh