Порядок уничтожения персональных данных

Порядок уничтожения персональных данныхГражданин может дать разрешение на обработку личной информации при трудоустройстве или получении различных услуг. При этом субъект должен помнить о гарантиях сохранения ведомостей личного характера в неприкосновенности от несанкционированного доступа. В статье описаны случаи уничтожения персональных сведений, раскрыта процедура и сроки удаления, ответственность за несоблюдение законодательных норм.

Нормативная база

Вопрос регулирования отношений в сфере защиты персональных данных лиц происходит согласно со следующими нормами:

Специальный Федеральный закон от N 152-ФЗ 27.07.2006. Закон включает в себя главы с:

  • общими положениями;
  • правилами обработки;
  • правовым положением субъекта (лица, к которому относятся персональные данные) и оператора (компании, чтоб занимается обработкой) в сфере персональных данных;
  • государственным регулированием вопроса и ответственность за несоблюдение нормативных актов.

Глава 14 Трудового кодекса РФ, статьи 86-90. Здесь описаны:

  • требования к процедуре обработки личных сведений;
  • гарантии сохранения информации в секрете;
  • порядок хранения, использования, передачи объектов охраны закона 152-ФЗ;
  • ответственность за нарушения.

Статья 42 Федерального закона N 79-ФЗ от 27.07.2004 регулирует порядок ведения кадровой документации, содержащей личные данные о гражданском служащем.

Законные основания для уничтожения персональной информации

В законе 152-ФЗ прописано, что под уничтожением персональных данных  подразумеваются действия, которые повлекут:

  • невозможность восстановить информацию о субъектах данных в системах хранения;
  • уничтожение материального носителя.

Согласно ст.21 закона 152-ФЗ выделяют три основания для ликвидации:

  1. Если с данными проводятся неправомерные действия.
  2. Если цель, поставленная для обработки сведений, была достигнута.
  3. Если пропала необходимость обработки сведений, например, если субъект отозвал заявление на такие действия.

При наступлении одного из этих случаев, оператор, в указанные законом сроки, обязывается уничтожить личный сведения субъекта, после чего уведомить последнего о проделанной работе.

Порядок уничтожения информации

Исходя из оснований, будут различаться процедуры удаления информации.

В первом случае, при неправомерном вмешательстве, используется такая схема:

  1. Изначально производится выявление факта нарушения. Юрист предприятия дает правовую оценку, если нарушение выявлено, сообщение направляется администратору.
  2. После этого в течение 10 дн. производятся попытки устранить опасность. Если угроза миновала, информация подлежит разблокировке. Если действия оказались безрезультатными в течение 3 дн., то сведения удаляются в десятидневный срок, о чем уведомляется субъект, к которому они относятся.

К неправомерным действиям с персональными сведениями относят любую обработку информации, которая производится без согласия субъекта, в виде:

  • сбора;Порядок уничтожения персональных данных
  • накопления;
  • систематизации;
  • удаления;
  • блокирования;
  • хранения;
  • изменения или обновления;
  • распространения;
  • обезличивания.

Так, например, если информация была передана третьему субъекту, то компания направляет письмо с прошением удалить сведения либо спросить разрешение на обработку файлов у владельца. Если контрагент согласен, то он уничтожает сведения и сообщает об этом владельцу. В противном случае администратор компании обязан в 10-дневный период уничтожить все файлы, а также уведомить субъекта.

Если цель обработки была достигнута, то действует следующий алгоритм (п.4 ст.21 закона 152-ФЗ):

  1. Фиксация момента достижения цели.
  2. В течение 30-дневного срока со дня выполнения задачи, администратор удаляет сведения.
  3. Параллельно готовится уведомление владельцу.
  4. После уничтожения информации, уведомление направляется субъекту.

Пункт о цели работы с личной информацией является существенным условием в письменном соглашении об обработке данных. В письменном заявлении на проведение операций с персональными сведениями субъект указывает:

  • ФИО, паспортные данные;
  • полное наименование и реквизиты оператора (организация, которая производит обработку);
  • цель;
  • список данных, которые подлежат обработке;
  • виды обработки, которые могут применяться к объектам предоставленного разрешения;
  • срок действия соглашения;
  • процедуру отказа от разрешения на работу с информацией.

Схема действий при отзыве заявки на обработку ведомостей (п.5 ст.21 закона 152-ФЗ):

  1. Субъект направляет письмо с отзывом.
  2. Компания принимает решение об удовлетворении или отклонении требований.
  3. В случае положительного ответа, в течение 30 дн. готовится уведомление об уничтожении файлов. В этот же период данные должны быть удалены.
  4. Администратор уведомляет субъекта о проведенной работе.

Отозвать разрешение можно частично, например, запретить обработку адреса, номера телефона. Или ограничить определенный вид использования, например, уточнение, обезличивание.

Оператор должен также организовать удаление ведомостей другими лицами, которые по поручению первого работали с данными.

Сроки уничтожения информации в зависимости от причины

Вместе с порядком уничтожения личных сведений, в ст. 21 закона 152-ФЗ указаны сроки для произведения таких действий:

  • Порядок уничтожения персональных данныхНезаконное использование или правонарушение в отношении личных ведомостей. 3 дня на устранение противоправных действий, в случае неудовлетворительного результата – 10 дней для удаления (п.3).
  • Достижение цели обработки – 30 дней со дня установления данного факта (п.4).
  • Заявление с отказом на дальнейшую обработку сведений от субъекта – 30 дней с даты принятия отзыва (п.5).

В п.6 ст.21 закона 152-ФЗ прописано, что если оператор не в состоянии провести удаление сведений в вышеуказанные сроки, то вся информация блокируются и подлежат удалению в 6-месячный срок.

Как блокировать и уничтожить информацию на различных носителях?

Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора. Субъектом, уполномоченным проводить такие действия (администратором), может быть:

  • ответственный за обработку сотрудник, который наделен такими полномочиями по должностной инструкции;
  • комиссия, состав и порядок работы которой утвержден приказом компании-оператора.

Исходя из формулировки понятия уничтожения ведомостей в законе, можно выделить два вида удаления:

  • уничтожение сведений с невозможностью их восстановить;
  • удаление носителя.

Поскольку законодательно не определены требования для уничтожения информации, оператор самостоятельно разбирается с ликвидацией личных сведений.

На рыке работает множество компаний, готовых предоставить соответствующие услуги в разных вариациях.

На бумаге

Если хранение личных сведений производится на бумажном носителе, то операторы используют такие способы уничтожения:

  • шредирование — измельчение на специальном приборе или гидрообработка;
  • также можно прибегнуть к методу в виде термической обработки (сожжение бумаг).

Перед использованием шредера оператор вправе выбрать одну из пяти степеней конфиденциальности. Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.

На электронных носителях

Различают несколько разновидностей электронных носителей, среди них:

  • дискеты и zip-диски;
  • CD и DVD диски;
  • винчестеры;
  • жесткие диски и пр.

Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.

Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).

Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:

  • механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
  • химически – помещение объекта в агрессивную среду;
  • термически – поджег, переплав.

Применение таких способов сводит возможность считывания файлов с носителей к нулю.

Удаление из баз удаленных хранилищ

Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта. Удаление ведомостей из баз регулируется нормами разработчиков системы. Для этого пользователь должен ознакомиться с правилами пользования дистанционными накопителями. Обычно разработчики создают удобное руководство по пользованию, в том числе очищению баз от неиспользуемых файлов.

Другой способ уничтожить данные из хранилища – удалить само облако.

Документальное оформление

Исходя из вышеизложенных схем уничтожения персональных сведений, на разных основаниях в процессе удаления информации принимает участие юрист и администратор. Неуказанный в схемах участник – администратор безопасности. Это лицо, которое производит надзор над проводимыми действиями, следит за правильностью оформления процедуры.

После проведения процедуры составляется соответствующий акт. В нем должны содержаться такие данные:

  • наименование организации;
  • печать;
  • дата составления акта;
  • название документа;
  • перечень фактов, которые подлежат удалению;
  • вид носителя;
  • способ уничтожения.

Акт подписывается администратором — одним лицом или всеми членам комиссии, как прописано в локальных актах. Документ должен быть проверен юристом и администратором безопасности.

По результатам проверки также составляется уведомление об уничтожении персональных ведомостей для субъекта.

Документы для скачивания (бесплатно)

  • Акт об уничтожении персональных данных (образец)

Нарушения порядка ликвидации ведомостей и ответственность за их совершение

За нарушение законодательства о персональной информации оператора ждет административная ответственность по пунктам 5 и 6 ст. 13.11 КоАП РФ:

  1. По п. 5 наказание наступает за несоблюдение сроков удаления и блокировки файлов. На нарушителя накладывается предупреждение, или штраф от 1000 до 2000 руб. для граждан, для должностных лиц – от 4000 до 10 000 руб., для ИП – от 10 000 до 20 000 руб., для юридических лиц – от 25 000 до 45 000 руб.
  2. По п. 6 – за неприменение средств автоматизации, которые обеспечивают сохранность сведений при хранении, если бездействие привело к незаконному использованию, если в составе нет уголовного преступления, на оператора накладывается штраф: на граждан – от 700 до 2000 руб., на должностных лиц – от 4000 до 10 000 руб., на ИП – от 10 000 до 20 000 руб., на юридических лиц – от 25 000 до 50 000 руб.

Действия, которые имеют уголовный характер, квалифицируются по ст. 137 УК РФ, как нарушение неприкосновенности частной жизни.

После отзыва разрешения на обработку персональных ведомостей, они подлежат уничтожению. О том, как составить подобный отказ расскажет автор ролика ниже.

Поделитесь с друзьями в соц.сетях

Еще полезные публикации:

  1. Как правильно оформить расписку об обязательстве выплатить деньги
  2. Правила и повод составления акта об отсутствии на рабочем месте
  3. Возмещение материального ущерба работником работодателю
  4. Что грозит за опоздание работнику по трудовому кодексу?
  5. Образец акта о нарушении трудовой дисциплины

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *