Общий порядок действий с документами содержащими ПД
ПД хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению. Для этого существует следующий порядок действий:
- Носители, в которых содержится персональная информация, подлежат уничтожению, согласно утверждённому приказу руководителя организации. Занимается уничтожением специальная комиссия.
- Распространители, содержащие ПД, удаляются в срок, который не превышает 30 дней с момента достижения цели обработки личных данных или утраты необходимости в их достижении.
- Комиссия выполняет отбор машинопечатных и бумажных носителей ПД, которые подлежат удалению.
- На отобранные к уничтожению распространители составляется акт. В акте исправления не допускаются.
- Комиссия выполняет проверку всех носителей, занесенных в акт.
- По окончании сверки в акт подписывают всех членом комиссии, а затем его утверждает руководитель организации.
- Распространители ПД, подлежащие удалению и включённые акт, после сверки комиссией складывают в нужное место и опечатывают.
- Персональные данные могут быть уничтожены любым способом, который не позволит провести их дальнейшую обработку.
2. Правила уничтожения носителей, содержащих персональные данные
2.1. По настоящему Положению уничтожение носителей, содержащих персональные данные клиентов гостиницы, должно соответствовать следующим правилам:
— быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления;
— оформляться юридически, в частности, актом о выделении носителей, содержащих персональные данные клиентов гостиницы, к уничтожению и актом об уничтожении носителей, содержащих персональные данные клиентов гостиницы;
— должно проводиться комиссией по уничтожению персональных данных;
— уничтожение должно касаться только тех носителей, содержащих персональные данные клиентов гостиницы, которые подлежат уничтожению в связи с достижением цели обработки указанных персональных данных либо утраты необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.
назад к оглавлению
Оформление сопровождения процедуры
Удаление носителей, содержащих личные данные, происходит под контролем специальной Комиссии. Она создаётся приказом руководителя организации. Во время манипуляции составляется акт об уничтожении ПД. После составления акта в течение 3-х дней направляются на утверждение руководителю организации.
Внимание! После его утверждения хранится акт в сейфе у руководителя соответствующего подразделения.
Факт удаления носителя с персональными данными заносится в «Журнал регистрации носителей информации, содержащих ПД и иную конфиденциальную информацию», где в графе «Дата и номер акта уничтожения» вносятся соответствующие данные. Этот журнал является конфиденциальной документацией и вместе с актами уничтожения его хранят в сейфе
Порядок уничтожения персональных данных
Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:
- В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
- Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
- Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
- Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.
Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.
Акт об удалении
Об удалении носителей комиссия составляет и подписывает соответствующий акт. Его отправляют на утверждение руководителю организации. В акте указываются следующие сведения:
- дату, место и время уничтожения персональных данных;
- должности, фамилии, инициалы членов комиссии;
- вид и количество уничтожаемых носителей, содержащих персональные данные физических лиц;
- основание удаления персональных данных;
- способ уничтожения.
Общие положения
1.1. Настоящее Положение о порядке уничтожения персональных данных клиентов гостиницы (далее по тексту — Положение) разработано на основе Федерального закона от 27.07.2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных» и других нормативных правовых актов.
1.2. Настоящее Положение устанавливает периодичность и способы уничтожения носителей, содержащих персональные данные клиентов гостиницы.
1.3. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.4. Основные понятия, используемые в Положении:
— гостиница — организация, предоставляющая гостиничные услуги клиенту;
— клиент — физическое лицо, потребитель гостиничных услуг, субъект персональных данных;
— персональные данные — информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении гостиницы, позволяет идентифицировать личность клиента;
— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
— уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
— носители персональных данных — как электронные (дискеты, компакт-диски, ленты, флеш-накопители и другие), так и неэлектронные (бумажные) носители персональных данных.
1.5. Настоящее Положение утверждается [наименование руководителя гостиницы].
назад к оглавлению
Как удалить из различных носителей: пошаговая инструкция
Из Интернета
В зависимости от типа носителя, существует свой способ удаления ПД из интернета:
- Google.
Необходимо зайти на страницу с настройками и нажать «закрыть аккаунт и удалить все службы и сведения, связанные с ним». Этот шаг считается самым радикальным, но при этом действенным, на случай, если вы желаете навсегда удалить следы своего нахождения в сети. - Вконтакте.
Зайти на страницу личных настроек, «промотать» до конца и нажать на ссылку «удалить свою страницу». Теперь нужно указать причину такого решения и написать последнее сообщение бывшим друзьям. Но это делается пожеланию. Можно просто удалить страницу и все данные, без каких-либо объяснений. - Facebook.
Удаление личных данных из этой социальной сети происходит немного сложнее. Так как эта компания не собирается хранить ПД в течение нескольких лет, а разгребать запросы на составления у них нет времени, так что перед стиранием аккаунта желательно сохранить его копию. Для этого предстоит перейти на страницу с настройками и внизу из перечня общих настроем выбрать «Загрузить копию».После этого вы можете скачать единым архивом фото, лайки, историю переписок и список друзей. Сюда же входит техническая информация по IP входа и coockies. Теперь через поисковую систему нужно отыскать «удаление аккаунта». Удаленные сведения будут находиться на хранении в «резерве» от 1 до 3-х месяцев.
По истечении этого времени все данные будут утрачены безвозвратно. Но есть другой, менее «кровавый» методу. Для этого выбрать в настройках аккаунта пункт «Безопасность», а затем кликните «Деактиворовать аккаунт».Эта операция позволит скрыть всю вашу персональную информацию, включая «список друзей»,
Из бумажного
Когда срок хранения документации подошёл к концу, то удаление происходит методом измельчения на мелкие части или же другим способом, исключающим возможность дальнейшего восстановления информации. Бумажные носители могут сжигаться.
Из электронного
По завершении указанных сроков хранения машинные носители ПД, подлежащие уничтожению, физически удаляются с целью невозможности восстановления и последующего использования. Достичь это можно путем деформирования, нарушения единой целостности носителя и его сжигания. Файлы, подлежащие уничтожению и находящиеся на жёстком диске компьютера, удаляют средствами операционной системы с дальнейшим очищением корзины.
Удаление личных данных – это процедура уничтожения с невозможностью дальнейшего использования и обработки. Способ уничтожения зависит от того, какой тип носителя был использован для хранения ПД. Все манипуляции, совершаемые специальной комиссией, должны быть вписаны в соответствующий акт.
Способы уничтожения
Способы, которыми проводится уничтожения носителей персональных данных, зависят от вида самого носителя. Но все они должны отвечать одному правилу – невозможности восстановления содержащихся на них данных.
Для бумажных носителей можно применять:
- измельчение (ножницами или шредером);
- сжигание;
- гидрообработку (смешивание).
Машиночитаемые носители могут быть:
- физически повреждены (согнуты, сломаны, сильно поцарапаны);
- сожжены;
- размагничены (подвергнуты химическому воздействию в агрессивных средах);
- отформатированы.
Файлы, содержащиеся на жестком диске компьютера, удаляют методами операционной системы.
За эффективность процесса уничтожения несут ответственность члены комиссии.
Нарушения порядка ликвидации ведомостей и ответственность за их совершение
За нарушение законодательства о персональной информации оператора ждет административная ответственность по пунктам 5 и 6 ст. 13.11 КоАП РФ:
- По п. 5 наказание наступает за несоблюдение сроков удаления и блокировки файлов. На нарушителя накладывается предупреждение, или штраф от 1000 до 2000 руб. для граждан, для должностных лиц – от 4000 до 10 000 руб., для ИП – от 10 000 до 20 000 руб., для юридических лиц – от 25 000 до 45 000 руб.
- По п. 6 – за неприменение средств автоматизации, которые обеспечивают сохранность сведений при хранении, если бездействие привело к незаконному использованию, если в составе нет уголовного преступления, на оператора накладывается штраф: на граждан – от 700 до 2000 руб., на должностных лиц – от 4000 до 10 000 руб., на ИП – от 10 000 до 20 000 руб., на юридических лиц – от 25 000 до 50 000 руб.
Действия, которые имеют уголовный характер, квалифицируются по ст. 137 УК РФ, как нарушение неприкосновенности частной жизни.
После отзыва разрешения на обработку персональных ведомостей, они подлежат уничтожению. О том, как составить подобный отказ расскажет автор ролика ниже.
https://youtu.be/Q8OMzvPQ-yU
Образец политики обработки персональных данных в 2020 году
8 0 4712
Государственные органы и работодатели обращают особое внимание на работу с персональными данными граждан и работников. Забота о безопасности информации и обеспечение конфиденциальности личных сведений – важный аспект для функционирования любого предприятия или учреждения.
ФЗ №152 устанавливает понятие персональных данных (ПД). Это любая информация, относящаяся к субъекту, а также позволяющая идентифицировать его личность прямо или косвенно. Законодательство не устанавливает конкретный перечень сведений, которые можно отнести к персональным данным.
В сфере трудовых взаимоотношений к ПД можно отнести:
- ФИО;
- паспортные данные;
- дату рождения;
- место проживания и адрес фактической регистрации;
- номер ИНН или СНИЛС;
- сведения об образовании;
- сведения о стаже работы и т.д.
Указанный перечень можно считать минимальным. Любые данные, сообщаемые работником работодателю, можно отнести к персональным, если они позволяют идентифицировать этого работника.
К ПД также можно отнести:
- условия и нюансы трудового соглашения;
- данные о воинском учете;
- данные из медицинской карты;
- социальные выплаты;
- информация о наградах или дисциплинарных взысканиях.
Все это должно храниться в личном деле сотрудника и не может быть использовано против него. Информация также не может быть передана третьим лицам без согласия этого работника.
Любой работодатель является оператором по обработке ПД, то есть работодатель отвечает за сбор, хранение и накопление любых данных по отношению к сотруднику.
Обработка данных может проводиться руководителем или сотрудником отдела кадров вручную или с применением автоматизированных технологий. Конфиденциальность должна сохраняться как на время фактической работы физлица на предприятии, так и по завершению трудовой деятельности.
ФЗ №125 обязует предприятия хранить личные дела сотрудников в архиве в течение 75 лет. В течение этого периода никакая информация не может быть передана третьим лицам или использована в корыстных целях. Комплекс соответствующих мер должен быть направлен на конфиденциальность.
Как составить положение
Необходимость создания конфиденциальности и порядок работы с персональными данными должен быть отражен в Политике обработки ПД.
На 2020 год положение о защите ПД имеет следующую структуру:
- Общие положения с указанием целей и задач документа, а также с перечнем основных нормативно правовых актов, на основании которых создана политика конфиденциальности.
- Основные понятия с расшифровкой терминов и значений, используемых в документе.
- Состав ПД, включая перечень личных сведений работников.
- Условия обработки ПД внутри конкретного предприятия, на основании законодательства РФ.
- Список документов, предъявляемых работником работодателю, в которых содержится личная информация.
- Порядок доступа к информации, включая условия как для внутреннего, так и для внешнего обращения к базе данных и личным делам.
- Защита ПД, включая поэтапный комплекс мер, направленных на формирование полной конфиденциальности и создания безопасности хранения информации.
- Права и обязанности сотрудника в отношении обработки ПД, а также условия для внесения изменений и необходимость уведомления об этих изменениях.
- Ответственность за нарушение конфиденциальности, включая разъяснения различных случаев и меры наказания на основании законодательства РФ.
Образец политики обработки персональных данных в 2020 году можно скачать по ссылке.
Введение политики обработки ПД в действие проходит в несколько этапов:
- Разработка политики и согласование содержания документа с руководителями подразделений и юристами.
- Утверждение политики как нормативного акта. Утвердить документ должен глава предприятия путем издания приказа. При внесении в акт изменений также необходим соответствующий приказ.
- Ознакомление сотрудников предприятия с приказом и политикой. Также с документами должны быть ознакомлены не только уже работающие сотрудники, но и вновь нанятый персонал.
- Подтвердить ознакомление с текстом документа личной подписью сотрудника в специальном журнале. Подтверждение не обязательно и производится на усмотрение работодателя.
На практике руководитель и любой сотрудник предприятия должен иметь возможность обратиться к тексту положения при необходимости. Для удобства использования многие крупные предприятия выкладывают нормативные документы в ресурс общего корпоративного доступа.
https://www.youtube.com/watch?v=0jYRCm0R5Sg
В случае, если в данный момент положение о конфиденциальности персональных данных отсутствует, необходимо незамедлительно его разработать и согласовать со всеми инстанциями. Грамотно составленный документ поможет избежать многих проблем и разногласий.
Какие могут быть нарушения
Варианты нарушений и возможные санкции рассмотрены в таблице:
Нарушение | Санкции для физлиц | Санкции для должностных лиц | Санкции для юрлиц |
Обработка ПД в «других» целях. Например, передача сторонним предприятиям или рекламным компаниям. | Предупреждение или штраф в размере 1-3 тыс. рублей | Предупреждение или штраф в размере 5-10 тыс. рублей | Предупреждение или штраф в размере 30-50 тыс. рублей |
Обработка ПД без согласия. Согласие должно быть предоставлено в письменном виде и заверено личной подписью физлица. Также обязательно присутствие даты заполнения документа и срока действия. | Штраф в размере 3-5 тыс. рублей | Штраф в размере 10-20 тыс. рублей | Штраф в размере 15-75 тыс. рублей |
Отсутствие доступа к положению о ПД сотрудникам предприятия в любое время при необходимости. | Штраф в размере 700 – 1 500 рублей | Штраф в размере 3-6 тыс. рублей | Штраф в размере 5-10 тыс. рублей для ИП и 15-30 тыс. рублей для организаций |
Сокрытие информации от владельца данных об изменениях в ПД или политике. | Штраф в размере 4-6 тыс. рублей | Штраф в размере 5-10 тыс. рублей | Штраф в размере 20-40 тыс. рублей |
Нарушение сохранности ПД, в следствие чего третьи лица могли получить информацию. | Штраф в размере 700 – 2 000 рублей | Штраф в размере 4-10 тыс. рублей | Штраф в размере 10-20 тыс. рублей для ИП и 25-50 тыс. рублей для организаций |
Таким образом, передача личной информации работодателю или в другие учреждения должна сопровождаться заполнением согласия на обработку личных данных.
При этом получатель согласия не вправе распространять персональные сведения после оказания услуги или после увольнения в течение нескольких десятков лет. Если же процедура обработки информации или конфиденциальность будет нарушена, потерпевший может обратиться в суд для разъяснения ситуации.
Как блокировать и уничтожить информацию на различных носителях?
Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора. Субъектом, уполномоченным проводить такие действия (администратором), может быть:
- ответственный за обработку сотрудник, который наделен такими полномочиями по должностной инструкции;
- комиссия, состав и порядок работы которой утвержден приказом компании-оператора.
Исходя из формулировки понятия уничтожения ведомостей в законе, можно выделить два вида удаления:
- уничтожение сведений с невозможностью их восстановить;
- удаление носителя.
Поскольку законодательно не определены требования для уничтожения информации, оператор самостоятельно разбирается с ликвидацией личных сведений.
На рыке работает множество компаний, готовых предоставить соответствующие услуги в разных вариациях.
На бумаге
Если хранение личных сведений производится на бумажном носителе, то операторы используют такие способы уничтожения:
- шредирование — измельчение на специальном приборе или гидрообработка;
- также можно прибегнуть к методу в виде термической обработки (сожжение бумаг).
Перед использованием шредера оператор вправе выбрать одну из пяти степеней конфиденциальности. Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.
На электронных носителях
Различают несколько разновидностей электронных носителей, среди них:
- дискеты и zip-диски;
- CD и DVD диски;
- винчестеры;
- жесткие диски и пр.
Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.
Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).
Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:
- механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
- химически – помещение объекта в агрессивную среду;
- термически – поджег, переплав.
Применение таких способов сводит возможность считывания файлов с носителей к нулю.
Удаление из баз удаленных хранилищ
Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта. Удаление ведомостей из баз регулируется нормами разработчиков системы. Для этого пользователь должен ознакомиться с правилами пользования дистанционными накопителями. Обычно разработчики создают удобное руководство по пользованию, в том числе очищению баз от неиспользуемых файлов.
Другой способ уничтожить данные из хранилища – удалить само облако.
Что представляет собой акт об уничтожении документов
В организациях данные процедуры проводятся регулярно. Ведь ежегодно на хранение в архив поступает множество бумаг. Однако нельзя просто так взять и выбросить даже те документы, которые уже считаются недействительными. Эта процедура должна быть правильно оформлена. И делается это при помощи соответствующего акта.
По сути, этот документ позволяет предприятию списать ненужные бумаги с баланса. Только после оформления такого документа можно приступать к утилизации. Делают это разными способами. Например, если документов немного, они просто сжигаются. Хотя при больших объемах делать это не рекомендуется. Огонь вредит экологии, да и не всегда удобно избавляться от документов именно таким способом.
Сегодня существуют специальные устройства, которые способны измельчать документы настолько, что они не подлежат восстановлению. Если говорить о крупных корпорациях, то для этих целей они часто обращаются в специализированные компании, которые занимаются уничтожением бумажной документации. Категорически не рекомендуется отправлять бумаги на макулатуру или просто выбрасывать в мусорный контейнер. Даже те документы, у которых истек срок действия, содержат определенную информацию. Необходимо сделать все возможное, чтобы она не попала к конкурентам и злоумышленникам, которые могут воспользоваться определенными сведениями в своих интересах.
Кто занимается утилизацией документа
Чтобы утилизировать бумаги, назначается специальная комиссия, которая должна состоять из двух и более человек. Как правило, сюда входят работники разных структурных подразделений. Хотя нет принципиальной разницы, кто именно будет заниматься данной процедурой. Желательно, чтобы в состав комиссии входил сотрудник того отдела, к которому относятся уничтожаемые документы. Каждый участник этой группы должен поставить в акте свой автограф.
Нужно знать, данная комиссия несет полную ответственность за правильное уничтожение документации. Здесь нужно быть предельно внимательным. Во-первых, необходимо предотвратить вероятность утечки информации. Во-вторых, бывают ситуации, когда по ошибке с ненужными документами утилизируются и те, срок действия которых еще не окончен. Необходимо сделать все возможное, чтобы не столкнуться с такой ситуацией.
Не стоит забывать, большинство первичных документов подлежит хранению на предприятии в течение пяти лет. Если такая документация будет уничтожена, организации грозят штрафные санкции. Подобные ситуации рассматриваются, как незаконное уничтожение важной документации, что вызывает подозрения в каких-либо мошеннических действиях. Стоит напомнить, за это членам комиссии может грозить не только административное наказание. За такие действия может грозить и уголовная ответственность.