Уничтожение персональных данных

>Как происходит процесс уничтожения персональных данных?

Из Интернета Из бумажного Из электронного

Содержание

Что это такое?

Уничтожение персональных данных – это мероприятия, при выполнении которых становится невозможным восстановить содержание личных данных в информативной системе ПД, а еще уничтожаются материальные носители персональных данных.

Какие есть способы?

Уничтожения документов, содержащих ПД, происходит следующими методами:

  • сожжение;
  • дробление;
  • химическое разложение;
  • превращение в бесформенную массу или порошок. .

Общий порядок действий с документами содержащими ПД

ПД хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению. Для этого существует следующий порядок действий:

  1. Носители, в которых содержится персональная информация, подлежат уничтожению, согласно утверждённому приказу руководителя организации. Занимается уничтожением специальная комиссия.
  2. Распространители, содержащие ПД, удаляются в срок, который не превышает 30 дней с момента достижения цели обработки личных данных или утраты необходимости в их достижении.
  3. Комиссия выполняет отбор машинопечатных и бумажных носителей ПД, которые подлежат удалению.
  4. На отобранные к уничтожению распространители составляется акт. В акте исправления не допускаются.
  5. Комиссия выполняет проверку всех носителей, занесенных в акт.
  6. По окончании сверки в акт подписывают всех членом комиссии, а затем его утверждает руководитель организации.
  7. Распространители ПД, подлежащие удалению и включённые акт, после сверки комиссией складывают в нужное место и опечатывают.
  8. Персональные данные могут быть уничтожены любым способом, который не позволит провести их дальнейшую обработку.

Оформление сопровождения процедуры

Удаление носителей, содержащих личные данные, происходит под контролем специальной Комиссии. Она создаётся приказом руководителя организации. Во время манипуляции составляется акт об уничтожении ПД. После составления акта в течение 3-х дней направляются на утверждение руководителю организации.

Внимание! После его утверждения хранится акт в сейфе у руководителя соответствующего подразделения.

Факт удаления носителя с персональными данными заносится в «Журнал регистрации носителей информации, содержащих ПД и иную конфиденциальную информацию», где в графе «Дата и номер акта уничтожения» вносятся соответствующие данные. Этот журнал является конфиденциальной документацией и вместе с актами уничтожения его хранят в сейфе

Акт об удалении

Об удалении носителей комиссия составляет и подписывает соответствующий акт. Его отправляют на утверждение руководителю организации. В акте указываются следующие сведения:

  • дату, место и время уничтожения персональных данных;
  • должности, фамилии, инициалы членов комиссии;
  • вид и количество уничтожаемых носителей, содержащих персональные данные физических лиц;
  • основание удаления персональных данных;
  • способ уничтожения.

Скачать бланк акта об удалении (уничтожении) персональных данных

Как удалить из различных носителей: пошаговая инструкция

Из Интернета

В зависимости от типа носителя, существует свой способ удаления ПД из интернета:

  1. Google.

    Необходимо зайти на страницу с настройками и нажать «закрыть аккаунт и удалить все службы и сведения, связанные с ним». Этот шаг считается самым радикальным, но при этом действенным, на случай, если вы желаете навсегда удалить следы своего нахождения в сети.

  2. Вконтакте.

    Зайти на страницу личных настроек, «промотать» до конца и нажать на ссылку «удалить свою страницу». Теперь нужно указать причину такого решения и написать последнее сообщение бывшим друзьям. Но это делается пожеланию. Можно просто удалить страницу и все данные, без каких-либо объяснений.

  3. Facebook.

    Удаление личных данных из этой социальной сети происходит немного сложнее. Так как эта компания не собирается хранить ПД в течение нескольких лет, а разгребать запросы на составления у них нет времени, так что перед стиранием аккаунта желательно сохранить его копию. Для этого предстоит перейти на страницу с настройками и внизу из перечня общих настроем выбрать «Загрузить копию».

    После этого вы можете скачать единым архивом фото, лайки, историю переписок и список друзей. Сюда же входит техническая информация по IP входа и coockies. Теперь через поисковую систему нужно отыскать «удаление аккаунта». Удаленные сведения будут находиться на хранении в «резерве» от 1 до 3-х месяцев.

    По истечении этого времени все данные будут утрачены безвозвратно. Но есть другой, менее «кровавый» методу. Для этого выбрать в настройках аккаунта пункт «Безопасность», а затем кликните «Деактиворовать аккаунт».Эта операция позволит скрыть всю вашу персональную информацию, включая «список друзей»,

Из бумажного

Когда срок хранения документации подошёл к концу, то удаление происходит методом измельчения на мелкие части или же другим способом, исключающим возможность дальнейшего восстановления информации. Бумажные носители могут сжигаться.

Из электронного

По завершении указанных сроков хранения машинные носители ПД, подлежащие уничтожению, физически удаляются с целью невозможности восстановления и последующего использования. Достичь это можно путем деформирования, нарушения единой целостности носителя и его сжигания. Файлы, подлежащие уничтожению и находящиеся на жёстком диске компьютера, удаляют средствами операционной системы с дальнейшим очищением корзины.

Удаление личных данных – это процедура уничтожения с невозможностью дальнейшего использования и обработки. Способ уничтожения зависит от того, какой тип носителя был использован для хранения ПД. Все манипуляции, совершаемые специальной комиссией, должны быть вписаны в соответствующий акт.

Как правильно уничтожить персональные данные работника

Зачем нужно уничтожение персональных данных

Персональными данными считается личная информация: фамилия, имя и отчество (вместе или по отдельности), дата рождения, адрес проживания, номера страховых полисов и счетов в банках.

Тот, кто собирает и обрабатывает эту информацию, будь то государственный или муниципальный орган, физическое или юрлицо, называется оператором.

Обработкой персональных данных (ПД) принято считать любое действие с ними: сбор, запись, систематизацию, хранение или накопление, а также распространение и уничтожение.

Под уничтожением документов, содержащих персональные данные, подразумевают или уничтожение самого носителя информации, или такие действия, после которых невозможно восстановление содержания персональных данных (например, многократная перезапись или форматирование жесткого диска).

Основной законодательный акт для работы с персональными данными — это Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006. С подробным списком актов, регулирующих эту сферу, можно ознакомиться .

Читайте еще: как защитить персональные данные.

Причины уничтожения персональных данных

Уничтожение ПД производится в следующих случаях:

  • ПД обработали неправомерно и компания не может исправить это (ч. 3 ст. 21 закона No 152-ФЗ);
  • достигнуты цели, ради которых компания собирала и обрабатывала данные (ч. 4 ст. 21 закона № 152-ФЗ);
  • владелец данных требует ликвидировать их (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ);
  • владелец данных отзывает согласие на обработку данных (ч. 5 ст. 21 закона № 152-ФЗ).

Оператор может продолжить обработку ПД в двух случаях:

  • в договоре между компанией и клиентом есть специально оговоренный пункт;
  • у компании есть для этого законные основания.

Важно! По требованию субъекта данных оператор обязан уничтожить ПД в течение семи рабочих дней. В случае неправомерной обработки ПД, выявленной самим оператором, он обязан уничтожить персональные данные в течение 10 дней. Во всех остальных случаях — в течение 30 дней.

Если такой возможности у оператора нет, то он обязан блокировать их и уничтожить в течение полугода.

Читайте еще: согласие на обработку персональных данных.

Порядок уничтожения персональных данных работника

Неважно, почему уничтожается информация, процедура одинакова:

  • создание комиссии;
  • составление приказа и протокола;
  • уничтожение персональных данных;
  • составление акта об уничтожении ПД.

Остановимся подробнее на каждом пункте.

Формирование экспертной комиссии

Приказ о создании комиссии по ликвидации данных издает руководитель компании, он составляется в свободной форме. Чаще всего в нее входят: сам руководитель, секретарь, начальник отдела кадров и главбух. При необходимости, в комиссию могут войти другие сотрудники, например руководители соответствующих подразделений.

В приказе указывается состав комиссии, цель создания, сроки работы и другие важные для компании сведения.

Читайте еще: разглашение ПД.

Составление приказа и протокола об уничтожении персональных данных

Задача экспертной комиссии отобрать документацию, подлежащую уничтожению. Сначала оформляется приказ об отборе бумаг, а затем составляется протокол по факту отбора. Единого бланка протокола нет. Но в протоколе должно быть указано следующее:

  • дата, место проведения;
  • Ф.И.О., должности членов комиссии;
  • повестка дня;
  • краткое содержание каждого выступления;
  • принятые решения;
  • подписи председателя и секретаря.

Можно составлять все документы самостоятельно, а можно привлекать специалистов на аутсорсе.

Читайте еще: обезличивание персональных данных.

Процедура уничтожения ПД зависит от того, на каком носителе их хранили. Выделяют два типа носителей информации: бумажные и электронные.

Бумажные носители, как правило, пропускают через шредер, имеющий пять степеней измельчения. Для полного уничтожения и невозможности восстановления затем их могут подвергнуть еще и гидрообработке или сжиганию. Но, как правило, это делается на специализированных предприятиях по утилизации.

С электронными носителями дело обстоит немного сложнее. До сих пор среди программистов нет единого мнения, каков должен быть порядок уничтожения персональных данных, чтобы их невозможно было восстановить.

Самое надежное — уничтожение носителя. Разбить молотком или размагнитить жесткий диск, что может быть проще. Но иногда носитель нужно оставить, как быть тогда?

С жесткого диска HDD информацию убирают путем полного форматирования. Программисты рекомендуют также пользоваться утилитами для уничтожения данных, и лучше так называемыми OpenSource-утилитами. Иначе возможно, что информацию на диске программа не уничтожит, а зашифрует. Тогда при помощи дешифровки ее можно будет восстановить.

Если же носитель информации диск SSD, то для гарантии полного и быстрого уничтожения информации годится только физическое уничтожение диска, а точнее, его микросхем. Если диск отформатировать, то — в силу особенности дисков SSD — полное уничтожение данных будет происходить еще в течение некоторого времени, и когда это произойдет, точно никто не скажет.

Составление акта об уничтожении персональных данных

После уничтожения остается только составить соответствующий акт. Помимо общих данных об организации и членах комиссии, там необходимо указать перечень бумаг, передаваемых на уничтожение, и способ их уничтожения.

Читайте также о том когда нужно уведомлять Роскомнадзор об обработке ПД

Для новостей малого бизнеса мы запустили специальный канал в Telegram и группы во Вконтакте, Фейсбуке и Одноклассниках. Присоединяйтесь! Даже Твиттер есть.

Работодатель ведет электронную базу работников, содержит сведения, предусмотренные в карточке по форме N Т-2. После увольнения сотрудника имеет ли право работодатель производить обработку персональных данных работников в автоматизированной системе? Возможно ли хранить документы, содержащие персональные данные работников, в электронной форме в целях выполнения требований законодательства об архивном деле?

27 апреля 2018

Статья 86 ТК РФ предоставляет работодателю право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными. Под обработкой персональных данных понимаются в том числе хранение и уничтожение персональных данных. Уничтожением персональных данных признаются в том числе действия, в результате которых уничтожаются материальные носители персональных данных.
В соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться только в установленных данной статьей случаях. Одним из таких случаев является получение от субъекта персональных данных согласия на их обработку (п. 1 ч. 1 указанной статьи). Буквальное толкование данной нормы позволяет заключить, что в иных случаях получение согласия на обработку персональных данных не требуется. В частности, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Таким образом, если работодатель получает от работника, хранит лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.
Одним из принципов обработки персональных данных является ограничение их обработки достижением конкретных, заранее определенных и законных целей и недопустимость обработки персональных данных, несовместимой с целями их сбора. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч.ч. 2, 5 ст. 5 Закона N 152-ФЗ). Согласно ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. По смыслу разъяснений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» конкретным и информированным является такое согласие субъекта персональных данных, которое содержит информацию, позволяющую однозначно сделать вывод не только об объеме обрабатываемых персональных данных и способах обработки с указанием действий, совершаемых с персональными данными, но и информацию о целях обработки таких данных.
По общему правилу, установленному ч. 7 ст. 5 Закона N 152-ФЗ, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
В силу ч. 4 ст. 21 Закона N 152-ФЗ в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом N 152-ФЗ или другими федеральными законами.
Вместе с тем обращаем Ваше внимание на то, что в силу п. 2 ч. 2 ст. 1 Закона N 152-ФЗ действие указанного закона не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
Приказом Министерства культуры РФ от 25.08.2010 N 558 (далее — Приказ N 558), принятым во исполнение ч. 3 ст. 6 Федерального закона от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации» (далее — Закон N 125-ФЗ), определены сроки хранения типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, в том числе кадровых документов, содержащих персональные данные работников. Таким образом, указанные документы должны храниться в соответствии с данными требованиями.
В частности, из п. 658 Перечня типовых управленческих архивных документов , утвержденного Приказом N 558, следует, что личные карточки работников подлежат хранению в течение 75 лет. Однако Приказ N 558 не содержит норм, которые регламентировали бы форму хранения указанных карточек.
Вместе с тем из ст. 24 Закона N 125-ФЗ следует, что архивные документы могут предоставляться пользователям в том числе в виде электронных документов.
Правила организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях, утвержденные приказом Министерства культуры РФ от 31.03.2015 N 526, также предусматривают возможность хранения и предоставления архивных документов в электронной форме при соблюдении ряда требований (п.п. 2.30-2.33, 2.39-2.40, 2.47, 3.4, 4.31, 4.34, 5.7 и другие нормы этих Правил).
Таким образом, возможность хранения персональных данных, содержащихся в личной карточке работника формы N Т-2, в виде электронного документа напрямую предусмотрена действующим законодательством.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

Работник отзывает согласие по обработке персональных данных. Может ли он продолжать работать и возможно ли его уволить?

15 апреля 2019

Рассмотрев вопрос, мы пришли к следующему выводу:
Отзыв работником согласия на обработку персональных данных не может служить основанием для отстранения его от работы или увольнения.

Обоснование вывода:
В соответствии со ст. 86 Трудового кодекса РФ (далее — ТК РФ) работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться только в установленных данной статьей случаях. Одним из таких случаев является получение от субъекта персональных данных согласия на их обработку (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ). Буквальное толкование данной нормы позволяет заключить, что в иных случаях получение согласия на обработку персональных данных не требуется. В частности, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Таким образом, если работодатель получает от работника, хранит лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется (смотрите апелляционное определение СК по гражданским делам Оренбургского областного суда от 21.06.2017 по делу N 33-4566/2017).
Стоит отметить, что ч. 2 ст. 9 Закона N 152-ФЗ предусмотрено право субъекта персональных данных отозвать свое согласие на их обработку. Согласно ч. 5, ч. 6 ст. 21 Закона N 152-ФЗ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и уничтожить их, если их сохранение более не требуется для целей обработки персональных данных.
При этом ч. 2 ст. 9 Закона N 152-ФЗ специально оговаривает, что оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных в случае отзыва им согласия на их обработку при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 данного закона. К таковым относятся случаи обработки персональных данных без согласия работника.
Таким образом, поскольку работодатель осуществляет обработку персональных данных только своих работников, отношения с которыми основаны на трудовом договоре, согласие работников на обработку работодателем персональных данных в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ не является обязательным.
На этом основании мы полагаем, что работодатель вправе осуществлять обработку персональных данных работников без их согласия, но только если объем обрабатываемых данных не выходит за установленные нормативными актами перечни необходимых сведений, а также соответствует целям обработки, предусмотренным трудовым законодательством. Аналогичные выводы содержатся в разъяснениях Роскомнадзора (смотрите также ответ 1 специалистов Роструда с портала «Онлайнинспекция.РФ»).
Следовательно, в случае, если работник отзовет согласие на обработку персональных данных, работодатель вправе продолжить обрабатывать персональные данные работника без его согласия при наличии оснований, перечисленных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона N 152-ФЗ. Оснований для отстранения такого работника от работы или расторжения с ним трудового договора не возникает. Данная позиция находит свое подтверждение и в правоприменительной практике, среди специалистов Роструда (смотрите ответ 2, ответ 3, ответ 4 с информационного портала «Онлайнинспекция.РФ»).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Бездеткина Дарья

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Золотых Максим

>Что делать, если поступило заявление на отзыв согласия на обработку персональных данных?

Вопрос

В нашей организации согласие на обработку персональных данных прописывается непосредственно в трудовом договоре, при приеме на работу. На днях, от работника проработавшего в организации более пяти лет. Поступило заявление на отзыв согласия на обработку персональных данных. Это безусловно законное право работника. Интересует: как правильно оформить ответ на данное заявление и в какие сроки мы, как работодатель, обязаны произвести необходимые манипуляции по удалению автоматизированной системы персонального учета? Есть ли какие — то установленные законодательством сроки и формы документов по? Заранее благодарю! С уважением, анастасия л.

Ответ

Ответ на вопрос:

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные — это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу. К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие или осуществляющие обработку таких данных, а также определяющие цели и содержание обработки (п. 2 ст. 3 Закона № 152-ФЗ).

Понятие «обработка персональных данных» включает в себя весь спектр действий (операций) с персональными данными, в том числе: их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение.

Подробнее о согласии на обработку персональных данных читайте здесь:

  • Как получить согласие сотрудника на обработку его персональных данных
  • Нужно ли получать у работника согласие на обработку персональных данных при трудоустройстве

Следовательно, в силу Закона № 152-ФЗ как только в распоряжении организации появляются данные любого лица, эта организация становится оператором персональных данных и обязана обеспечить их защиту. Обработка таких данных осуществляется только с письменного согласия сотрудников.

Однако, в отдельных случаях обработка персональных данных возможна и без согласия сотрудника.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговые органы (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Таким образом, можно сказать, что в соответствии с законодательством, в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления, и выполнения возложенных законодательством России на оператора функций, брать согласие с сотрудника на обработку персональных данных не нужно.Исключение составляет предоставление персональных данных третьим лицам. При этом, организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу, так как согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Также отметим, что сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следовательно, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

Таким образом, на ваш вопрос, можно ответить, что в связи с тем, что условие о согласии на обработку персональных данных было включено в трудовой договор, то вам необходимо в первую очередь заключить с работником дополнительное соглашение к трудовому договору и исключить данное условие из него. При этом, в данном соглашение можно также указать, что после подписания этого соглашения работодатель обязуется в такой-то срок удалить из таких-то ресурсов персональные данные (укажите конкретно какие) и обязуется не использовать эти данные в рекламе деятельности компании.

Что касается сроков, то в соответствии с п.5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператора обязан прекратить обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, т.е. если работник не указал конкретных сроков в заявлении, то вы обязаны провести все процедуры в срок не превышающий 30 дней.

Далее, данные работника нужно удалить с сайта компании, рекламных материалов и т.д. перечисленных в дополнительном соглашении.

В рамках трудовых отношений, а также в целях пенсионного, социального, медицинского страхования, исчисления и уплаты налогов Вы продолжаете использовать персональные данные работника уже без его согласия.

Подробности в материалах Системы:

  1. Ответ: Как организовать обработку персональных данных сотрудников

Персональные данные сотрудников

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и статье 10 Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных осуществляется только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Ситуация:Можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены частью 1 статьи 88 Трудового кодекса РФ.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако пунктом 1 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в пункте 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Об этом сказано в статье 6 Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговые органы (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 г. № 323-ФЗ, Законом от 9 февраля 2009 г. № 8-ФЗ и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в

Акт уничтожения персональных данных на бумажных носителях

Если компания больше не нуждается в информации о своих сотрудниках или клиентах, то она обязана уничтожить носители с персональными данными этих лиц. Это нужно сделать, чтобы информация не попала к злоумышленникам. Уничтожение должно сопровождаться работой специально созданной комиссии, а также составлением и подписанием соответствующего акта. Как правильно его оформить, читайте в статье.

ФАЙЛЫ
Скачать пустой бланк акта уничтожения персональных данных на бумажных носителях .docСкачать образец акта уничтожения персональных данных на бумажных носителях .doc

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Порядок уничтожения персональных данных

Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:

  1. В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
  2. Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
  3. Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
  4. Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.

Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.

Способы уничтожения

Информация на уничтожаемых носителях не должна быть подвержена восстановлению. В случае с бумажными носителями используют такие способы уничтожения, как измельчение (ножницами или с помощью шредера), сжигание, гидрообработка. При данной обработке носители будут невосстановимы.

За результативность процесса несут ответственность члены специально созданной комиссии в компании.

Составляем акт уничтожения персональных данных на бумажных носителях

Акт можно написать от руки или набрать на компьютере и впоследствии распечатать и подписать. Желательно брать «фирменный бланк» компании с ее реквизитами.

Итак, в шапке документа должны быть:

  1. Наименование оператора персональных данных. Это название организации.
  2. Отметка руководителя об утверждении акта. Здесь должны быть указаны дата подписания, должность и подпись с расшифровкой. Блок заполняется в последнюю очередь.
  3. Наименование документа.
  4. Место составления.
  5. Дата составления.

Далее начинается основная часть, где указывают следующее:

  1. Состав комиссии. Пишут должности и ФИО членов комиссии и председателя.
  2. На основании какого документа действует комиссия (приказ, распоряжение). Чаще всего это приказ.
  3. Ссылку на закон о персональных данных — ФЗ №152 от 27.07.2006 г.
  4. Дату уничтожения.
  5. Тип носителей.
  6. Список уничтоженных документов. Его можно оформить в виде таблицы с следующими графами: порядковый номер, номер и наименование носителя, примечание или пояснение.
  7. Каким путем было проведено уничтожение данных.
  8. Основание для проведения процедуры уничтожения.

Завершают документ подписи председателя и членов комиссии. После подписания акт передают руководителю для утверждения. Он ставит свою подпись в соответствующей графе на бланке.

В идеале в документе не должно быть ошибок (орфографических, грамматических и любых других). Если вдруг была обнаружена фактическая ошибка, то ее, конечно, нужно исправить, используя стандартный порядок исправления и завизировав внесенные коррективы. При большом количестве ошибок лучше взять новый бланк, заполнить его, а старый документ уничтожить.

Уничтожение персональных данных

Из представленной статьи вы узнаете:

  • в каких случаях необходимо уничтожить персональных данных;
  • каков порядок уничтожения персональных данных;
  • когда должно происходить уничтожение персональных данных;
  • как уничтожаются персональные данные;
  • образец акта об уничтожении персональных данных.

В каких случаях необходимо уничтожить персональных данных?

Уничтожать персональные данные одна из сторон сотрудничества должна в том случае, когда в текущей информации она уже не нуждается. Такие ситуации возникают, когда, к примеру, компании перестают предоставлять определенные услуги своим клиентам или увольняется кто-либо из сотрудников учреждения. В обязанности руководителя организации входит забота о том, чтобы персональные данные лиц, с которыми ранее он сотрудничал, не могли быть использованы в корыстных целях.

Все оригиналы ранее принятых в использование документов отдаются гражданину на руки, а копии (бумажные и цифровые) удаляются после определенного срока хранения.

Порядок уничтожения персональных данных должен соответствовать установленным законом правилам и порядкам:

  • после процесса уничтожения информация не должна иметь возможность быть восстановленной;
  • содержать документальное сопровождение, подтверждающее право на уничтожение;
  • процесс должен проводиться специальной комиссией, созданной как раз для подобных случаев;
  • под уничтожение не должны попадать источники с актуальной информацией, которую еще предполагается использовать в работе;
  • после завершения процедуры создается специальный нормативный акт, подписываемый членами комиссии и руководителем предприятия.

Уничтожение персональных данных начинается с выпуска специального акта, подписываемого обеими сторонами сотрудничества. Данная процедура проводится в помещении при надзоре специальной комиссии, в чьи права подпадает осуществление контроля за правильностью уничтожения. Когда ликвидация данных проведена, комиссия издает специальный акт, выдаваемый на подписание директору компании.

Узнайте о персональных данных: образце согласия на обработку персональных данных

Когда должно происходить уничтожение персональных данных?

Согласно Положению о порядке уничтожения персональных данных, утвержденном Федеральным Законом № 149 от 27.07.2006г., процесс уничтожения персональной информации должен проводиться не позднее 30-дневного срока после того, как актуальность данных сведения утратила свою полезность. При этом специальная комиссия утверждает перечень подлежащей ликвидации документации соответствующим актом. Исправления в акте не допустимы, но если имеется необходимость уточнить какие-либо пункты, то необходимо составить дополнение, где и будут прописаны уточняющие факты.

Как уничтожаются персональные данные?

Если информация присутствует на бумажном носителе, то допускается уничтожать ее посредством сжигания или размельчения на мелкие частицы. При этом необходимо помнить, что части не должны подлежать восстановлению, за что несут ответственность члены специально составленной комиссии.

Если персональные данные располагаются на машиночитаемом носителе, то файлам необходимо так же нанести непоправимый вред, что позволит минимизировать возможность их восстановления. Такой результат можно достичь путем сжигания или деформирования носителя с последующей его полной ликвидацией.

Персональные сведения клиентов, подчиненных или деловых партнеров, располагаемые на компьютерных носителях, удаляются путем проведения специальных процедур в операционной системе (удаление не в корзину, а полное – с жесткого диска).

Образец акта об уничтожении персональных данных

После того, как комиссией и ответственными сотрудниками была проведена соответствующая процедура, составляется специальный акт, регламентирующий правильность совершенной операции ликвидации сведений. Документ отправляется на утверждение непосредственному руководителю организации с обязательным указанием следующей информации:

  • когда было проведено уничтожение;
  • кто несет ответственность за верность процедуры;
  • количество и виды уничтоженных носителей;
  • каково было основание для уничтожения;
  • какой применялся способ.

Руководитель организации вправе провести самостоятельную оценку результатов ликвидации источников информации и в тех случаях, когда он посчитает нужным, допускается провести дополнительные процедуры по затиранию или сжиганию персональных данных.

Возможно, эта статья содержит оригинальное исследование. Добавьте , в противном случае она может быть выставлена на удаление.
Дополнительные сведения могут быть на странице обсуждения. (14 января 2013)
Эта статья или раздел описывает ситуацию применительно лишь к одному региону, возможно, нарушая при этом правило о взвешенности изложения. Вы можете помочь Википедии, добавив информацию для других стран и регионов.

Уничтоже́ние персона́льных да́нных (согл. ФЗ № 152 «О персональных данных») — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Способы уничтожения персональных данных

  1. Физическое уничтожение носителя
  2. Уничтожение информации с носителя

Уничтожение материального носителя

  • Бумажный носитель. Используются 2 вида уничтожения: уничтожение через шредирование (измельчение и гидрообработка) и уничтожение через термическую обработку (сжигание). У шредеров есть различные степени секретности (от 1 до 5). Законодательно степень секретности, при уничтожении, как и сами процедуры не регламентируется.
  • Электронный носитель. Уничтожение заключается в таком воздействии на рабочие слои дисков, в результате, которого разрушается физическая, магнитная или химическая структура рабочего слоя. Примерами могут быть: механическое разрушение дисков (прессование, механическое эрозирование поверхности — пескоструй, ультразвуковое и электрохимическое эрозирование), химическое травление в агрессивных средах и обжиг или переплавка дисков. Съём данных с магнитных дисков, подвергшихся таким воздействиям, становится невозможным.

Уничтожение информации с носителя

Существует большое количество как программной, так и программно-аппаратной реализации процесса обеспечения уничтожения информации, представленной на магнитных носителях.

Ряд алгоритмов уничтожения информации, в том числе и персональных данных, основывается на многократной перезаписи в секторах магнитного диска. С физической точки зрения, они основываются на многократном перемагничивании материала записывающей поверхности диска.

Алгоритмы национальных стандартов предусматривают запись в каждый байт каждого сектора жесткого диска единиц, случайных чисел, а также чисел, дополнительных к записанным на предыдущем проходе. Предполагается несколько перезаписей для одного материального носителя.

Стандарты уничтожения данных

  • ГОСТ P50739-95;
  • DoD 5220.22-M; NAVSO P-5239-26 (RLL);
  • NAVSO P-5239-26 (MFM);
  • VSITR.
  • Уничтожение информации на магнитных носителях Журнал «Information Security/ Информационная безопасность» #6, 2007
  • Царев Евгений. Как уничтожать персональные данные?

См. также

  • Персональные данные
  • Защита персональных данных
  • Оператор персональных данных
  • Информационная безопасность
  • Алгоритмы уничтожения информации

Это заготовка статьи по информационной безопасности (защите информации). Вы можете помочь проекту, дополнив её.

Гражданин может дать разрешение на обработку личной информации при трудоустройстве или получении различных услуг. При этом субъект должен помнить о гарантиях сохранения ведомостей личного характера в неприкосновенности от несанкционированного доступа. В статье описаны случаи уничтожения персональных сведений, раскрыта процедура и сроки удаления, ответственность за несоблюдение законодательных норм.

Нормативная база

Вопрос регулирования отношений в сфере защиты персональных данных лиц происходит согласно со следующими нормами:

Специальный Федеральный закон от N 152-ФЗ 27.07.2006. Закон включает в себя главы с:

  • общими положениями;
  • правилами обработки;
  • правовым положением субъекта (лица, к которому относятся персональные данные) и оператора (компании, чтоб занимается обработкой) в сфере персональных данных;
  • государственным регулированием вопроса и ответственность за несоблюдение нормативных актов.

Глава 14 Трудового кодекса РФ, статьи 86-90. Здесь описаны:

  • требования к процедуре обработки личных сведений;
  • гарантии сохранения информации в секрете;
  • порядок хранения, использования, передачи объектов охраны закона 152-ФЗ;
  • ответственность за нарушения.

Статья 42 Федерального закона N 79-ФЗ от 27.07.2004 регулирует порядок ведения кадровой документации, содержащей личные данные о гражданском служащем.

Законные основания для уничтожения персональной информации

В законе 152-ФЗ прописано, что под уничтожением персональных данных подразумеваются действия, которые повлекут:

  • невозможность восстановить информацию о субъектах данных в системах хранения;
  • уничтожение материального носителя.

Согласно ст.21 закона 152-ФЗ выделяют три основания для ликвидации:

  1. Если с данными проводятся неправомерные действия.
  2. Если цель, поставленная для обработки сведений, была достигнута.
  3. Если пропала необходимость обработки сведений, например, если субъект отозвал заявление на такие действия.

При наступлении одного из этих случаев, оператор, в указанные законом сроки, обязывается уничтожить личный сведения субъекта, после чего уведомить последнего о проделанной работе.

Порядок уничтожения информации

Исходя из оснований, будут различаться процедуры удаления информации.

В первом случае, при неправомерном вмешательстве, используется такая схема:

  1. Изначально производится выявление факта нарушения. Юрист предприятия дает правовую оценку, если нарушение выявлено, сообщение направляется администратору.
  2. После этого в течение 10 дн. производятся попытки устранить опасность. Если угроза миновала, информация подлежит разблокировке. Если действия оказались безрезультатными в течение 3 дн., то сведения удаляются в десятидневный срок, о чем уведомляется субъект, к которому они относятся.

К неправомерным действиям с персональными сведениями относят любую обработку информации, которая производится без согласия субъекта, в виде:

  • сбора;
  • накопления;
  • систематизации;
  • удаления;
  • блокирования;
  • хранения;
  • изменения или обновления;
  • распространения;
  • обезличивания.

Так, например, если информация была передана третьему субъекту, то компания направляет письмо с прошением удалить сведения либо спросить разрешение на обработку файлов у владельца. Если контрагент согласен, то он уничтожает сведения и сообщает об этом владельцу. В противном случае администратор компании обязан в 10-дневный период уничтожить все файлы, а также уведомить субъекта.

Если цель обработки была достигнута, то действует следующий алгоритм (п.4 ст.21 закона 152-ФЗ):

  1. Фиксация момента достижения цели.
  2. В течение 30-дневного срока со дня выполнения задачи, администратор удаляет сведения.
  3. Параллельно готовится уведомление владельцу.
  4. После уничтожения информации, уведомление направляется субъекту.

Пункт о цели работы с личной информацией является существенным условием в письменном соглашении об обработке данных. В письменном заявлении на проведение операций с персональными сведениями субъект указывает:

  • ФИО, паспортные данные;
  • полное наименование и реквизиты оператора (организация, которая производит обработку);
  • цель;
  • список данных, которые подлежат обработке;
  • виды обработки, которые могут применяться к объектам предоставленного разрешения;
  • срок действия соглашения;
  • процедуру отказа от разрешения на работу с информацией.

Схема действий при отзыве заявки на обработку ведомостей (п.5 ст.21 закона 152-ФЗ):

  1. Субъект направляет письмо с отзывом.
  2. Компания принимает решение об удовлетворении или отклонении требований.
  3. В случае положительного ответа, в течение 30 дн. готовится уведомление об уничтожении файлов. В этот же период данные должны быть удалены.
  4. Администратор уведомляет субъекта о проведенной работе.

Отозвать разрешение можно частично, например, запретить обработку адреса, номера телефона. Или ограничить определенный вид использования, например, уточнение, обезличивание.

Оператор должен также организовать удаление ведомостей другими лицами, которые по поручению первого работали с данными.

Сроки уничтожения информации в зависимости от причины

Вместе с порядком уничтожения личных сведений, в ст. 21 закона 152-ФЗ указаны сроки для произведения таких действий:

  • Незаконное использование или правонарушение в отношении личных ведомостей. 3 дня на устранение противоправных действий, в случае неудовлетворительного результата – 10 дней для удаления (п.3).
  • Достижение цели обработки – 30 дней со дня установления данного факта (п.4).
  • Заявление с отказом на дальнейшую обработку сведений от субъекта – 30 дней с даты принятия отзыва (п.5).

В п.6 ст.21 закона 152-ФЗ прописано, что если оператор не в состоянии провести удаление сведений в вышеуказанные сроки, то вся информация блокируются и подлежат удалению в 6-месячный срок.

Как блокировать и уничтожить информацию на различных носителях?

Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора. Субъектом, уполномоченным проводить такие действия (администратором), может быть:

  • ответственный за обработку сотрудник, который наделен такими полномочиями по должностной инструкции;
  • комиссия, состав и порядок работы которой утвержден приказом компании-оператора.

Исходя из формулировки понятия уничтожения ведомостей в законе, можно выделить два вида удаления:

  • уничтожение сведений с невозможностью их восстановить;
  • удаление носителя.

Поскольку законодательно не определены требования для уничтожения информации, оператор самостоятельно разбирается с ликвидацией личных сведений.

На рыке работает множество компаний, готовых предоставить соответствующие услуги в разных вариациях.

На бумаге

Если хранение личных сведений производится на бумажном носителе, то операторы используют такие способы уничтожения:

  • шредирование — измельчение на специальном приборе или гидрообработка;
  • также можно прибегнуть к методу в виде термической обработки (сожжение бумаг).

Перед использованием шредера оператор вправе выбрать одну из пяти степеней конфиденциальности. Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.

На электронных носителях

Различают несколько разновидностей электронных носителей, среди них:

  • дискеты и zip-диски;
  • CD и DVD диски;
  • винчестеры;
  • жесткие диски и пр.

Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.

Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).

Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:

  • механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
  • химически – помещение объекта в агрессивную среду;
  • термически – поджег, переплав.

Применение таких способов сводит возможность считывания файлов с носителей к нулю.

Удаление из баз удаленных хранилищ

Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта. Удаление ведомостей из баз регулируется нормами разработчиков системы. Для этого пользователь должен ознакомиться с правилами пользования дистанционными накопителями. Обычно разработчики создают удобное руководство по пользованию, в том числе очищению баз от неиспользуемых файлов.

Другой способ уничтожить данные из хранилища – удалить само облако.

Документальное оформление

Исходя из вышеизложенных схем уничтожения персональных сведений, на разных основаниях в процессе удаления информации принимает участие юрист и администратор. Неуказанный в схемах участник – администратор безопасности. Это лицо, которое производит надзор над проводимыми действиями, следит за правильностью оформления процедуры.

После проведения процедуры составляется соответствующий акт. В нем должны содержаться такие данные:

  • наименование организации;
  • печать;
  • дата составления акта;
  • название документа;
  • перечень фактов, которые подлежат удалению;
  • вид носителя;
  • способ уничтожения.

Акт подписывается администратором — одним лицом или всеми членам комиссии, как прописано в локальных актах. Документ должен быть проверен юристом и администратором безопасности.

По результатам проверки также составляется уведомление об уничтожении персональных ведомостей для субъекта.

Документы для скачивания (бесплатно)

Нарушения порядка ликвидации ведомостей и ответственность за их совершение

За нарушение законодательства о персональной информации оператора ждет административная ответственность по пунктам 5 и 6 ст. 13.11 КоАП РФ:

  1. По п. 5 наказание наступает за несоблюдение сроков удаления и блокировки файлов. На нарушителя накладывается предупреждение, или штраф от 1000 до 2000 руб. для граждан, для должностных лиц – от 4000 до 10 000 руб., для ИП – от 10 000 до 20 000 руб., для юридических лиц – от 25 000 до 45 000 руб.
  2. По п. 6 – за неприменение средств автоматизации, которые обеспечивают сохранность сведений при хранении, если бездействие привело к незаконному использованию, если в составе нет уголовного преступления, на оператора накладывается штраф: на граждан – от 700 до 2000 руб., на должностных лиц – от 4000 до 10 000 руб., на ИП – от 10 000 до 20 000 руб., на юридических лиц – от 25 000 до 50 000 руб.

Действия, которые имеют уголовный характер, квалифицируются по ст. 137 УК РФ, как нарушение неприкосновенности частной жизни.

После отзыва разрешения на обработку персональных ведомостей, они подлежат уничтожению. О том, как составить подобный отказ расскажет автор ролика ниже.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *