Уничтожение документов с персональными данными

Персональные данные – это любые сведения, которые прямо или косвенно касаются определенного или определимого физического лица.

Проводить различные манипуляции с ними можно только с разрешения этого лица. Нередко ПД подлежат удалению.

Существует несколько методов, для каждого из которых характерны свои особенности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Уничтожение персональных данных – это мероприятия, при выполнении которых становится невозможным восстановить содержание личных данных в информативной системе ПД, а еще уничтожаются материальные носители персональных данных.

Какие есть способы?

Уничтожения документов, содержащих ПД, происходит следующими методами:

• сожжение;
• дробление;
• химическое разложение;
• превращение в бесформенную массу или порошок. .

Общий порядок действий с документами содержащими ПД

ПД хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению. Для этого существует следующий порядок действий:

1. Носители, в которых содержится персональная информация, подлежат уничтожению, согласно утверждённому приказу руководителя организации. Занимается уничтожением специальная комиссия.
2. Распространители, содержащие ПД, удаляются в срок, который не превышает 30 дней с момента достижения цели обработки личных данных или утраты необходимости в их достижении.
3. Комиссия выполняет отбор машинопечатных и бумажных носителей ПД, которые подлежат удалению.
4. На отобранные к уничтожению распространители составляется акт. В акте исправления не допускаются.
5. Комиссия выполняет проверку всех носителей, занесенных в акт.
6. По окончании сверки в акт подписывают всех членом комиссии, а затем его утверждает руководитель организации.
7. Распространители ПД, подлежащие удалению и включённые акт, после сверки комиссией складывают в нужное место и опечатывают.
8. Персональные данные могут быть уничтожены любым способом, который не позволит провести их дальнейшую обработку.

Оформление сопровождения процедуры

Удаление носителей, содержащих личные данные, происходит под контролем специальной Комиссии. Она создаётся приказом руководителя организации. Во время манипуляции составляется акт об уничтожении ПД. После составления акта в течение 3-х дней направляются на утверждение руководителю организации.

Факт удаления носителя с персональными данными заносится в «Журнал регистрации носителей информации, содержащих ПД и иную конфиденциальную информацию», где в графе «Дата и номер акта уничтожения» вносятся соответствующие данные. Этот журнал является конфиденциальной документацией и вместе с актами уничтожения его хранят в сейфе

Акт об удалении

Об удалении носителей комиссия составляет и подписывает соответствующий акт. Его отправляют на утверждение руководителю организации. В акте указываются следующие сведения:

• дату, место и время уничтожения персональных данных;
• должности, фамилии, инициалы членов комиссии;
• вид и количество уничтожаемых носителей, содержащих персональные данные физических лиц;
• основание удаления персональных данных;
• способ уничтожения.

Как удалить из различных носителей: пошаговая инструкция

Из Интернета

В зависимости от типа носителя, существует свой способ удаления ПД из интернета:

Google.

Необходимо зайти на страницу с настройками и нажать «закрыть аккаунт и удалить все службы и сведения, связанные с ним». Этот шаг считается самым радикальным, но при этом действенным, на случай, если вы желаете навсегда удалить следы своего нахождения в сети.
Вконтакте.

Зайти на страницу личных настроек, «промотать» до конца и нажать на ссылку «удалить свою страницу». Теперь нужно указать причину такого решения и написать последнее сообщение бывшим друзьям. Но это делается пожеланию. Можно просто удалить страницу и все данные, без каких-либо объяснений.
Facebook.

Удаление личных данных из этой социальной сети происходит немного сложнее. Так как эта компания не собирается хранить ПД в течение нескольких лет, а разгребать запросы на составления у них нет времени, так что перед стиранием аккаунта желательно сохранить его копию. Для этого предстоит перейти на страницу с настройками и внизу из перечня общих настроем выбрать «Загрузить копию».

После этого вы можете скачать единым архивом фото, лайки, историю переписок и список друзей. Сюда же входит техническая информация по IP входа и coockies. Теперь через поисковую систему нужно отыскать «удаление аккаунта». Удаленные сведения будут находиться на хранении в «резерве» от 1 до 3-х месяцев.

По истечении этого времени все данные будут утрачены безвозвратно. Но есть другой, менее «кровавый» методу. Для этого выбрать в настройках аккаунта пункт «Безопасность», а затем кликните «Деактиворовать аккаунт».Эта операция позволит скрыть всю вашу персональную информацию, включая «список друзей»,

Из бумажного

Когда срок хранения документации подошёл к концу, то удаление происходит методом измельчения на мелкие части или же другим способом, исключающим возможность дальнейшего восстановления информации. Бумажные носители могут сжигаться.

Из электронного

По завершении указанных сроков хранения машинные носители ПД, подлежащие уничтожению, физически удаляются с целью невозможности восстановления и последующего использования. Достичь это можно путем деформирования, нарушения единой целостности носителя и его сжигания. Файлы, подлежащие уничтожению и находящиеся на жёстком диске компьютера, удаляют средствами операционной системы с дальнейшим очищением корзины.

Удаление личных данных – это процедура уничтожения с невозможностью дальнейшего использования и обработки. Способ уничтожения зависит от того, какой тип носителя был использован для хранения ПД. Все манипуляции, совершаемые специальной комиссией, должны быть вписаны в соответствующий акт.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
+7 (812) 467-38-62 (Санкт-Петербург)

Ошибка 1. За обработку персональных данных отвечает кадровик

Назначьте компетентного сотрудника. Ответственному предстоит организовать обработку данных в масштабе организации. Кроме того, он должен напрямую подчиняться гендиректору (ч. 2 ст. 22.1 Федерального закона № 152-ФЗ, далее – Закон № 152-ФЗ). Поэтому в большинстве случаев назначить кадровика будет ошибкой. Это допустимо только в маленькой компании.

Назначать ответственным генерального директора чиновники Роскомнадзора не рекомендуют, так как вряд ли он будет непосредственно организовывать обработку персданных. Скорее всего, негласно перепоручит эти функции кому-то из подчиненных, что может привести к штрафу или путанице.

Наделите ответственного полномочиями. Предоставьте сотруднику информацию о том, какие персональные данные и какими способами обрабатывают в компании (ч. 3 ст. 22 Закона № 152-ФЗ). Дайте ему право контролировать обработку персданных. О назначении ответственного издайте приказ в произвольной форме. Подробно его полномочия пропишите в трудовом договоре или должностной инструкции (образец ниже).

Ошибка 2. Документы с персональными данными хранят на столах или стеллажах

Организуйте доступ работников к персональным данным. Утвердите приказом перечень лиц, которых допустили к обработке персональных данных. Это сотрудники, которые работают с личными данными работников, клиентов, абонентов и т. д. В приказе укажите, к каким данным имеет доступ конкретный работник (образец ниже).

В должностные инструкции или трудовые договоры сотрудников, допущенных к работе с личными данными, включите информацию о том, что они обрабатывают эти данные без использования средств автоматизации (образец ниже). Также укажите, какие категории персданных обрабатывают и какими правилами руководствуются. Как вариант, эти сведения пропишите в ЛНА и ознакомьте работников с ним под подпись. Если Роскомнадзор обнаружит, что сотрудников не проинформировали, то сочтет это нарушением.

Получите у сотрудников, которых допустили к обработке персональных данных, обязательство о неразглашении (образец ниже). Только в этом случае вы сможете привлечь работника к ответственности за утечку личных данных.

Ошибка 3. В компании хранят личные данные, которые нужно было уничтожить

Если персданные работника больше не нужны компании, информацию и ее носители уничтожают в 30-дневный срок (ч. 4 ст. 21 Закона № 152-ФЗ). Однако закон или договор часто устанавливает другой период хранения. Для документов по личному составу сроки хранения смотрите в Перечне, утвержденном приказом Минкультуры от 25.08.2010 № 558. Например, приказы о приеме и увольнении хранят 75 (50) лет. Поэтому, даже если работник уволился, документы нужно хранить в организации в течение установленного срока.

Создайте комиссию по уничтожению персданных. В ее состав входят председатель и как минимум еще два сотрудника. Также включайте в комиссию работника, ответственного за обработку документов, которые планируете уничтожить. Комиссия составляет перечень документов для уничтожения с учетом сроков их хранения.

Важные выводы

1. Назначьте ответственным за обработку персданных директора по персоналу, IT-директора или другого компетентного сотрудника, который напрямую подчиняется гендиректору.

2. Документы с персональными данными храните в сейфах, запираемых шкафах или помещениях. Перечень таких мест закрепите в приказе.

3. Уничтожьте персданные, которые больше не нужны. Но предварительно проверьте, что истекли сроки хранения.

Статьи по теме

При использовании персональных данных уничтожение персональных данных осуществляют в указанных законом случаях. Читайте в статье об основаниях, сроках и порядке уничтожения.

Внимание! Вы находитесь на профессиональном сайте со специализированным юридическим контентом. Для чтения статьи может потребоваться регистрация.

Если компания обрабатывает персональные данные своих работников и клиентов, она относится к операторам таких данных. Закон устанаваливает ряд обязанностей оператора в отношении:

• сбора данных,
• использования,
• хранения,
• защиты и т. д

В обязанности операторов персональных данных уничтожение персональных данных входит наряду с соблюдением правил сбора, обработки и хранения.

42 полезных документа для юриста компании

Для уничтожения персональных данных есть четыре основания

Уничтожение персональных данных — это действия, в результате которых сведения указанного характера перестают быть доступны и их невозможно восстановить (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Нередко при уничтожении персональных данных уничтожение данных происходит вместе с документом, которых их содержал. В законе есть прямое указание, что при необходимости компания ликвидирует материальные носители, которые содержали указанные сведения.

Когда появляется причина, по которой персональные данные подлежат уничтожению, компания должна выполнить установленные законом обязательства в надлежащем порядке и в срок. Основания, в соответствии с которыми компания обязана ликвидировтаь данные, указаны в ст. 20 и ст. 21 закона № 152-ФЗ.

Когда компания решает вопрос об уничтожении персональных данных, уничтожение производят в четырех случаях:

1. Владелец данных потребовал их ликвидировать (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ). Например, обнаружил их неполноту, недостоверность или узнал, что компания не вправе использовать его данные.
2. Компания выявила, что данные обрабатываются неправомерно (ч. 3 ст. 21 закона № 152-ФЗ). Например, когда ее сотрудник запросил у клиента информацию, которая не соответствует целям обработки.
3. Компания достигла цели, для которой собирала и использовала данные (ч. 4 ст. 21 закона № 152-ФЗ). Например, с клиентом компании расторгают договор.
4. Владелец данных отозвал согласие на обработку информации о себе (ч. 5 ст. 21 закона № 152-ФЗ). Например, увольняется работник, который предоставлял компании персональные сведения.

Для случаев ч. 4 и 5 ст. 21 закона № 152-ФЗ есть два исключения, при которых уничтожение персональных данных можно не проводить:

1. Если иное условие присутствуе в договоре между компанией и субъектом данных.
2. Если компания на законных основаниях вправе обрабатывать данные без согласия субъекта.

Компании нужно соблюдать порядок уничтожения персональных данных

Процедура уничтожения документов, содержащих персональные данные, не зависит от причины ликвидации информации. В порядок уничтожения персональных данных входит:

1. Формирование комиссии по ликвидации данных. Комиссию создают на основании приказа руководителя компании. Как правило, в комиссии участвуют сам руководитель, начальник кадровой службы, секретарь организации, а также главный бухгалтер. По необходимости компания привлекает в комиссию других сотрудников, например, руководителя отдела по работе с клиентами. Приказ составляют в свободной форме. В документе перечисляют, что именно в ходит в функции комисии (определить, какие персональные данные подлежат уничтожению и т. п.)
2. Непосредственное уничтожение соответствующей информации без возможности восстановления.
3. Издание акта уничтожения персональных данных. Документ также утверждает руководитель компании. Акт составляют в свободной форме.

Срок уничтожения персональных данных зависит от причины уничтожения

Когда появляется основание ликвидировать информацию, необходимо соблюдать сроки уничтожения персональных данных. Они зависят от основания ликвидации:

1. Если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
2. Если компания самостоятельно выявила нарушения в использовании информации, срок уничтожения персональных данных — 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ).
3. Когда компания достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).
4. Если владелец данных отказался от дальнейшей обработки и отозвал согласие, компании нужно ликвидировать информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).

Если при необходимости ликвидировать персональные данные уничтожение персональных данных не осуществят, компания понесет ответственность в соответствии с положениями закона № 152-ФЗ и ст. 13.11 КоАП РФ.