11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Акт об уничтожении персональных данных

      Акт об уничтожении персональных данных

      Акт об уничтожении персональных данных

      Обязанности оператора ПДн не ограничиваются установлением правил доступа и другими мерами защиты личной информации — также он должен обеспечить её уничтожение при наличии на это законных оснований. Необходимость процедуры прописана в ФЗ-152, как и сроки, в течение которых ИП, муниципальный орган или компания должны предпринять шаги по ликвидации сведений. Одним из этапов процесса является составление акта уничтожения носителей персональных данных или непосредственно информации (если речь идет о хранении на флешках, дисках и т.д.). Позаботиться об этом нужно, чтобы:

      • исключить несанкционированное использование третьими лицами;
      • избежать обвинений в чрезмерности обрабатываемых ПДн;
      • зарекомендовать себя как организацию, которая идет в ногу со временем и уделяет внимание вопросам конфиденциальности сведений о клиентах, партнерах;
      • не столкнуться с дополнительными финансовыми затратами — дело не только в штрафах, которые может назначить Роскомнадзор, но также в издержках, которые возникнут, если кто-то из сотрудников или заказчиков подаст в суд за несанкционированное применение ПДн.

      В ФЗ-152 и другие нормативно-правовые документы, регулирующие процессы обработки ПДн, постоянно вносят изменения, которые нужно отслеживать. Мониторинг нововведений можно осуществлять самостоятельно либо заказать аутсорсинг.

      Давайте рассмотрим особенности составления акта и в целом порядок ликвидации идентифицирующей граждан информации, чтобы понять, как действовать и не совершать ошибок.

      Когда возникает необходимость в ликвидации ПДн?

      Согласно основному ФЗ в области ПДн и правительственному постановлению № 146, принятому в 2019 году, именно на оператора возлагается ответственность за предупреждение незаконных операций с личными данными граждан. В списке обязанностей — принятие организационных, правовых и технических мер по их уничтожению. Потребность в выполнении процедуры ликвидации возникает, если:

      • субъект составляет и подает в предусмотренном законом порядке заявление о том, что обрабатываемые сведения получены незаконным путем, не отвечают действительности либо являются неполными;
      • ИП либо компания получает запрос на отзыв ранее подписанного гражданином согласия на сбор, хранение и другие операции с ПДн;
      • случайно или в рамках внутренней либо внешней (аудиторской) проверки обнаружено, что сведения поступили в распоряжение оператора незаконно либо в избыточном количестве (то есть у субъекта запросили больше, чем нужно для выполнения поставленных задач);
      • требование об удалении поступило от Роскомнадзора;
      • исходные цели обработки достигнуты либо в совершении операций с ПДн гражданина отпала необходимость. Например, произошло увольнение сотрудника или завершился срок действия договора с клиентом либо поставщиком.

      Акт об уничтожении ПДн составляется на завершающем этапе процедуры и является документальным подтверждением того, что обязанности перед контролирующими органами и субъектами выполнены в полном соответствии с ФЗ-152 и другими нормативно-правовыми документами.

      Сколько есть времени на уничтожение личных данных граждан?

      От момента появления оснований до фактической ликвидации может пройти время, ведь решить все формальности и произвести необходимые действия за один день сложно. Избежать штрафных санкций и судебных исков удастся, если успеть выполнить процедуру в те сроки, которые прописаны в ФЗ-152. Закон говорит о том, что уничтожить ПДн нужно:

      • за 7 дней, если субъект, его официальный представитель либо Роскомнадзор подали соответствующее заявление и обеспечили доказательства того, что обрабатываемые сведения неполные, неправдивые либо попали оператору незаконным способом;
      • за 10 дней при обнаружении нарушений самой компанией либо ИП. Игнорировать факт несанкционированного применения либо неточности ПДн нельзя — нужно максимально быстро удалить сведения из информационной системы;
      • за 30 рабочих дней, если цели обработки достигнуты либо гражданин подал заявление об отзыве согласия;
      • не позднее, чем спустя 6 месяцев после получения заявления или обнаружения нарушений, если сразу принять необходимые меры невозможно. Учтите, что санкций не будет только в том случае, если в течение 30 дней заблокировать конфиденциальную информацию.

      Не опоздать с уничтожением так же важно, как и соблюдать определенный порядок действий. В частности, на начальном этапе предстоит сформировать комиссию и определить, каким образом будет проходить ликвидация ПДн.

      Приказ на уничтожение персональных данных: особенности составления

      Как и другие операции, связанные с ПДн, процесс уничтожения должен быть отражен во внутренней документации предприятия. Первый локальный акт, который предстоит составить и подписать, — приказ о создании комиссии. К нему может прилагаться инструкция или положение о ликвидации конфиденциальных сведений о гражданах с разных видов носителей, а также документ, подтверждающий успешность процедуры. Типовой формы у приказа нет, но в нем обязательно должны присутствовать:

      • порядковый номер документа;
      • дата составления;
      • сведения об операторе — кроме полного юридического названия нужно указать адрес, контактный телефонный номер, номер лицензии (если есть);
      • перечень нормативно-правовых актов, которым соответствует документ, — как правило, прописывается соответствие с положениями ФЗ-152;
      • состав комиссии — отдельно указываются члены, председатель и секретарь. В дополнение к руководителю, начальнику кадровой службы и главбуху можно привлечь глав других департаментов;
      • список обязанностей членов комиссии и временные рамки для их выполнения;
      • упоминание о том, что контроль над исполнением возлагается на директора организации;
      • Ф.И.О., должности и подписи всех заинтересованных лиц;
      • печать и автограф руководителя.

      Что включает в себя форма акта уничтожения документов, содержащих персональные данные?

      Несмотря на то, что по закону оформление акта, подтверждающего исполнение приказа об уничтожении ПДн, является обязательным, его структура и содержание в разных организациях могут варьироваться. В большинстве случаев используется фирменный бланк компании, на котором распечатывают предварительно продуманный текст, но никто не запрещает написать его вручную на обычном листе бумаги. Главное — чтобы в нем присутствовала следующая информация:

      • реквизиты оператора ПДн;
      • пометка директора, что документ утвержден (кроме подписи потребуется вписать дату и должность);
      • число, месяц и год, а также место составления;
      • список членов комиссии с указанием Ф.И.О. и занимаемых постов, обязательно нужно указать, кто является председателем и секретарем;
      • упоминание о приказе как о документе, на основании которого действует комиссия, а также ссылка на ФЗ-152;
      • сведения о факте уничтожения — тип носителя, дата, список всех ликвидированных документов, применённый способ и причина, по которой ПДн уничтожили;
      • подписи всех участников.

      Поскольку необходимость фиксировать уничтожение персональных данных будет возникать достаточно часто в процессе ведения коммерческой либо некоммерческой деятельности, есть смысл составить и сохранить образец, который потом можно будет использовать для экономии времени.

      Не забудьте проверить текст на отсутствие неточностей, грамматических или орфографических ошибок, чтобы не пришлось вносить изменения или заполнять бланк заново.

      Важные моменты

      Занимаясь составлением акта уничтожения носителей, содержащих персональные данные, либо информации, которая на них записана, стоит принимать в расчет следующие нюансы:

      • сколько бы ни было листов в документе, на каждом из них должны стоять подписи членов ранее созданной комиссии;
      • подтвердить подписью нужно все сделанные исправления и дополнения документа;
      • кроме использования шредера можно уничтожать бумаги с помощью сжигания, а цифровые носители деформировать не обязательно — есть современное программное обеспечение, позволяющее удалить записанные на внешний накопитель сведения без возможности восстановления;
      • заранее нужно подумать, кому доверить решение вопросов информационной безопасности. Как минимум должен быть один ответственный за защиту ПДн сотрудник, но если объемы информации большие, то разумнее привлечь сторонних специалистов;
      • отдельный акт должен быть разработан для каждого используемого способа ликвидации ПДн либо бумажного/электронного носителя;
      • нет смысла разрабатывать акт без предварительного составления приказа об уничтожении персональных данных по образцу или с нуля. Документ нужен, чтобы зафиксировать свершившийся факт, то есть сначала нужно будет подготовить юридическое обоснование и удалить информацию либо избавиться от носителя;
      • следует обязательно убедиться в том, что уничтоженные конфиденциальные сведения никаким образом нельзя восстановить. Если выбранный способ окажется малоэффективным и кто-то незаконно использует бывшие в обработке данные, то ответственность будет нести именно оператор, который допустил утечку;
      • выполнить процессуальные действия, предусмотренные законом при ликвидации ПДн, нужно без задержек по срокам, иначе контролирующий орган может назначить штрафные санкции;
      • нужно убедиться, что уничтоженные персональные данные были удалены из локальных журналов и книг учета;
        Когда речь идет об оригиналах документов работников либо клиентов, то они в обязательном порядке возвращаются владельцам, и процедура уничтожения осуществляется исключительно в отношении копий.
      • если на законодательном уровне предусмотрена возможность в вашем случае продолжать обработку, то процедуру уничтожения проводить не требуется. Однако никто не отменял необходимость следования положениям ФЗ-152 в процессе совершения операций с ПДн.
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Угрозы безопасности персональных данных
        Угрозы безопасности персональных данных
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Актуальные угрозы безопасности персональных данных
        Актуальные угрозы безопасности персональных данных
      • Методика определения актуальных угроз безопасности персональных данных
        Методика определения актуальных угроз безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Модель угроз безопасности персональных данных
        Модель угроз безопасности персональных данных
      • Классификация информационных систем персональных данных (отменена)
        Классификация информационных систем персональных данных (отменена)
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных

      Услуги
      Разработка документации
      Разработка документации
      Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных
      Подготовка к проверке
      Подготовка к проверке
      Приведение обработки персональных данных в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных» с целью успешного прохождения проверки в области персональных данных
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее