Приказ об утверждении акта об уничтожении персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Приказ об утверждении акта об уничтожении персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

МИНИСТЕРСТВО ПО ЗЕМЕЛЬНЫМ И ИМУЩЕСТВЕННЫМ ОТНОШЕНИЯМ РЕСПУБЛИКИ КАЛМЫКИЯ

ПРИКАЗ

от 25 марта 2013 года N 61-од

Об утверждении Порядка уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований в Министерстве по земельным и имущественным отношениям Республики Калмыкия

В целях реализации Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами» приказываю:

Утвердить прилагаемый Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований в Министерстве по земельным и имущественным отношениям Республики Калмыкия.

Министр Н. Андреев

Образец приказ об уничтожении документов с истекшим сроком хранения


1. Общие положения

Настоящий документ устанавливает порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований в Министерстве по земельным и имущественным отношениям Республики Калмыкия (далее — Министерство), в целях реализации: Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами».

2. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных

законных оснований

2.1. Документы, дела, книги и журналы учета, содержащие персональные данные, при достижении целей обработки, или при наступлении иных законных оснований, (например, утратившие практическое значение, а также с истекшим сроком хранения), подлежат уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании Постоянно действующей экспертной комиссии Министерства.

По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами Постоянно действующей экспертной комиссии Министерства и утверждается Министром.

Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста или сжигаются.

После уничтожения материальных носителей членами: комиссии подписывается акт об уничтожении носителей, содержащих персональные данные, в грех экземплярах (Приложение 1), делается запись в журналах их учета и регистрации, а также в номенклатурах и описях дел проставляется отметка «Уничтожено. Акт N __(дата)».

2.2. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Перед уничтожением информации исполнитель сообщает ответственному за организацию обработки персональных данных. Об уничтожении файлов делаются соответствующие отметки в Журнале уничтожения носителей персональных данных (Приложение 2).


Комиссия в составе:

Председатель- ____________________________________________________

Члены комиссии — __________________________________________________

провела отбор бумажных, электронных, магнитных и оптических носителей персональных данных и другой конфиденциальной, информации (далее носители) и установила, что в соответствии с требованиями руководящих документов по защите информации указанные носители и информация, записанная на них в процессе эксплуатации, в соответствии с действующим законодательством Российской Федерации, подлежит гарантированному уничтожению и составила настоящий акт о том, что произведено уничтожение носителей персональных данных в составе:

N п/н

Дата

Тип носителя

Учетный номер носителя

Категории информации

Примечание

Всего носителей___________________________________________

(цифрами и прописью количество)

На указанных носителях персональные данные уничтожены путем

______________________________________________________________________

(стирания на устройстве гарантированного уничтожения информации и т.п.)

Перечисленные носители ПД уничтожены путем

Журнал начат ________________
Журнал завершен _____________
Ответственный _______ (Ф.И.О.)
На ____ листах

N п/п

Наименование
ИСПД, в которой
уничтожаются
персональные данные

Ф.И.О.
субъекта,
переданные
которого подлежащие уничтожению

Обоснование
уничтожения

Наименование
файла, и его
месторасположение

Дата уничтожения

Ф.И.О. и подпись
Исполнителя

Ф.И.О. и подпись
ответственного
за обработку
персональных
данных

1

2

3

4

5

6

7

8

1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 01.01.2001 «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК «Практические правила управления информационной безопасностью» и устанавливает порядок использования носителей информации, предоставляемых комитетом ЗАГС для использования в ИС.

1.2. Действие настоящего Инструкции распространяется на сотрудников комитета ЗАГС, подрядчиков и третью сторону.

Приказ об уничтожении документов

Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники.

АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.

ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.

ИС – информационная система – система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.

Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации.

ПК – персональный компьютер.

ПО – Программное обеспечение вычислительной техники.

ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.

ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.

Пользователь – работник комитета ЗАГС, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей.

3.1. Под использованием носителей информации в ИС комитета ЗАГС понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и носителями информации.

3.2. В ИС допускается использование только учтенных носителей информации, которые являются собственностью органа исполнительной власти и подвергаются регулярной ревизии и контролю.

3.3. К предоставленным комитетом ЗАГС носителям конфиденциальной информации предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).

3.4. Носители конфиденциальной информации предоставляются сотрудникам комитета ЗАГС по инициативе Руководителей структурных подразделений в случаях:

— необходимости выполнения вновь принятым работником своих должностных обязанностей;

— возникновения у сотрудника комитета ЗАГС производственной необходимости.

4. Порядок учета, хранения и обращения со съемными носителями конфиденциальной информации (персональных данных), твердыми копиями и их утилизации.

4.1. Все находящиеся на хранении и в обращении съемные носители с конфиденциальной информацией (персональными данными) в комитете ЗАГС подлежат учёту.

4.2. Каждый съемный носитель с записанной на нем конфиденциальной информацией (персональными данными) должен иметь этикетку, на которой указывается его уникальный учетный номер.

4.3. Учет и выдачу съемных носителей конфиденциальной информации (персональных данных) осуществляет администратор ИС. Факт выдачи съемного носителя фиксируется в журнале учета носителей конфиденциальной информации.

4.4. Сотрудники комитета ЗАГС могут получать съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета.

По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.

4.5. При использовании сотрудниками носителей конфиденциальной информации необходимо:

4.5.1. Соблюдать требования настоящей Инструкции.

4.5.2. Использовать носители информации исключительно для выполнения своих служебных обязанностей.

4.5.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящей Инструкции.

4.5.4. Бережно относится к носителям конфиденциальной информации.

4.5.5. Обеспечивать физическую безопасность носителей информации всеми разумными способами, в том числе хранение носителя в сейфе.

4.5.6. Извещать администраторов ИС о фактах утраты (кражи) носителей конфиденциальной информации.

4.6. При использовании носителей конфиденциальной информации запрещено:

4.6.1. Использовать носители конфиденциальной информации в личных целях.

4.6.2. Передавать носители конфиденциальной информации другим лицам (за исключением администраторов ИС).

4.6.3. Хранить съемные носители с конфиденциальной информацией (персональными данными) вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

4.6.4. Выносить съемные носители с конфиденциальной информацией (персональными данными) из служебных помещений для работы с ними на дому либо в других помещениях (местах).

4.7. Любое взаимодействие (обработка, прием, передача информации), инициированное сотрудником органа исполнительной власти между ИС и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИС заранее). Администратор ИС оставляет за собой право блокировать или ограничивать использование носителей информации.

4.8. Информация об использовании сотрудником комитета ЗАГС носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена ответственному лицу за организацию обработки персональных данных и председателю комитета ЗАГС.

4.9. В случае выявления фактов несанкционированного и/или нецелевого использовании носителей конфиденциальной информации инициализируется служебная проверка, проводимая комиссией, состав которой утвержден председателем комитета ЗАГС.

4.10. По факту выясненных обстоятельств составляется акт расследования инцидента и передается председателю комитета ЗАГС для принятия мер согласно действующему законодательству.

4.11. Информация, хранящаяся на носителях конфиденциальной информации, подлежит обязательной проверке на отсутствие вредоносного ПО.

4.12. При отправке или передаче конфиденциальной информации (персональных данных) адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка конфиденциальной информации (персональных данных) адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования.

4.13. Вынос съемных носителей конфиденциальной информации (персональных данных) для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.

4.14. В случае утраты или уничтожения съемных носителей конфиденциальной информации (персональных данных) либо разглашении содержащихся в них сведений, об этом немедленно ставится в известность руководитель соответствующего структурного подразделения. По факту утраты носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей конфиденциальной информации (персональных данных).

Бизнес: • Банки • Богатство и благосостояние • Коррупция • (Преступность) • Маркетинг • Менеджмент • Инвестиции • Ценные бумаги: • Управление • Открытые акционерные общества • Проекты • Документы • Ценные бумаги — контроль • Ценные бумаги — оценки • Облигации • Долги • Валюта • Недвижимость • (Аренда) • Профессии • Работа • Торговля • Услуги • Финансы • Страхование • Бюджет • Финансовые услуги • Кредиты • Компании • Государственные предприятия • Экономика • Макроэкономика • Микроэкономика • Налоги • Аудит
Промышленность: • Металлургия • Нефть • Сельское хозяйство • Энергетика
Строительство • Архитектура • Интерьер • Полы и перекрытия • Процесс строительства • Строительные материалы • Теплоизоляция • Экстерьер • Организация и управление производством

Бытовые услуги • Телекоммуникационные компании • Доставка готовых блюд • Организация и проведение праздников • Ремонт мобильных устройств • Ателье швейные • Химчистки одежды • Сервисные центры • Фотоуслуги • Праздничные агентства

Обработка персональных данных третьих лиц

Для уничтожения документов создается специальная комиссия, в состав которой должно входить не менее двух человек. Обычно это сотрудники разных структурных подразделений предприятия, в том числе и того отдела, документы которого подлежат утилизации. Подписи каждого из них должны стоять на акте об уничтожении бумаг.

При этом не стоит забывать о том, что члены комиссии несут ответственность за уничтожаемые документы. Именно поэтому к данному процессу стоит относиться очень внимательно, чтобы не допустить утилизации бумаг, не утративших своего значения.

Не нужно забывать и о том, что большинство документов следует хранить не менее пяти лет, в противном случае возможны серьезные санкции со стороны надзорных органов.

Как уже было сказано выше, перед тем, как перейти непосредственно к процессу уничтожения бумаг, специальным приказом руководителя предприятия назначается комиссия, которая отвечает за всю процедуру проведения утилизации от начала и до конца.

Первым делом члены комиссии проводят экспертную оценку накопившейся документации. Цель ее – убедиться в том, что утилизируемые документы не имеют ценности для предприятия, не содержат никакой важной и актуальной информации, а также имеют завершёный срок хранения.

Затем составляется специальный акт, куда вносится перечень подлежащих утилизации документов и только после этого можно приступать непосредственно к процедуре. После того, как она будет успешно завершена, акт об утилизации визируется комиссией.

Существуют общепринятые способы уничтожения документов. Это может быть сожжение (не всегда удобно и не экологично) или утилизация при помощи специального уничтожителя бумаг (возможна только тогда, когда документов не слишком много). Однако если объем документов большой, то лучше всего прибегнуть к услугам специализированной компании, которая профессионально занимается утилизацией бумажной документации. В этом случае нужно оформить с исполнителем передаточный акт, где указывается объем, вес, дата, количество дел и т.п. параметры.

Во избежание попадания в руки злоумышленников, ни в коем случае не допускается выбрасывание документов в мусорные контейнеры или на свалку, сдача их в макулатуру или использование в качестве черновиков.

Документ не имеет стандартного, рекомендованного к применению образца, поэтому составляться он может в свободном виде или по шаблону, разработанном на предприятии. Независимо от того, какой вариант для написания акта будет выбран, его структура всегда должна быть примерно одинакова.

  • Вначале документа указывается название организации.
  • Отдельно вписывается состав комиссии.
  • В специальную таблицу (но можно и простым перечислением) вносится конкретный список уничтожаемых документов.

Если объем документации слишком велик то бумаги делятся на категории и вносятся в бланк отдельными позициями.

  • Также в документе можно указать вес или объем утилизируемых бумаг.
  • В конце акт должен содержать подписи всех членов комиссии по утилизации и автограф руководителя.
  • Заверять акт печатью не обязательно, поскольку он относится ко внутренней документации фирмы (на забываем и о том, что с 2016 года юридические лица имеют законное право не использовать в своей деятельности штампы и печати для удостоверения бумаг).

    Оформлять акт можно как на обычном простом листе А4 формата, так и на фирменном бланке компании, писать можно как в рукописном, так и в печатном виде. Экземпляров составляется столько, сколько необходимо (обычно по одному для каждого члена комиссии и для самой организации) и каждый из них заверяется должным образом.

    Персональные данные: уничтожение персональных данных

    После утилизации бумаг, составления и визирования акта, он передается на хранение в архив предприятия, где содержится ровно столько, сколько требуется хранить подобного рода документы по закону. В случае необходимости акт может быть извлечен из архива и использован в качестве доказательства при решении всевозможных конфликтных ситуаций и разбирательств.

    Хотелось бы разграничить ответственность. Но как это оформить в приказе, что технически за обработку и сохранность персональных данных отвечаю я, а за личные дела сотрудник отвечает непосредственно отдел кадров.

    У нас вот как:

    Есть Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в котором прописаны должности и их функционал (Администратор БД, Администратор ИСПДн, ответственный за организацию обработки ПДн, ответственный за выполнение работ по обеспечению безопасности ПДн и т.д.).

    В приказе Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

    1. Назначить ответственным за организацию обработки персональных данных. ФИО. Возложить на ФИО обязанности, предусмотренные Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее — Положение).

    2. Назначить ответственным за выполнение работ по обеспечению безопасности персональных данных. ФИО. Возложить на ФИО обязанности, предусмотренные Положением.

    и т.д.

    Документы, в которых про ответственность речь, про обязанности и т.д. под роспись этим сотрудникам.

    Также ещё есть инструкции для этих должностей, где всё подробно описано. И тоже под роспись.

    Образцы по теме: Приказ. Труд

    ОАО «Бегемот»

    Во исполнение гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», других действующих нормативно-правовых актов РФ в целях обеспечения соблюдения трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества

    Приказываю:

    1. Назначить ответственных за сбор и хранение персональных данных работников общества следующих сотрудников:

    Водченко Светлану Анатольевну, начальника отдела кадров,

    Принципкину Софию Федоровну, специалиста по кадрам.

    2. Назначить ответственных за обработку персональных данных работников общества следующих сотрудников:

    Водченко Светлану Анатольевну, начальника отдела кадров,

    Принципкину Софию Федоровну, специалиста по кадрам,

    Волонтерову Ольгу Ивановну, юрисконсульта,

    Челобитько Анну Григорьевну, главного бухгалтера,

    Свиридова Петра Александровича, бухгалтера по расчету заработной платы.

    3. Настоящий приказ объявить руководителям структурных подразделений и должностным лицам, назначенным ответственными за обработку персональных данных.

    4. Контроль исполнения приказа оставляю за собой.

    Важно понимать, что характер конфиденциальной информации, собираемый по каждому субъекту, подчинен целям обработки. Какие цели могут обусловить сбор конфиденциальных сведений о третьих лицах:

    • внесение в ИСПДн, обеспечение дополнительными социальными льготами;
    • оформлении кадровой номенклатуры дел (сведения о родных по форме Т-2);
    • обеспечение исполнения договорных обязательств; другое.

    Важно!

    Не нужно получать согласие родных работника на обработку их личных сведений в границах, предусмотренных личной карточкой по форме Т-2 — п. 2 разъяснений Роскомнадзора от 14 декабря 2012 г.

    Хранение персональных данных близких родственников работников, третьих лиц определяется целью их обработки. Она указана в согласии, также, как и срок действия документа.

    По истечению срока, достижении целей обработки ПД, при отзыве согласия на обработку персональных данных конфиденциальная информация о любом третьем лице должна уничтожаться. Это требование статьи 21 Федерального закона No 152-ФЗ «О персональных данных».

    Важно!

    Личные сведения уничтожаются со всех носителей, где они присутствуют — из ИСПДн и с бумажных носителей.

    В законе 152-ФЗ прописано, что под уничтожением персональных данных подразумеваются действия, которые повлекут:

    • невозможность восстановить информацию о субъектах данных в системах хранения;
    • уничтожение материального носителя.

    Согласно ст.21 закона 152-ФЗ выделяют три основания для ликвидации:

    1. Если с данными проводятся неправомерные действия.
    2. Если цель, поставленная для обработки сведений, была достигнута.
    3. Если пропала необходимость обработки сведений, например, если субъект отозвал заявление на такие действия.

    При наступлении одного из этих случаев, оператор, в указанные законом сроки, обязывается уничтожить личный сведения субъекта, после чего уведомить последнего о проделанной работе.

    Исходя из оснований, будут различаться процедуры удаления информации.

    В первом случае, при неправомерном вмешательстве, используется такая схема:

    1. Изначально производится выявление факта нарушения. Юрист предприятия дает правовую оценку, если нарушение выявлено, сообщение направляется администратору.
    2. После этого в течение 10 дн. производятся попытки устранить опасность. Если угроза миновала, информация подлежит разблокировке. Если действия оказались безрезультатными в течение 3 дн., то сведения удаляются в десятидневный срок, о чем уведомляется субъект, к которому они относятся.

    К неправомерным действиям с персональными сведениями относят любую обработку информации, которая производится без согласия субъекта, в виде:

    • сбора;
    • накопления;
    • систематизации;
    • удаления;
    • блокирования;
    • хранения;
    • изменения или обновления;
    • распространения;
    • обезличивания.

    Так, например, если информация была передана третьему субъекту, то компания направляет письмо с прошением удалить сведения либо спросить разрешение на обработку файлов у владельца. Если контрагент согласен, то он уничтожает сведения и сообщает об этом владельцу. В противном случае администратор компании обязан в 10-дневный период уничтожить все файлы, а также уведомить субъекта.

    Если цель обработки была достигнута, то действует следующий алгоритм (п.4 ст.21 закона 152-ФЗ):

    1. Фиксация момента достижения цели.
    2. В течение 30-дневного срока со дня выполнения задачи, администратор удаляет сведения.
    3. Параллельно готовится уведомление владельцу.
    4. После уничтожения информации, уведомление направляется субъекту.

    Пункт о цели работы с личной информацией является существенным условием в письменном соглашении об обработке данных. В письменном заявлении на проведение операций с персональными сведениями субъект указывает:

    • ФИО, паспортные данные;
    • полное наименование и реквизиты оператора (организация, которая производит обработку);
    • цель;
    • список данных, которые подлежат обработке;
    • виды обработки, которые могут применяться к объектам предоставленного разрешения;
    • срок действия соглашения;
    • процедуру отказа от разрешения на работу с информацией.

    Схема действий при отзыве заявки на обработку ведомостей (п.5 ст.21 закона 152-ФЗ):

    1. Субъект направляет письмо с отзывом.
    2. Компания принимает решение об удовлетворении или отклонении требований.
    3. В случае положительного ответа, в течение 30 дн. готовится уведомление об уничтожении файлов. В этот же период данные должны быть удалены.
    4. Администратор уведомляет субъекта о проведенной работе.

    Отозвать разрешение можно частично, например, запретить обработку адреса, номера телефона. Или ограничить определенный вид использования, например, уточнение, обезличивание.

    Вместе с порядком уничтожения личных сведений, в ст. 21 закона 152-ФЗ указаны сроки для произведения таких действий:

    • Незаконное использование или правонарушение в отношении личных ведомостей. 3 дня на устранение противоправных действий, в случае неудовлетворительного результата – 10 дней для удаления (п.3).
    • Достижение цели обработки – 30 дней со дня установления данного факта (п.4).
    • Заявление с отказом на дальнейшую обработку сведений от субъекта – 30 дней с даты принятия отзыва (п.5).

    В п.6 ст.21 закона 152-ФЗ прописано, что если оператор не в состоянии провести удаление сведений в вышеуказанные сроки, то вся информация блокируются и подлежат удалению в 6-месячный срок.

    Порядок блокирования или уничтожения файлов устанавливается в локальных актах оператора. Субъектом, уполномоченным проводить такие действия (администратором), может быть:

    • ответственный за обработку сотрудник, который наделен такими полномочиями по должностной инструкции;
    • комиссия, состав и порядок работы которой утвержден приказом компании-оператора.

    Исходя из формулировки понятия уничтожения ведомостей в законе, можно выделить два вида удаления:

    • уничтожение сведений с невозможностью их восстановить;
    • удаление носителя.

    Поскольку законодательно не определены требования для уничтожения информации, оператор самостоятельно разбирается с ликвидацией личных сведений.

    На рыке работает множество компаний, готовых предоставить соответствующие услуги в разных вариациях.

    Приказ об утверждении положения о персональных данных

    Если хранение личных сведений производится на бумажном носителе, то операторы используют такие способы уничтожения:

    • шредирование — измельчение на специальном приборе или гидрообработка;
    • также можно прибегнуть к методу в виде термической обработки (сожжение бумаг).

    Перед использованием шредера оператор вправе выбрать одну из пяти степеней конфиденциальности. Нормативно такая процедура не установлена, поэтому оператор не несет ответственности за выбор.

    Различают несколько разновидностей электронных носителей, среди них:

    • дискеты и zip-диски;
    • CD и DVD диски;
    • винчестеры;
    • жесткие диски и пр.

    Ранее также были актуальны кассеты, но сейчас более активно используют флеш-носители.

    Удаление файлов с электронных носителей должно производиться согласно стандартам, установленным российскими и международными актами, например: ГОСТ P50739-95 (РФ), DoD 5220.22-M; NAVSO P-5239-26 (RLL) (США); VSITR (Германия).

    Для уничтожения электронного носителя необходимо оказать воздействие разрушающее химическую, магнитную и физическую составляющую объекта. Это может происходить:

    • механически – воздействие пресса, применение пескоструя, ультразвукового и электрохимического эрозирования;
    • химически – помещение объекта в агрессивную среду;
    • термически – поджег, переплав.

    Применение таких способов сводит возможность считывания файлов с носителей к нулю.

    Базы удаленных хранилищ, нередко также называются «Облако», удобный способ хранение и синхронизации сведений субъекта. Удаление ведомостей из баз регулируется нормами разработчиков системы.

    Для этого пользователь должен ознакомиться с правилами пользования дистанционными накопителями.

    Обычно разработчики создают удобное руководство по пользованию, в том числе очищению баз от неиспользуемых файлов.

    Другой способ уничтожить данные из хранилища – удалить само облако.

    Порядок уничтожения персональных данных должен соответствовать установленным законом правилам и порядкам:

    • после процесса уничтожения информация не должна иметь возможность быть восстановленной;
    • содержать документальное сопровождение, подтверждающее право на уничтожение;
    • процесс должен проводиться специальной комиссией, созданной как раз для подобных случаев;
    • под уничтожение не должны попадать источники с актуальной информацией, которую еще предполагается использовать в работе;
    • после завершения процедуры создается специальный нормативный акт, подписываемый членами комиссии и руководителем предприятия.

    Уничтожение персональных данных начинается с выпуска специального акта, подписываемого обеими сторонами сотрудничества. Данная процедура проводится в помещении при надзоре специальной комиссии, в чьи права подпадает осуществление контроля за правильностью уничтожения. Когда ликвидация данных проведена, комиссия издает специальный акт, выдаваемый на подписание директору компании.

    Акционерное общество “Праймериз”

    г. Бердск 19 марта 2022 г.

    Во исполнение требований главы 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ “О персональных данных”,

    ПРИКАЗЫВАЮ:

    1. Утвердить Положение о персональных данных работников АО “Праймериз” с 20 марта 2022 года.
    2. Назначить ответственным лицом за получение, обработку и хранение персональных данных сотрудников – начальника отдела кадров АО “Праймериз” Иванову Светлану Игоревну.
    3. Утвердить перечень должностей, допущенных к работе с персональными данными работников АО “Праймериз” (доступ без ограничений):
    • генеральный директор АО
    • заместитель генерального директора АО
    • коммерческий директор АО
    • начальник отдела кадров АО
    • ведущий специалист отдела кадров АО
    • главный бухгалтер АО

    4. Ивановой Светлане Игоревне ознакомить всех работников АО с Положением о защите персональных данных работников, с лицами, замещающими должности с допуском к работе с персональными данными заключить Обязательство о неразглашении персональных данных работников.

    Приложение:

    1. Положение о персональных данных

    Генеральный директор Агонян Агонян В.Д.

    Шаблоны документов по защите информации


    Обработка персональных данных в Департаменте осуществляется в целях:

    — реализации трудовых отношений;

    — оказания государственных услуг и осуществления государственных функций.

    Обработке подлежат только персональные данные, которые отвечают целям их обработки.


    Департамент устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

    — издание Департаментом нормативных правовых актов по вопросам обработки и обеспечения безопасности персональных данных;

    — назначение ответственных за организацию обработки и обеспечение безопасности персональных данных в Департаменте;

    — определение сотрудников Департамента, допущенных к обработке персональных данных и несущих в соответствии с действующим законодательством Российской Федерации ответственность за нарушение требований по обеспечению безопасности персональных данных;

    — ознакомление сотрудников Департамента перед началом обработки персональных данных под роспись с положениями законодательства Российской Федерации о персональных данных, с требованиями к защите персональных данных в Департаменте, документами Департамента, определяющими политику в отношении обработки персональных данных;

    — обучение сотрудников Департамента, допущенных к обработке персональных данных, выполнению требований по их защите;

    — получение персональных данных лично у субъекта персональных данных или в случаях, установленных действующим законодательством, у его законных представителей;

    — при получении персональных данных у третьей стороны Департамент извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;

    — применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

    — опубликование на официальном сайте Департамента в сети Интернет документов Департамента, определяющих политику в отношении обработки персональных данных;

    — осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также документами Департамента.


    Все персональные данные получаются непосредственно от субъекта персональных данных.

    Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку.

    Типовая форма согласия на обработку персональных данных сотрудников Департамента, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные приведены соответственно в приложениях 1, 2 к настоящим Правилам.

    В случае недееспособности субъекта все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает согласие на их обработку.

    В случаях, когда необходимые персональные данные субъекта могут быть получены только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении необходимо сообщить о целях, правовых основаниях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.


    Перечень должностей сотрудников Департамента, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, и лиц их занимающих утверждается приказом Департамента.

    Каждый сотрудник, допущенный к персональным данным, обязан подписать обязательство в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. Типовая форма данного обязательства приведена в приложении 3 к настоящим Правилам.

    Формирование перечня должностей сотрудников Департамента, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным и лиц их занимающих, а также внесение предложений по его корректировке, ознакомление данных лиц с обязательством под роспись осуществляет лицо, ответственное за организацию обработки персональных данных в Департаменте.

    Образец акта об уничтожении документов с истекшим сроком хранения


    В Департаменте персональные данные обрабатываются в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций.

    Перечень персональных данных, обрабатываемых в Департаменте, с привязкой к целям обработки персональных данных, а также указанием информационных систем, в которых они обрабатываются, утверждается приказом Департамента.

    Формирование перечня персональных данных, обрабатываемых в Департаменте, и внесение предложений по его корректировке осуществляет лицо, ответственное за организацию обработки персональных данных в Департаменте.


    К категориям субъектов, персональные данные которых обрабатываются в Департаменте в связи с реализацией трудовых отношений, относятся:

    — сотрудники Департамента;

    — руководители подведомственных Департаменту учреждений;

    — кандидаты на замещение вакантных должностей и на включение в кадровый резерв Департамента.

    К категориям субъектов, персональные данные которых обрабатываются в Департаменте в связи с оказанием государственных услуг и осуществлением государственных функций, относятся граждане, обратившиеся в Департамент в целях получения государственной услуги, а также граждане, персональные данные которых обрабатываются Департаментом в связи с осуществлением государственных функций.

    В процессе деятельности предприятия скапливаются большие объемы документации, хранить которую постоянно нерационально. Периодически компании уничтожают бумаги, потерявшие актуальность.

    Важно! Некоторые документы нужно хранить в течение периодов, установленных законодательством РФ.

    Примерами могут служить:

    • закон «Об архивном деле в РФ» от 22.10.2004 № 125-ФЗ (далее — закон № 125-ФЗ);
    • приказ Минкультуры РФ «Об утверждении перечня…» от 20.12.2019 № 236 (далее — Перечень).
    • постановление ФКЦБ РФ «Об утверждении положения…» от 16.07.2003 № 03-33/пс.

    Обратите внимание! Сроки хранения документации исчисляются с 1 января года, следующего за годом, в котором они были составлены (п. 2 ст. 21.1 закона № 125-ФЗ).

    Приведем несколько примеров временных интервалов:

    • договоры аренды недвижимости должны храниться на протяжении 10 лет с момента окончания срока их действия (п. 94 Перечня);
    • личные дела сотрудников — 75/50 лет (п. 445 Перечня);
    • графики предоставления отпусков — 3 года (п. 453 Перечня).

    Как правило, ненужная документация предприятия уничтожается в следующем порядке:

    1. Генеральный директор предприятия создает специальную комиссию, в которую могут входить руководители отделов, бухгалтер и другие сотрудники. Ее создание должно быть закреплено приказом.
    2. Члены комиссии отбирают документы, которые будут сожжены или уничтожены другим способом, и оформляют свое решение актом.

      Обратите внимание! Документы включаются в акт об уничтожении документов с истекшим сроком хранения, если установленный для них срок хранения истек к 1 января года, в котором составляется акт.

    3. После утверждения акта о списании документов к уничтожению генеральным директором можно приступать к их утилизации. Можно привлечь специализированные организации или сделать все своими силами. Сторонние организации целесообразно задействовать, если речь идет о большом объеме. Документация передается по накладным, в которых указывают дату передачи и вес. Если решено провести уничтожение своими силами, необходимо составить об этом отдельный акт, о котором расскажем ниже.

    Рассмотрим образец акта о выделении документов к уничтожению:

    • документ составляем на фирменном бланке предприятия;
    • в центре листа указываем название документа, дату его составления и номер;
    • в тексте акта приводим нормативный правовой акт, в соответствии с которым отобрана документация;
    • перечень удобнее оформить в виде таблицы, в которой необходимо сделать такие графы, как период составления документов, их количество и период их хранения;
    • в графе «Итого» указываем общее количество бумаг;
    • в конце прописываем состав членов комиссии с названием их должностей и Ф. И. О.;
    • в правом верхнем углу листа, в графе «Утверждаю» указывается наименование должности руководителя, его Ф. И. О., дата.

    Скачать образец акта о списании документов на уничтожение можно здесь.

    Приказ об утверждении журнала обращений субъектов персональных данных

    Подробный перечень документов, необходимых при проверке оператора персональных данных, размещен на сайте управления Роскомнадзора:

    — копия документа о назначении должностного лица или уполномоченного представителя, которое представляет интересы оператора при проведении проверки;

    — организационно – штатная структурная схема юридического лица (до структурного подразделения);

    — журнал учета проверок юридического лица или индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля.

  • Уведомления Роспотребнадзора о намерении осуществлять обработку персональных данных.
  • Положение о коммерческой тайне

    Положение об обработке и защите персональных данных работников

    Положение об обработке и защите персональных данных пайщиков

    Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

    Положение о порядке обезличивания персональных данных и работы с обезличенными персональными данными

    Положение об ответственности работников за разглашение персональных данных и несанкционированный доступ к персональным данным

    Правила рассмотрения запросов субъектов персональных данных или их представителей

    Приказ о назначении уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных

    Приказ о назначении ответственного по уничтожению персональных данных

    Модель угроз

    Акт определения уровня защищенности ПДн при их обработке в информационных системах персональных данных (ИСПДн)

    План мероприятий по обеспечению безопасности ПДн

    Перечень ИСПДн

    Положение об организации режима безопасности помещений, где осуществляется работа с ПДн (инструкция)

    Инструкция по проведения антивирусного контроля в информационной системе персональных данных

    Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн

    Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных

    Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных

    Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций

    Соглашения о неразглашении работниками персональных данных

    Шаблоны форм согласия субъекта ПДн данных на обработку его ПДн

    Должностная инструкция уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных

    Форма Акта об уничтожении информации, размещенной на электронных носителях и содержащей персональные данные

    Типовая форма письменного согласия субъектов персональных данных на обработку его персональных данных

    Типовая форма ответа Субъекту персональных данных на его запрос

    Акты об уничтожении персональных данных субъекта(ов) персональных данных

    Об утверждении Правил внутреннего

    трудового распорядка

    В целях создания условий, способствующих эффективному труду, рациональному использованию рабочего времени, укреплению трудовой дисциплины, и в соответствии со статьями 189, 190 Трудового кодекса Российской Федерации

    ПРИКАЗЫВАЮ:

    1. Утвердить и ввести в действие с 14.11.2011 Правила внутреннего трудового распорядка ООО «Верона».

    2. Начальнику отдела кадров Е.П. Ворониной в срок до 14.11.2011 ознакомить под роспись работников ООО «Верона» с Правилами внутреннего трудового распорядка.

    3. Контроль за исполнением приказа возложить на заместителя генерального директора В.В. Маркова.

    Приложение: Правила внутреннего трудового распорядка на 9 л.

    №_____

    г. Новосибирск

    О Положении о защите персональных данных

    Во исполнение требований главы 14 Трудового Кодекса Российской Федерации «Защита персональных данных работника» и Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»,

    Приказываю:

    1. Утвердить Положение о защите персональных данных работников, с 02.02.2009.

    2. Утвердить перечень должностей, допущенных к работе с персональными данными работниками с определением полноты допуска:

    — Директор, доступ без ограничений;

    — Главный бухгалтер, доступ без ограничений;

    — Менеджер по персоналу, доступ без ограничений;

    — Бухгалтер, доступ без ограничений;

    — Диспетчер по транспорту, доступ к персональным данным водителей-экспедиторов, экспедиторов.

    3. Назначить ответственным лицом за получение, обработку и хранение персональных данных сотрудников – .

    4. Ознакомить ответственному лицу всех сотрудников по указанному списку с Положением о защите персональных данных работников и заключить с ними Обязательство о неразглашении персональных данных работников.

    Приложение: 1. на 7 листах в 1 экз. с приложением на 1 листе в 1 экз.

    Директор _______________ И.И. Фамилия

    Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

    Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника Трудовой кодекс РФ.

    В Положении должны быть указаны:

  • цель и задачи фирмы в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в пределах фирмы имеет к ним доступ;
  • как персональные данные защищаются от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
  • Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

    Вот примерный образец приказа:

    Положение о защите персональных данных работников может выглядеть так:

    Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

    В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике.

    Помимо кадровиков доступ к этим сведениям могут получить руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

    Оформляют приложение так:

    С конца лета закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

    Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных (далее — Закон № 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу ( субъекту персональных данных) . Об этом сказано в пункте 3 статьи 3 Закона № 152-ФЗ.

    Согласно части 1 статьи 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.
  • Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *