Для уничтрожения документов с персональными данными требуется лицензия на уничтожение

Заключительные положения

Настоящее Положение подлежит изменению, дополнению в случае изменений законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

Положение является внутренним документом Оператора и подлежит размещению на сайте: http://obogreem.net/.

Контроль за исполнением требований настоящего Положения осуществляется ответственным за обеспечение безопасности персональных данных.

Во всем остальном, что не отражено напрямую в настоящем Положении оператор руководствуется нормами и положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Посетитель сайта Оператора, предоставляющий свои персональные данные и информацию, тем самым соглашается с условиями настоящего Положения.

Оператор оставляет за собой право вносить любые изменения в Положение в любое время по своему усмотрению с целью приведения его в соответствие действующему законодательству, при этом обновленная версия Положения размещается на сайте с соответствующим уведомлением.

Действие настоящего Положения не распространяется на действия других интернет-ресурсов.

Источник: http://obogreem.net/politika-v-otnoshenii-personalnyh-dannyh

Персональные данные: уничтожение персональных данных

При использовании персональных данных уничтожение персональных данных осуществляют в указанных законом случаях.


Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.

Различают несколько разновидностей электронных носителей, среди них:

  • дискеты и zip-диски;
  • CD и DVD диски;
  • винчестеры;
  • жесткие диски и пр.

Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.

Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).

Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:

  • механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
  • химически – помещение объекта в агрессивную среду;
  • термически – поджег, переплав.

Применение таких способов сводит возможность считывания файлов с носителей к нулю.

Удаление из баз удаленных хранилищ

Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта.

Для уничтрожения документов с персональными данными требуется лицензия на уничтожение

Важноimportant
Ответственность сторон и порядок разрешения споров

Оператор, не исполнивший свои обязательства, несет ответственность в соответствии с действующим законодательством РФ.

До обращения в суд с иском по спорам, возникающим из отношений между Оператором и Пользователем, сторона права которой по ее мнению нарушены обязана направить претензию в письменной форме по почте.

Сторона, получившая претензию в течение 10 (десяти) рабочих дней с момента получения претензии обязана направить ответ с результатами рассмотрения претензии.

При недостижении соглашения спор будет передан на рассмотрение в суд в соответствии с действующим законодательством РФ.

10. Идентификационные файлы (cookies)

Оператор может использовать идентификационные файлы cookies и иные технологии.


Информация, собираемая файлами cookies и иными технологиями рассматривается Оператором как информация, не являющаяся персональной.

Пользователь может отключить cookies в настройках используемого веб-браузера или мобильного устройства.

Для уничтрожения документов с персональными данными требуется лицензия на уничтожение документов

В этот же период данные должны быть удалены.

  • Администратор уведомляет субъекта о проведенной работе.

Оператор должен также организовать удаление ведомостей другими лицами, которые по поручению первого работали с данными.

Сроки уничтожения информации в зависимости от причины

Вместе с порядком уничтожения личных сведений, в ст. 21 закона 152-ФЗ указаны сроки для произведения таких действий:

  • Незаконное использование или правонарушение в отношении личных ведомостей. 3 дня на устранение противоправных действий, в случае неудовлетворительного результата – 10 дней для удаления (п.3).
  • Достижение цели обработки – 30 дней со дня установления данного факта (п.4).
  • Заявление с отказом на дальнейшую обработку сведений от субъекта – 30 дней с даты принятия отзыва (п.5).

В п.6 ст.21 закона 152-ФЗ прописано, что если оператор не в состоянии провести удаление сведений в вышеуказанные сроки, то вся информация блокируются и подлежат удалению в 6-месячный срок.

Как блокировать и уничтожить информацию на различных носителях?

Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора.

Для этого существует следующий порядок действий:

  1. Носители, в которых содержится персональная информация, подлежат уничтожению, согласно утверждённому приказу руководителя организации. Занимается уничтожением специальная комиссия.
  2. Распространители, содержащие ПД, удаляются в срок, который не превышает 30 дней с момента достижения цели обработки личных данных или утраты необходимости в их достижении.
  3. Комиссия выполняет отбор машинопечатных и бумажных носителей ПД, которые подлежат удалению.
  4. На отобранные к уничтожению распространители составляется акт.
    В акте исправления не допускаются.
  5. Комиссия выполняет проверку всех носителей, занесенных в акт.
  6. По окончании сверки в акт подписывают всех членом комиссии, а затем его утверждает руководитель организации.
  7. Распространители ПД, подлежащие удалению и включённые акт, после сверки комиссией складывают в нужное место и опечатывают.
  8. Персональные данные могут быть уничтожены любым способом, который не позволит провести их дальнейшую обработку.

Оформление сопровождения процедуры

Удаление носителей, содержащих личные данные, происходит под контролем специальной Комиссии. Она создаётся приказом руководителя организации. Во время манипуляции составляется акт об уничтожении ПД.

Основания, в соответствии с которыми компания обязана ликвидировтаь данные, указаны в ст. 20 и ст. 21 закона № 152-ФЗ.

Когда компания решает вопрос об уничтожении персональных данных, уничтожение производят в четырех случаях:

  1. Владелец данных потребовал их ликвидировать (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ). Например, обнаружил их неполноту, недостоверность или узнал, что компания не вправе использовать его данные.
  2. Компания выявила, что данные обрабатываются неправомерно (ч.
    3 ст. 21 закона № 152- ФЗ). Например, когда ее сотрудник запросил у клиента информацию, которая не соответствует целям обработки.
  3. Компания достигла цели, для которой собирала и использовала данные (ч. 4 ст. 21 закона № 152-ФЗ). Например, с клиентом компании расторгают договор.
  4. Владелец данных отозвал согласие на обработку информации о себе (ч.
    5 ст. 21 закона № 152-ФЗ). Например, увольняется работник, который предоставлял компании персональные сведения.

Для случаев ч. 4 и 5 ст.

Приказа ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Обработка персональных данных осуществляется Оператором на основе таких принципов как:

  • законности и справедливости;
  • добросовестности;
  • в соответствии с выбранными и заранее определенными и законными целями;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • объем, характер и способы обработки персональных данных соответствуют целям их обработки;
  • при обработке персональных данных обеспечивается точность, достаточность, а также актуальность в необходимых случаях по отношению к цели обработки персональных данных, в случае уточнения персональных данных или их удалении принимаются необходимые меры;
  • хранение персональных данных в форме, позволяющей определить Пользователя, не дольше, чем этого требуют цели их обработки;
  • уничтожения по достижению целей обработки персональных данных или в случае утраты в их достижении.

Настоящее Положение регулирует любой вид обработки персональных данных, в том числе информации личного характера, по которой можно установить личность, а также распространяется на обработку персональных данных, собранных любыми средствами, в том числе через Интернет, от лиц, находящихся в любой точке мира.

2.

При этом Оператор уведомляет Пользователя, либо его законного представителя, либо орган, направивший запрос, об устранении нарушений, либо об уничтожении персональных данных.

В случае отзыва Пользователем согласия на обработку персональных данных, Оператор прекращает их обработку, в случае, если сохранение данных не требуются для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 3 (трех) рабочих дней.

5. Порядок уничтожение персональных данных

За уничтожение персональных данных отвечает лицо, назначенное соответствующим приказом Оператора.

В случае наступления любого из событий, повлекших за собой необходимость уничтожения персональных данных, ответственное лицо обязано:

  • принять необходимые меры по уничтожению персональных данных в течение трех рабочих дней;
  • уведомить Пользователя, либо его законного представителя, либо орган, в случае необходимости об уничтожении персональных данных.

Персональные данные Пользователей уничтожаются также при:

  • при отзыве Пользователя согласия на обработку персональных данных;
  • при удалении Оператором информации, размещаемой Пользователем, в случае, если это установлено гражданско-правовым договором.

6.

Роскомнадзор направил организации предписание, в котором указано, что хранение копий личных документов является избыточным при обработке персональных данных работников. Вправе ли работодатель хранить копии документов, предъявляемых работником при поступлении на работу: копии паспорта, свидетельства ИНН, СНИЛС, документов об образовании?

Рассмотрев вопрос, мы пришли к следующему выводу: Хранение в личных делах работников копии паспорта и других документов, содержащих персональные сведения, не является нарушением закона, если работодатель обеспечил одновременное соблюдение следующих условий: — от работника получено согласие на хранение его персональных данных, указанных в копиях документов, необходимость обработки которых не обусловлена достижением целей, поименованных в п.п.
2-11 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»; — работодателем заранее определены конкретные цели хранения персональных данных, содержащихся в копиях документов работников, при этом такие цели не противоречат законодательству; — объем персональных данных, указанных в копиях документов работника, не превышает объем данных, которые работодателю необходимо использовать в соответствии с заявленными целями обработки.

Но есть альтернатива.

Привлечение сторонней организации

В данной ситуации есть выход: не получать лицензию, а заключить договор на обработку персональных данных с организацией, у которой лицензия уже имеется. Такую возможность предоставляет п. 1.3 Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 05.02.2010 № 58.

Для выбора и реализации методов и способов защиты данных в информационной системе можно привлечь организацию, имеющую оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Подобное положение содержится в ч. 4 ст. 6 Закона № 152-ФЗ, где предусмотрено, что лицо, занимающееся обработкой персональных данных, вправе на основании договора поручить это другому лицу. Существенным условием такого договора будет обязанность соответствующей организации обеспечить конфиденциальность персональных данных и их безопасность при обработке.

Ответственность за отсутствие лицензии

За осуществление деятельности без лицензии компанию и ее должностных лиц могут привлечь к ответственности, причем не только к административной, но и к уголовной.

Право привлекать к административной ответственности за нарушение Закона № 152‑ФЗ принадлежит Роскомнадзору (уполномоченный орган по защите прав субъектов персональных данных).

Когда ликвидация данных проведена, комиссия издает специальный акт, выдаваемый на подписание директору компании.

Узнайте о персональных данных: образце согласия на обработку персональных данных

Когда должно происходить уничтожение персональных данных?

Согласно Положению о порядке уничтожения персональных данных, утвержденном Федеральным Законом № 149 от 27.07.2006г.

, процесс уничтожения персональной информации должен проводиться не позднее 30-дневного срока после того, как актуальность данных сведения утратила свою полезность. При этом специальная комиссия утверждает перечень подлежащей ликвидации документации соответствующим актом.

Исправления в акте не допустимы, но если имеется необходимость уточнить какие-либо пункты, то необходимо составить дополнение, где и будут прописаны уточняющие факты.

Как уничтожаются персональные данные?

Если информация присутствует на бумажном носителе, то допускается уничтожать ее посредством сжигания или размельчения на мелкие частицы.

При этом необходимо помнить, что части не должны подлежать восстановлению, за что несут ответственность члены специально составленной комиссии.

Если персональные данные располагаются на машиночитаемом носителе, то файлам необходимо так же нанести непоправимый вред, что позволит минимизировать возможность их восстановления.

В противном случае администратор компании обязан в 10-дневный период уничтожить все файлы, а также уведомить субъекта.

Если цель обработки была достигнута, то действует следующий алгоритм (п.4 ст.21 закона 152-ФЗ):

  1. Фиксация момента достижения цели.
  2. В течение 30-дневного срока со дня выполнения задачи, администратор удаляет сведения.
  3. Параллельно готовится уведомление владельцу.
  4. После уничтожения информации, уведомление направляется субъекту.

Пункт о цели работы с личной информацией является существенным условием в письменном соглашении об обработке данных. В письменном заявлении на проведение операций с персональными сведениями субъект указывает:

  • ФИО, паспортные данные;
  • полное наименование и реквизиты оператора (организация, которая производит обработку);
  • цель;
  • список данных, которые подлежат обработке;
  • виды обработки, которые могут применяться к объектам предоставленного разрешения;
  • срок действия соглашения;
  • процедуру отказа от разрешения на работу с информацией.

Схема действий при отзыве заявки на обработку ведомостей (п.5 ст.21 закона 152-ФЗ):

  1. Субъект направляет письмо с отзывом.
  2. Компания принимает решение об удовлетворении или отклонении требований.
  3. В случае положительного ответа, в течение 30 дн.
    готовится уведомление об уничтожении файлов.

При этом, в случае отключения cookies некоторые функции веб-сайта могут стать недоступными.

Как и в случае большинства веб-сайтов, Оператор собирает некоторую информацию автоматически и хранит её в файлах статистики.

Такая информация включает в себя адрес Интернет-протокола (IP-адрес), тип и язык браузера, информацию о поставщике Интернет-услуг, страницы отсылки и выхода, сведения об операционной системе, отметку даты и времени, а также сведения о посещениях.

Данная информация не используется дл установления личности Пользователя, а используется для анализа, администрирования сайта, изучения поведения Пользователей на сайте.

В некоторых сообщениях электронной почты оператор может использовать интерактивные ссылки на информацию, размещённую на сайте Оператора.

Когда Пользователь проходит по таким ссылкам, прежде чем он попадает на страницу назначения на сайте Оператора, его запросы проходят отдельную регистрацию.

Оператор отслеживает такие «проходные» данные, для того чтобы помочь определить интерес к отдельным темам и измерить их эффективность и необходимость.

В том случае, если Пользователь предпочитает, чтобы его обращения не отслеживались подобным образом, Пользователь не должен проходить по текстовым или графическим ссылкам в сообщениях электронной почты, либо направить уведомление по средством обратной связи с указанием отказа от рассылки сообщений по электронной почте.

11.

Обобщая приведенные нормы, мы приходим к выводу о том, что для законного хранения копии паспорта и других документов, содержащих персональные сведения работников, работодатель должен обеспечить одновременное соблюдение следующих условий: — от работника должно быть получено согласие на хранение его персональных данных, указанных в копиях документов, необходимость обработки которых не обусловлена достижением целей, поименованных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ (не требующих согласия субъекта персональных данных на их обработку); — работодателем должны быть заранее определены конкретные цели хранения персональных данных, содержащихся в копиях документов работников, при этом такие цели не должны противоречить законодательству; — объем персональных данных, указанных в копиях документов работника, не должен превышать объем данных, которые работодателю необходимо использовать в соответствии с заявленными целями обработки. Как показывает судебная практика, при хранении копий документов, предоставленных работниками при приеме на работу или в процессе их трудовой деятельности, есть вероятность возникновения претензий со стороны контролирующих органов в связи с избыточностью обрабатываемых работодателем персональных данных работников.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *