Уничтожение персональных данных на бумажных носителях

Юридические советы

Содержание:

Ошибка 1. За обработку персональных данных отвечает кадровик

Назначьте компетентного сотрудника. Ответственному предстоит организовать обработку данных в масштабе организации. Кроме того, он должен напрямую подчиняться гендиректору (ч. 2 ст. 22.1 Федерального закона № 152-ФЗ, далее – Закон № 152-ФЗ). Поэтому в большинстве случаев назначить кадровика будет ошибкой. Это допустимо только в маленькой компании.

Назначать ответственным генерального директора чиновники Роскомнадзора не рекомендуют, так как вряд ли он будет непосредственно организовывать обработку персданных. Скорее всего, негласно перепоручит эти функции кому-то из подчиненных, что может привести к штрафу или путанице.

Наделите ответственного полномочиями. Предоставьте сотруднику информацию о том, какие персональные данные и какими способами обрабатывают в компании (ч. 3 ст. 22 Закона № 152-ФЗ). Дайте ему право контролировать обработку персданных. О назначении ответственного издайте приказ в произвольной форме. Подробно его полномочия пропишите в трудовом договоре или должностной инструкции (образец ниже).

Ошибка 2. Документы с персональными данными хранят на столах или стеллажах

Организуйте доступ работников к персональным данным. Утвердите приказом перечень лиц, которых допустили к обработке персональных данных. Это сотрудники, которые работают с личными данными работников, клиентов, абонентов и т. д. В приказе укажите, к каким данным имеет доступ конкретный работник (образец ниже).

В должностные инструкции или трудовые договоры сотрудников, допущенных к работе с личными данными, включите информацию о том, что они обрабатывают эти данные без использования средств автоматизации (образец ниже). Также укажите, какие категории персданных обрабатывают и какими правилами руководствуются. Как вариант, эти сведения пропишите в ЛНА и ознакомьте работников с ним под подпись. Если Роскомнадзор обнаружит, что сотрудников не проинформировали, то сочтет это нарушением.

Получите у сотрудников, которых допустили к обработке персональных данных, обязательство о неразглашении (образец ниже). Только в этом случае вы сможете привлечь работника к ответственности за утечку личных данных.

Ошибка 3. В компании хранят личные данные, которые нужно было уничтожить

Если персданные работника больше не нужны компании, информацию и ее носители уничтожают в 30-дневный срок (ч. 4 ст. 21 Закона № 152-ФЗ). Однако закон или договор часто устанавливает другой период хранения. Для документов по личному составу сроки хранения смотрите в Перечне, утвержденном приказом Минкультуры от 25.08.2010 № 558. Например, приказы о приеме и увольнении хранят 75 (50) лет. Поэтому, даже если работник уволился, документы нужно хранить в организации в течение установленного срока.

Создайте комиссию по уничтожению персданных. В ее состав входят председатель и как минимум еще два сотрудника. Также включайте в комиссию работника, ответственного за обработку документов, которые планируете уничтожить. Комиссия составляет перечень документов для уничтожения с учетом сроков их хранения.

Важные выводы

1. Назначьте ответственным за обработку персданных директора по персоналу, IT-директора или другого компетентного сотрудника, который напрямую подчиняется гендиректору.

2. Документы с персональными данными храните в сейфах, запираемых шкафах или помещениях. Перечень таких мест закрепите в приказе.

3. Уничтожьте персданные, которые больше не нужны. Но предварительно проверьте, что истекли сроки хранения.

Гражданин может дать разрешение на обработку личной информации при трудоустройстве или получении различных услуг. При этом субъект должен помнить о гарантиях сохранения ведомостей личного характера в неприкосновенности от несанкционированного доступа. В статье описаны случаи уничтожения персональных сведений, раскрыта процедура и сроки удаления, ответственность за несоблюдение законодательных норм.

Читайте также:  Больничный по уходу за больным родственником инвалидом

Нормативная база

Вопрос регулирования отношений в сфере защиты персональных данных лиц происходит согласно со следующими нормами:

Специальный Федеральный закон от N 152-ФЗ 27.07.2006. Закон включает в себя главы с:

  • общими положениями;
  • правилами обработки;
  • правовым положением субъекта (лица, к которому относятся персональные данные) и оператора (компании, чтоб занимается обработкой) в сфере персональных данных;
  • государственным регулированием вопроса и ответственность за несоблюдение нормативных актов.

Глава 14 Трудового кодекса РФ, статьи 86-90. Здесь описаны:

  • требования к процедуре обработки личных сведений;
  • гарантии сохранения информации в секрете;
  • порядок хранения, использования, передачи объектов охраны закона 152-ФЗ;
  • ответственность за нарушения.

Статья 42 Федерального закона N 79-ФЗ от 27.07.2004 регулирует порядок ведения кадровой документации, содержащей личные данные о гражданском служащем.

Законные основания для уничтожения персональной информации

В законе 152-ФЗ прописано, что под уничтожением персональных данных подразумеваются действия, которые повлекут:

  • невозможность восстановить информацию о субъектах данных в системах хранения;
  • уничтожение материального носителя.

Согласно ст.21 закона 152-ФЗ выделяют три основания для ликвидации:

  1. Если с данными проводятся неправомерные действия.
  2. Если цель, поставленная для обработки сведений, была достигнута.
  3. Если пропала необходимость обработки сведений, например, если субъект отозвал заявление на такие действия.

При наступлении одного из этих случаев, оператор, в указанные законом сроки, обязывается уничтожить личный сведения субъекта, после чего уведомить последнего о проделанной работе.

Порядок уничтожения информации

Исходя из оснований, будут различаться процедуры удаления информации.

В первом случае, при неправомерном вмешательстве, используется такая схема:

  1. Изначально производится выявление факта нарушения. Юрист предприятия дает правовую оценку, если нарушение выявлено, сообщение направляется администратору.
  2. После этого в течение 10 дн. производятся попытки устранить опасность. Если угроза миновала, информация подлежит разблокировке. Если действия оказались безрезультатными в течение 3 дн., то сведения удаляются в десятидневный срок, о чем уведомляется субъект, к которому они относятся.

К неправомерным действиям с персональными сведениями относят любую обработку информации, которая производится без согласия субъекта, в виде:

  • сбора;
  • накопления;
  • систематизации;
  • удаления;
  • блокирования;
  • хранения;
  • изменения или обновления;
  • распространения;
  • обезличивания.

Так, например, если информация была передана третьему субъекту, то компания направляет письмо с прошением удалить сведения либо спросить разрешение на обработку файлов у владельца. Если контрагент согласен, то он уничтожает сведения и сообщает об этом владельцу. В противном случае администратор компании обязан в 10-дневный период уничтожить все файлы, а также уведомить субъекта.

Если цель обработки была достигнута, то действует следующий алгоритм (п.4 ст.21 закона 152-ФЗ):

  1. Фиксация момента достижения цели.
  2. В течение 30-дневного срока со дня выполнения задачи, администратор удаляет сведения.
  3. Параллельно готовится уведомление владельцу.
  4. После уничтожения информации, уведомление направляется субъекту.

Пункт о цели работы с личной информацией является существенным условием в письменном соглашении об обработке данных. В письменном заявлении на проведение операций с персональными сведениями субъект указывает:

  • ФИО, паспортные данные;
  • полное наименование и реквизиты оператора (организация, которая производит обработку);
  • цель;
  • список данных, которые подлежат обработке;
  • виды обработки, которые могут применяться к объектам предоставленного разрешения;
  • срок действия соглашения;
  • процедуру отказа от разрешения на работу с информацией.

Схема действий при отзыве заявки на обработку ведомостей (п.5 ст.21 закона 152-ФЗ):

  1. Субъект направляет письмо с отзывом.
  2. Компания принимает решение об удовлетворении или отклонении требований.
  3. В случае положительного ответа, в течение 30 дн. готовится уведомление об уничтожении файлов. В этот же период данные должны быть удалены.
  4. Администратор уведомляет субъекта о проведенной работе.

Оператор должен также организовать удаление ведомостей другими лицами, которые по поручению первого работали с данными.

Сроки уничтожения информации в зависимости от причины

Вместе с порядком уничтожения личных сведений, в ст. 21 закона 152-ФЗ указаны сроки для произведения таких действий:

  • Незаконное использование или правонарушение в отношении личных ведомостей. 3 дня на устранение противоправных действий, в случае неудовлетворительного результата – 10 дней для удаления (п.3).
  • Достижение цели обработки – 30 дней со дня установления данного факта (п.4).
  • Заявление с отказом на дальнейшую обработку сведений от субъекта – 30 дней с даты принятия отзыва (п.5).

В п.6 ст.21 закона 152-ФЗ прописано, что если оператор не в состоянии провести удаление сведений в вышеуказанные сроки, то вся информация блокируются и подлежат удалению в 6-месячный срок.

Читайте также:  До скольки или до которого часа

Как блокировать и уничтожить информацию на различных носителях?

Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора. Субъектом, уполномоченным проводить такие действия (администратором), может быть:

  • ответственный за обработку сотрудник, который наделен такими полномочиями по должностной инструкции;
  • комиссия, состав и порядок работы которой утвержден приказом компании-оператора.

Исходя из формулировки понятия уничтожения ведомостей в законе, можно выделить два вида удаления:

  • уничтожение сведений с невозможностью их восстановить;
  • удаление носителя.

На рыке работает множество компаний, готовых предоставить соответствующие услуги в разных вариациях.

На бумаге

Если хранение личных сведений производится на бумажном носителе, то операторы используют такие способы уничтожения:

  • шредирование — измельчение на специальном приборе или гидрообработка;
  • также можно прибегнуть к методу в виде термической обработки (сожжение бумаг).

Перед использованием шредера оператор вправе выбрать одну из пяти степеней конфиденциальности. Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.

На электронных носителях

Различают несколько разновидностей электронных носителей, среди них:

  • дискеты и zip-диски;
  • CD и DVD диски;
  • винчестеры;
  • жесткие диски и пр.

Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.

Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).

Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:

  • механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
  • химически – помещение объекта в агрессивную среду;
  • термически – поджег, переплав.

Применение таких способов сводит возможность считывания файлов с носителей к нулю.

Удаление из баз удаленных хранилищ

Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта. Удаление ведомостей из баз регулируется нормами разработчиков системы. Для этого пользователь должен ознакомиться с правилами пользования дистанционными накопителями. Обычно разработчики создают удобное руководство по пользованию, в том числе очищению баз от неиспользуемых файлов.

Другой способ уничтожить данные из хранилища – удалить само облако.

Документальное оформление

Исходя из вышеизложенных схем уничтожения персональных сведений, на разных основаниях в процессе удаления информации принимает участие юрист и администратор. Неуказанный в схемах участник – администратор безопасности. Это лицо, которое производит надзор над проводимыми действиями, следит за правильностью оформления процедуры.

После проведения процедуры составляется соответствующий акт. В нем должны содержаться такие данные:

  • наименование организации;
  • печать;
  • дата составления акта;
  • название документа;
  • перечень фактов, которые подлежат удалению;
  • вид носителя;
  • способ уничтожения.

Акт подписывается администратором — одним лицом или всеми членам комиссии, как прописано в локальных актах. Документ должен быть проверен юристом и администратором безопасности.

По результатам проверки также составляется уведомление об уничтожении персональных ведомостей для субъекта.

Нарушения порядка ликвидации ведомостей и ответственность за их совершение

За нарушение законодательства о персональной информации оператора ждет административная ответственность по пунктам 5 и 6 ст. 13.11 КоАП РФ:

  1. По п. 5 наказание наступает за несоблюдение сроков удаления и блокировки файлов. На нарушителя накладывается предупреждение, или штраф от 1000 до 2000 руб. для граждан, для должностных лиц – от 4000 до 10 000 руб., для ИП – от 10 000 до 20 000 руб., для юридических лиц – от 25 000 до 45 000 руб.
  2. По п. 6 – за неприменение средств автоматизации, которые обеспечивают сохранность сведений при хранении, если бездействие привело к незаконному использованию, если в составе нет уголовного преступления, на оператора накладывается штраф: на граждан – от 700 до 2000 руб., на должностных лиц – от 4000 до 10 000 руб., на ИП – от 10 000 до 20 000 руб., на юридических лиц – от 25 000 до 50 000 руб.

Действия, которые имеют уголовный характер, квалифицируются по ст. 137 УК РФ, как нарушение неприкосновенности частной жизни.

После отзыва разрешения на обработку персональных ведомостей, они подлежат уничтожению. О том, как составить подобный отказ расскажет автор ролика ниже.

Статьи по теме

При использовании персональных данных уничтожение персональных данных осуществляют в указанных законом случаях. Читайте в статье об основаниях, сроках и порядке уничтожения.

Читайте также:  Отрицательный одн по 354 постановлению
Внимание! Вы находитесь на профессиональном сайте со специализированным юридическим контентом. Для чтения статьи может потребоваться регистрация.

Если компания обрабатывает персональные данные своих работников и клиентов, она относится к операторам таких данных. Закон устанаваливает ряд обязанностей оператора в отношении:

  • сбора данных,
  • использования,
  • хранения,
  • защиты и т. д

В обязанности операторов персональных данных уничтожение персональных данных входит наряду с соблюдением правил сбора, обработки и хранения.

42 полезных документа для юриста компании

Для уничтожения персональных данных есть четыре основания

Уничтожение персональных данных — это действия, в результате которых сведения указанного характера перестают быть доступны и их невозможно восстановить (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Нередко при уничтожении персональных данных уничтожение данных происходит вместе с документом, которых их содержал. В законе есть прямое указание, что при необходимости компания ликвидирует материальные носители, которые содержали указанные сведения.

Когда появляется причина, по которой персональные данные подлежат уничтожению, компания должна выполнить установленные законом обязательства в надлежащем порядке и в срок. Основания, в соответствии с которыми компания обязана ликвидировтаь данные, указаны в ст. 20 и ст. 21 закона № 152-ФЗ.

Когда компания решает вопрос об уничтожении персональных данных, уничтожение производят в четырех случаях:

  1. Владелец данных потребовал их ликвидировать (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ). Например, обнаружил их неполноту, недостоверность или узнал, что компания не вправе использовать его данные.
  2. Компания выявила, что данные обрабатываются неправомерно (ч. 3 ст. 21 закона № 152-ФЗ). Например, когда ее сотрудник запросил у клиента информацию, которая не соответствует целям обработки.
  3. Компания достигла цели, для которой собирала и использовала данные (ч. 4 ст. 21 закона № 152-ФЗ). Например, с клиентом компании расторгают договор.
  4. Владелец данных отозвал согласие на обработку информации о себе (ч. 5 ст. 21 закона № 152-ФЗ). Например, увольняется работник, который предоставлял компании персональные сведения.

Для случаев ч. 4 и 5 ст. 21 закона № 152-ФЗ есть два исключения, при которых уничтожение персональных данных можно не проводить:

  1. Если иное условие присутствуе в договоре между компанией и субъектом данных.
  2. Если компания на законных основаниях вправе обрабатывать данные без согласия субъекта.

Компании нужно соблюдать порядок уничтожения персональных данных

Процедура уничтожения документов, содержащих персональные данные, не зависит от причины ликвидации информации. В порядок уничтожения персональных данных входит:

  1. Формирование комиссии по ликвидации данных. Комиссию создают на основании приказа руководителя компании. Как правило, в комиссии участвуют сам руководитель, начальник кадровой службы, секретарь организации, а также главный бухгалтер. По необходимости компания привлекает в комиссию других сотрудников, например, руководителя отдела по работе с клиентами. Приказ составляют в свободной форме. В документе перечисляют, что именно в ходит в функции комисии (определить, какие персональные данные подлежат уничтожению и т. п.)
  2. Непосредственное уничтожение соответствующей информации без возможности восстановления.
  3. Издание акта уничтожения персональных данных. Документ также утверждает руководитель компании. Акт составляют в свободной форме.

Срок уничтожения персональных данных зависит от причины уничтожения

Когда появляется основание ликвидировать информацию, необходимо соблюдать сроки уничтожения персональных данных. Они зависят от основания ликвидации:

  1. Если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
  2. Если компания самостоятельно выявила нарушения в использовании информации, срок уничтожения персональных данных — 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ).
  3. Когда компания достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).
  4. Если владелец данных отказался от дальнейшей обработки и отозвал согласие, компании нужно ликвидировать информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).

Если при необходимости ликвидировать персональные данные уничтожение персональных данных не осуществят, компания понесет ответственность в соответствии с положениями закона № 152-ФЗ и ст. 13.11 КоАП РФ.

0
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector