Содержание

Как уничтожать персональные данные? – Царев Евгений

На днях, коллеги из банковского регулятора задали вопрос, который мне показался очень интересным, и сегодня у нас будет возможность его обсудить. Звучит вопрос следующим образом:

Каким образом уничтожать персональные данные? 🙂

Для начала пройдемся по нормативной документации. Из всего многообразия документов по персональным данным и конфиденциалке внятное упоминание «уничтожения» нашел только в Постановлении Правительства №687. Здесь есть несколько пунктов, которые заставляют подключать фантазию и пытаться понять, что же имеется в виду:

«9. При несовместимости целей обработки персональных данных:

11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.»

Даже неоднократное прочтение, не создает понимания, как именно необходимо уничтожать персональные данные.

Что в таком случае делать? Необходимо возвращаться к определению в законе:

«уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных»

Здесь есть две формулировки: «невозможность восстановить» и «уничтожение материального носителя». Давайте посмотрим на классические носители, через призму этих формулировок:

1) Бумажный носитель. Офисные шредеры справляются с задачей уничтожения материального носителя, но как быть с возможностью восстановления? У шредеров есть различные степени секретности (от 1 до 5). Каким пользоваться? Нужно ли актировать уничтожение персональных данных? (Кстати, сжигать, как гостайне, не получится, по понятным причинам)

2) Электронный носитель. Будет ли достаточно простого удаления фалов/форматирования/неоднократной перезаписи? По возможности восстановления файлов с электронных носителей пишутся диссертации. Необходимо уничтожать носитель? Если да, то, в каких случаях.

Из всего вышесказанного можно заключить, что вопрос уничтожения персональных данных, на сегодняшний день, не регулируется.

P.S. Почему ВТБ24 выбросило на свалку массу персональных данных?

www.tsarev.biz

Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”

В целях реализации Федерального закона “О персональных данных” Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим постановлением.

3. Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования.

Председатель Правительства
Российской Федерации
В. Путин

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

I. Общие положения

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

rg.ru

Персональные данные: уничтожение персональных данных

При использовании персональных данных уничтожение персональных данных осуществляют в указанных законом случаях. Читайте в статье об основаниях, сроках и порядке уничтожения.

Внимание! Вы находитесь на профессиональном сайте со специализированным юридическим контентом. Для чтения статьи может потребоваться регистрация. 

Если компания обрабатывает персональные данные своих работников и клиентов, она относится к операторам таких данных. Закон устанаваливает ряд обязанностей оператора в отношении:

  • сбора данных,
  • использования,
  • хранения,
  • защиты и т. д

В обязанности операторов персональных данных уничтожение персональных данных входит наряду с соблюдением правил сбора, обработки и хранения.

Срочное сообщение для юриста! В офис пришла полиция

Для уничтожения персональных данных есть четыре основания

Уничтожение персональных данных — это действия, в результате которых сведения указанного характера перестают быть доступны и их невозможно восстановить (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Нередко при уничтожении персональных данных уничтожение данных происходит вместе с документом, которых их содержал. В законе есть прямое указание, что при необходимости компания ликвидирует материальные носители, которые содержали указанные сведения.

Когда появляется причина, по которой персональные данные подлежат уничтожению, компания должна выполнить установленные законом обязательства в надлежащем порядке и в срок. Основания, в соответствии с которыми компания обязана ликвидировтаь данные, указаны в ст. 20 и ст. 21 закона № 152-ФЗ.

Когда компания решает вопрос об уничтожении персональных данных, уничтожение производят в четырех случаях:

  1. Владелец данных потребовал их ликвидировать (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ). Например, обнаружил их неполноту, недостоверность или узнал, что компания не вправе использовать его данные.
  2. Компания выявила, что данные обрабатываются неправомерно (ч. 3 ст. 21 закона № 152-ФЗ). Например, когда ее сотрудник запросил у клиента информацию, которая не соответствует целям обработки.
  3. Компания достигла цели, для которой собирала и использовала данные (ч. 4 ст. 21 закона № 152-ФЗ). Например, с клиентом компании расторгают договор.
  4. Владелец данных отозвал согласие на обработку информации о себе (ч. 5 ст. 21 закона № 152-ФЗ). Например, увольняется работник, который предоставлял компании персональные сведения.

Для случаев ч. 4 и 5 ст. 21 закона № 152-ФЗ есть два исключения, при которых уничтожение персональных данных можно не проводить:

  1. Если иное условие присутствуе в договоре между компанией и субъектом данных.
  2. Если компания на законных основаниях вправе обрабатывать данные без согласия субъекта.

Компании нужно соблюдать порядок уничтожения персональных данных

Процедура уничтожения документов, содержащих персональные данные, не зависит от причины ликвидации информации. В порядок уничтожения персональных данных входит:

  1. Формирование комиссии по ликвидации данных. Комиссию создают на основании приказа руководителя компании. Как правило, в комиссии участвуют сам руководитель, начальник кадровой службы, секретарь организации, а также главный бухгалтер. По необходимости компания привлекает в комиссию других сотрудников, например, руководителя отдела по работе с клиентами. Приказ составляют в свободной форме. В документе перечисляют, что именно в ходит в функции комисии (определить, какие персональные данные подлежат уничтожению и т. п.)
  2. Непосредственное уничтожение соответствующей информации без возможности восстановления.
  3. Издание акта уничтожения персональных данных. Документ также утверждает руководитель компании. Акт составляют в свободной форме.

Срок уничтожения персональных данных зависит от причины уничтожения

Когда появляется основание ликвидировать информацию, необходимо соблюдать сроки уничтожения персональных данных. Они зависят от основания ликвидации:

  1. Если субъект данных потребовал уничтожить их, компания обязана сделать это в течение семи рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
  2. Если компания самостоятельно выявила нарушения в использовании информации, срок уничтожения персональных данных — 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ).
  3. Когда компания достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигута (ч. 4 ст. 21 закона № 152-ФЗ).
  4. Если владелец данных отказался от дальнейшей обработки и отозвал согласие, компании нужно ликвидировать информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).

Если при необходимости ликвидировать персональные данные уничтожение персональных данных не осуществят, компания понесет ответственность в соответствии с положениями закона № 152-ФЗ и ст. 13.11 КоАП РФ.

Читайте на тему

www.law.ru

Положение о порядке уничтожения персональных данных клиентов гостиницы

Утверждаю

[организационно-правовая форма, наименование организации, предприятия, учреждения]

[должность, подпись, Ф. И. О. лица, утверждающего положение]

[число, месяц, год]

М. П.

1. Общие положения

1.1. Настоящее Положение о порядке уничтожения персональных данных клиентов гостиницы (далее по тексту – Положение) разработано на основе Федерального закона от 27.07.2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, Федерального закона от 27.07.2006 г. N 152-ФЗ “О персональных данных” и других нормативных правовых актов.

1.2. Настоящее Положение устанавливает периодичность и способы уничтожения носителей, содержащих персональные данные клиентов гостиницы.

1.3. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

1.4. Основные понятия, используемые в Положении:

– гостиница – организация, предоставляющая гостиничные услуги клиенту;

– клиент – физическое лицо, потребитель гостиничных услуг, субъект персональных данных;

– персональные данные – информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении гостиницы, позволяет идентифицировать личность клиента;

– обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

– уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

– носители персональных данных – как электронные (дискеты, компакт-диски, ленты, флеш-накопители и другие), так и неэлектронные (бумажные) носители персональных данных.

1.5. Настоящее Положение утверждается [наименование руководителя гостиницы].

2. Правила уничтожения носителей, содержащих персональные данные

2.1. По настоящему Положению уничтожение носителей, содержащих персональные данные клиентов гостиницы, должно соответствовать следующим правилам:

– быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления;

– оформляться юридически, в частности, актом о выделении носителей, содержащих персональные данные клиентов гостиницы, к уничтожению и актом об уничтожении носителей, содержащих персональные данные клиентов гостиницы;

– должно проводиться комиссией по уничтожению персональных данных;

– уничтожение должно касаться только тех носителей, содержащих персональные данные клиентов гостиницы, которые подлежат уничтожению в связи с достижением цели обработки указанных персональных данных либо утраты необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

3. Порядок уничтожения носителей, содержащих персональные данные

3.1. Персональные данные клиентов гостиницы хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.2. Носители, содержащие персональные данные клиентов гостиницы, уничтожаются в помещении [вписать нужное] комиссией по уничтожению персональных данных, утвержденной приказом [наименование руководителя] (далее – Комиссия).

3.3. Носители, содержащие персональные данные клиентов гостиницы, уничтожаются Комиссией в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных либо утраты необходимости в их достижении.

3.4. Комиссия производит отбор бумажных и машиночитаемых носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения один раз в [указать временной период].

3.5. На все отобранные к уничтожению носители составляется акт.

3.6. В акте на уничтожение носителей исправления не допускаются.

3.7. Комиссия проверяет наличие всех носителей, включенных в акт.

3.8. По окончании сверки акт подписывается всеми членами комиссии и утверждается [наименование руководителя].

3.9. Носители, содержащие персональные данные клиентов гостиницы, отобранные для уничтожения и включенные в акт, после проверки их Комиссией складываются в [вписать нужное] и опечатываются председателем комиссии.

3.10. Уничтожение носителей, содержащих персональные данные клиентов гостиницы, производится после утверждения акта в присутствии всех членов комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.

3.11. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.12. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

– уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов), установленного в [вписать нужное];

– уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя или его сжигания;

– подлежащие уничтожению файлы с персональными данными клиентов, расположенные на жестком диске [указать наименование], удаляются средствами операционной системы компьютера с последующим “очищением корзины”;

– в случае допустимости повторного использования носителя FDD, CD-RW, DVD-RW применяется программное удаление (“затирание”) содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.

4. Порядок оформления документов об уничтожении персональных данных

4.1. Об уничтожении носителей Комиссия составляет и подписывает акт об уничтожении, который направляется на утверждение [наименование руководителя].

4.2. В акте указываются:

– дата, место и время уничтожения;

– должности, фамилии, инициалы членов комиссии;

– вид и количество уничтожаемых носителей, содержащих персональные данные клиентов гостиницы;

– основание для уничтожения;

– способ уничтожения.

4.3. Факт уничтожения носителей, содержащих персональные данные клиентов, фиксируется в [вписать нужное]. Данный документ является документом конфиденциального характера и вместе с актами уничтожения хранится в [вписать нужное].

5. Финансовое обеспечение уничтожения носителей, содержащих персональные данные

5.1. По настоящему Положению уничтожение носителей, содержащих персональные данные клиентов гостиницы, осуществляется за счет [вписать нужное].

5.2. Формирование стоимости уничтожения носителей, содержащих персональные данные клиентов гостиницы, осуществляется в соответствии с [вписать нужное].

Руководитель структурного подразделения

[Ф. И. О.]

[подпись]

[число, месяц, год]

Согласовано:

[должностное лицо, с которым согласовывается положение]

[Ф. И. О.]

[подпись]

[число, месяц, год]

Начальник юридического отдела

[Ф. И. О.]

[подпись]

[число, месяц, год]

prom-nadzor.ru

Распространение (опубликование) персональных данных пользователей web-сайтов и особенности политики обработки персональных данных портала Праворуб — организатора распространения информации в сети «Интернет» – Адвокат Морохин Иван Николаевич – Статьи

Вопросы о размещении на различных сайтах в сети «Интернет» персональных данных пользователей (ПД), появляются на Праворубе с завидной регулярностью, однако, содержание как самих вопросов, так и ответов на них, свидетельствует о том, что далеко не все правильно понимают, что же такое персональные данные, каков их юридический статус, кто, и что может делать с персональными данными пользователей web-сайтов.

Поскольку мне, в качестве официального представителя портала Праворуб, регулярно приходится давать ответы на всевозможные запросы и жалобы, я попробую в этой статье разъяснить, что же это за зверь такой, и что делать в той или иной ситуации, касающейся персональных данных и их обработки.

В соответствии с ч. 1 ст. 3 закона РФ «О персональных данных» от 27.07.2006 № 152-ФЗ, персональные данные это:

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Таким образом, на сегодняшний день, благодаря «бесконечной мудрости» и «прозорливости» наших законодателей, к персональным данным, теоретически, можно отнести почти всё, что гражданин (субъект персональных данных), либо любой государственный «контролёр» посчитает, прямо или косвенно, относящимся к конкретному физическому лицу.

Именно столь бесконечно широкое определение и вводит большинство граждан, в т.ч. и должностных лиц надзирающих и контролирующих органов, в заблуждение относительно ключевого понятия объекта правовой защиты.

Понять, что же всё-таки относится к защищаемым законом персональным данным, проще всего путём исключения из вышеприведённого определения всего того, что к ним (ПД), не относится, а перечень таких исключений прямо перечислен в ч. 2 ст. 1 закона № 152-ФЗ, т.е. личные архивы физических лиц, государственные архивы, и многочисленные государственные информационные системы этим законом не регулируются и персональными данными не являются.

Однако, даже в тех случаях, когда сведения о гражданине относятся к категории персональных данных, далеко не всегда сам субъект персональных данных вправе требовать их изменения или удаления.

Не буду утомлять читателя перечислением всех многочисленных целей и условий сбора, хранения, и обработки персональных данных, а вновь обращу внимание на исключения, то есть те случаи, когда субъект персональных данных фактически утрачивает право и возможность повлиять на сведения (информацию, ПД) о себе любимом, находящуюся у иных лиц — операторов персональных данных.

Субъект персональных данных фактически утрачивает право требования удаления информации (сведений) о себе, когда имеется совокупность обстоятельств, указанных в п. 10 или 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», то есть в тех случаях, когда гражданин сам сделал сведения о себе общедоступными (например — опубликовал в СМИ или сети «Интернет»), либо эти данные подлежат обязательному опубликованию (например — сведения о кандидатах в депутаты или данные реестра адвокатов).

Собственно именно об этом и говорится в преамбуле пользовательского соглашения (ПС) портала «Праворуб», как и большинства других приличных сайтов:

Пользователь безвозмездно и бессрочно передает Владельцу сайта право использования своих произведений, сбор, обработку и опубликование своих персональных данных, в том числе своих изображений, и контактных данных

Здесь стоит напомнить, что на Праворубе, как и абсолютном большинстве web-сайтов, ничего нельзя написать без прохождения процедуры регистрации и прямого подтверждения своего согласия с условиями пользовательского соглашения.

Конечно далеко не все пользователи, даже после регистрации на сайте, удосуживаются прочесть условия пользовательского соглашения, но поставив «галочку» в регистрационной форме сайта, Вы уже совершили полный и безоговорочный акцепт (ст. 437 ГК РФ) и заключили договор с владельцем сайта на условиях пользовательского соглашения.

Применительно к порталу «Праворуб», необходимо учитывать так же его особенности, в частности — систему аутентификации пользователей профессиональных категорий, и систему разграничения уровней доступа к различному контенту, и если с профессионалами, подтвердившими свою категорию, всё понятно, то с неаутотентифицированными пользователями (гости и энтузиасты) картина иная.

Если о пользователях профессиональных категорий владельцам портала известно достаточно много, то о «гостях» известно только с какого адреса электронной почты проведена регистрация аккаунта и IP-адреса с которых осуществлялась авторизация пользователя.

Однако, эти данные (E-Mail & IP), даже с большой натяжкой, вряд-ли можно отнести к категории персональных данных, поскольку сами по себе они человека однозначно не идентифицируют.

Точно так же, как не являются персональными данными всевозможные «ники» — псевдонимы, в качестве которых могут использоваться хоть собачьи клички, хоть названия любимых чипсов пользователя, и это (по крайней мере пока) право пользователя, не претендующего на получение профессиональной категории, и желающего сохранить свою анонимность, что коррелирует с отнесением к адвокатской тайне даже самого факта обращения гражданина за юридической помощью.

Тем не менее, «особо одарённые» пользователи, частенько не задумываются о последствиях своего поведения и имеющихся на большинстве сайтов технических ограничениях возможности позднего редактирования своих публикаций и комментариев, и «смело» указывают на своих личных страницах и в собственных «произведениях» массу информации о себе, а потом, опомнившись (порой через несколько лет) требуют удалить всю их писанину.

Естественно, всем таким «опомнившимся» и «прозревшим» администрация отказывает и предлагает обращаться в суд в случае несогласия, одновременно предупреждая о сомнительности этой перспективы, и взыскании судебных издержек в случае проигрыша.

И дело тут вовсе не в самоуверенности владельцев сайта, а в том, что имеются как технические и организационные, так и законодательные препятствия в удовлетворении подобных «хотелок».

С технической и организационной стороны, препятствия состоят в том, что зачастую пользователь не может даже указать точную ссылку на нужную страницу, не говоря уже о том, что обращающийся с «хотелкой» пользователь никак не может соотнести себя с автором той писанины, которую требует удалить, и не желает понимать, что невозможно «выпилить» его комментарий из ветки обсуждения, не нарушив целостность всей цепочки, и не поставив в глупое положение всех тех пользователей, которые ответили на его комментарий.

С юридической же стороны всё ещё сложнее — многие даже не подозревают о существовании ст. 10.1 федерального закона (из «пакета Яровой») от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая называется: «Обязанности организатора распространения информации в сети «Интернет», за нарушение требований которой установлена отнюдь не символическая ответственность, предусмотренная ст. 13.31 КОАП РФ.

Не вдаваясь в анализ самих норм этой статьи, и множества подзаконых актов, возлагающих на организаторов распространения информации в сети «Интернет» множество весьма обременительных обязанностей, могу сказать только одно: ни один владелец сайта, представляющего хоть какую-то ценность, не станет рисковать своим сайтом ради чьих-то сомнительных хотелок.

Для тех кто «не в курсе» напомню — портал Праворуб включен в федеральный реестр организаторов распространения информации в сети «Интернет». Реестровый № 17-PP от 27.11.2014 г., о чём официально указано на странице компании-владельца. Просто вдумайтесь: наш сайт включен в реестр организаторов распространения информации семнадцатым, среди тысяч других сайтов, и Вы поймёте, какое пристальное внимание ему уделяют «органы».

Всем добросовестным, но «сильно спешащим» пользователям, хочу процитировать один из стандартных ответов администрации сайта на просьбы об удалении чего бы то ни было с сайта: 

Всё, что Вы написали на Праворубе, останется здесь навсегда.

Размещая своё Произведение (публикацию, вопрос, комментарий, документ — любой контент) на сайте, автор (пользователь) признаёт, что оно становится частью Сайта, как сложного составного произведения (ст. 1240 ГК РФ), и предоставляет Владельцу сайта неограниченную и бессрочную лицензию (исключительные права) на безвозмездное использование любых своих произведений, добровольно размещённых пользователем на сайте, по усмотрению Владельца сайта, а так же признаёт безусловное авторское право Владельца сайта на это сложное составное произведение. Право на отзыв (ст. 1269 ГК РФ) к произведениям, размещённым пользователями на сайте, не применяется.

Тем же, кому действительно есть резон убрать из публичного доступа (но не удалить безвозвратно) свои необдуманные «произведения» и спрятать свои «грехи молодости», придётся воспользоваться специальным инструментом, доступным только автору публикации/вопроса, но за маскировку собственной глупости, придётся уже заплатить, хотя лично я считаю это справедливым, и оправданным «предохранителем» от возможного буйства современных «геростратов».

Ну а тем, кто пытается использовать Интернет в целях навредить кому бы то ни было, могу лишь напомнить о существовании как гражданско-правовых, так и административных и уголовных инструментов борьбы с подобными проявлениями.

Всем пользователям интернета нужно помнить, что в интернете ничего не исчезает бесследно, и каждый пользователь сам должен думать, где и что он пишет, и отвечать за последствия своего поведения в Сети.

pravorub.ru

Режим обработки персональных данных — КиберПедия

ПОЛОЖЕНИЕ

об обработке персональных данных

в Кредитном потребительском кооперативе «Альянс-Групп»

 

 

г. Челябинск

2017 год

Основные понятия, используемые в настоящем Положении

1.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под физическим лицом применительно к Положению понимается также любое физическое лицо, уполномоченное в порядке, предусмотренном Гражданским Кодексом РФ, представлять юридическое лицо и осуществлять его права и обязанности во взаимоотношениях с Кооперативом.

1.2. Субъекты персональных данных – лица, чьи данные хранятся и обрабатываются Кооперативом в процессе осуществления им своей деятельности. Положение распространяется на следующие категории субъектов персональных данных:

1.2.1 Пайщик – физическое лицо, являющееся или ранее являвшееся членами Кооператива;

1.2.2. Работник – лицо, состоящее в трудовых отношениях с кооперативом;

1.2.3. Индивидуальный предприниматель – лицо, выполняющее для кооператива работы и услуги по договорам гражданско-правового характера;

1.2.4. Поручитель – лицо, принявшее на себя обязанность обеспечить обязательства пайщика по полученному им займу;

1.2.5. Доверенное лицо – лицо, уполномоченное представлять во взаимодействии с Кооперативом интересы пайщиков или третьих лиц;

1.2.6. Иные лица – лица, персональные данные которых могут обрабатываться Кооперативом в связи с осуществлением им своей деятельности.

1.3. Оператор – Кооператив, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных.

1.4. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.5. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.



1.6. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

1.7. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.8. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.9. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

1.10. Материальный носитель персональных данных – бумажный или магнитный (съемный) носитель информации, на котором хранится, уточняется, изменяется, дополняется, блокируется и уничтожается информация о персональных данных субъектов персональных данных.

1.11. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.12. Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы и системы управления базами данных), средства защиты информации, применяемые в информационных системах.



1.13. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

ПОЛОЖЕНИЕ

об обработке персональных данных

в Кредитном потребительском кооперативе «Альянс-Групп»

 

 

г. Челябинск

2017 год

Основные понятия, используемые в настоящем Положении

1.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под физическим лицом применительно к Положению понимается также любое физическое лицо, уполномоченное в порядке, предусмотренном Гражданским Кодексом РФ, представлять юридическое лицо и осуществлять его права и обязанности во взаимоотношениях с Кооперативом.

1.2. Субъекты персональных данных – лица, чьи данные хранятся и обрабатываются Кооперативом в процессе осуществления им своей деятельности. Положение распространяется на следующие категории субъектов персональных данных:

1.2.1 Пайщик – физическое лицо, являющееся или ранее являвшееся членами Кооператива;

1.2.2. Работник – лицо, состоящее в трудовых отношениях с кооперативом;

1.2.3. Индивидуальный предприниматель – лицо, выполняющее для кооператива работы и услуги по договорам гражданско-правового характера;

1.2.4. Поручитель – лицо, принявшее на себя обязанность обеспечить обязательства пайщика по полученному им займу;

1.2.5. Доверенное лицо – лицо, уполномоченное представлять во взаимодействии с Кооперативом интересы пайщиков или третьих лиц;

1.2.6. Иные лица – лица, персональные данные которых могут обрабатываться Кооперативом в связи с осуществлением им своей деятельности.

1.3. Оператор – Кооператив, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных.

1.4. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.5. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.6. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

1.7. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.8. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.9. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

1.10. Материальный носитель персональных данных – бумажный или магнитный (съемный) носитель информации, на котором хранится, уточняется, изменяется, дополняется, блокируется и уничтожается информация о персональных данных субъектов персональных данных.

1.11. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.12. Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы и системы управления базами данных), средства защиты информации, применяемые в информационных системах.

1.13. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Режим обработки персональных данных

2.1. Обработка персональных данных в Кооперативе осуществляется на основе следующих принципов:

2.1.1. Законности целей и способов обработки персональных данных и добросовестности;

2.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных в соответствии определенными законодательством и уставом полномочиями и обязанностями Кооператива;

2.1.3. Соответствия объема и характера обрабатываемых персональных данных и способов их обработки установленным целям обработки персональных данных.

2.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

2.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2.2. Состав персональных данных, предоставляемых Кооперативу субъектами персональных данных, определяется законодательством и уставом Кооператива по каждой категории субъектов персональных данных: по работникам Кооператива, установленной п.2 раздела 1.

2.3. Хранение и обработка персональных данных субъекта персональных данных, учитываемых в информационных базах данных Кооператива, осуществляется в целях его идентификации, ведения истории и оценки характера взаимоотношений с Кооперативом.

2.4. Список работников, имеющих право доступа к информационной системе и персональным данным определенной категории субъектов персональных данных, либо к определенным информационным массивам (базам данных), определяется Председателем правления Кооператива в соответствии с функциональными и должностными полномочиями и обязанностями сотрудников.

2.5. Цели и способы обработки Кооперативом персональных данных разъясняются субъектам персональных данных. Все обрабатываемые персональные данные Кооператив получает исключительно от самих субъектов персональных данных. Не допускается сбор и обработка персональных данных о субъекте персональных данных, полученных от третьих лиц, за исключением случаев, когда получение таких данных предусмотрено уставом Кооператива для осуществления своей уставной деятельности и в соответствии с законодательством.

2.6. Обработка персональных данных в Кооперативе признается осуществленной без использования средств автоматизации, поскольку осуществляется при непосредственном участии уполномоченных на то сотрудников Кооператива.

2.7. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.8. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, информируются о факте обработки ими персональных данных, обработка которых осуществляется Кооперативом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Кооператива.

2.9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, Кооперативом принимаются меры по обеспечению раздельной обработки персональных данных.

2.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.11. Правила, предусмотренные пунктами 9 и 10 Раздела 2, Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

2.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.13. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

2.14. Кооператив обеспечивает раздельное хранение персональных данных (материальных носителей), по категориям субъектов персональных данных, обработка которых осуществляется в различных целях. При совпадении целей обработки персональных данных допускается совместное хранение персональных данных различных субъектов.

2.15. Кооператив не осуществляет исключительно автоматизированную обработку персональных данных субъектов персональных данных, порождающую для них какие-то бы ни было юридические последствия.

2.16. Исключительно автоматизированная обработка персональных данных может осуществляться Кооперативом обезличенно в целях статистического и социологического анализа по определенным критериям (пол, возрастная группа, территориальный признак, характер деятельности и пр.).

2.17. Обработка персональных данных осуществляется Кооперативом с письменного согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона №152 – ФЗ от 27.07.2006 года «О персональных данных».

2.18. Письменное согласие субъекта на обработку его персональных данных оформляется в соответствии с утвержденной формой соответствующего договора.

2.19. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на Кооператив.

2.20. Согласие на обработку персональных данных может быть письменно отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Кооператив вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных».

2.21. Кооперативом обеспечивается конфиденциальность обрабатываемых им персональных данных.

2.22. Любой субъект персональных данных имеет право на ознакомление со своими персональными данными в объеме, установленном законодательством и содержащимся в базах данных Кооператива. Сведения о наличии персональных данных по запросам субъектов персональных данных предоставляются Кооперативом в форме справки. В такой справке не могут содержаться персональные данные других субъектов. При получении запроса субъекта персональных данных о предоставлении ему его личных персональных данных, Кооператив идентифицирует этого субъекта персональных данных по учтенным в информационных базах Кооператива идентификационным данным и, в случае необходимости, может запросить дополнительные документы, удостоверяющие личность этого субъекта.

2.23. При заявлении требования о предоставлении Кооперативом своих персональных данных субъект персональных данных имеет право на получение дополнительной информации, в том числе:

2.23.1. О способах обработки персональных данных, применяемых Кооперативом;

2.23.2. О сотрудниках Кооператива, имеющих доступ к персональным данным и/или которым может быть предоставлен такой доступ;

2.23.3. О перечне обрабатываемых персональных данных и источнике их получения;

2.23.4. О сроках обработки и хранения персональных данных;

2.23.5. О юридических для него последствиях, которые может повлечь обработка его персональных данных.

2.24. Все запросы субъектов персональных данных на ознакомление с их персональными данными регистрируются в журнале регистрации и учета обращений субъектов персональных данных (Приложение №. 4).

2.25. Любой субъект персональных данных вправе потребовать от Кооператива уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими или недостоверными.

2.26. Любой субъект персональных данных может обращаться в Кооператив с требованием об изменении, уточнении, уничтожении, ознакомлении, блокировании или иными действиями с его персональными данными лично или через своего законного представителя, полномочия которого подтверждаются в порядке, установленном Гражданским Кодексом РФ.

2.27. Обязанность предоставить доказательство о своевременном сообщении Кооперативу сведений обо всех изменениях, произошедших в персональных данных, возлагается на субъектов персональных данных.

2.28. Любой субъект персональных данных вправе обжаловать действия или бездействие Кооператива в уполномоченный орган по защите своих прав в случае, если считает, что Кооператив осуществляет обработку его персональных данных с нарушениями действующего законодательства.

2.29. Все сотрудники Кооператива, в том числе работающие по договорам гражданско-правового характера, вправе инициализировать и выносить на рассмотрение Директор, а в его отсутствие – Председатель правления Кооператива свои предложения по совершенствованию системы защиты персональных данных, к которым они имеют доступ.

2.30. Все персональные данные формируются в Кооперативе индивидуально по каждому субъекту персональных данных, и хранятся в архиве Кооператива. Все персональные данные систематизированы по категориям субъектов персональных данных, характеру их взаимоотношений с кооперативом. Документы хранятся в головном офисе Кооператива в закрытых шкафах, и находящихся под надзором сотрудников Кооператива, что исключает несанкционированный доступ к месту хранения персональных данных со стороны других субъектов персональных данных и третьих лиц. Правом доступа к персональным данным обладают уполномоченные Председателем правления Кооператива сотрудники Кооператива, отвечающие за взаимоотношения Кооператива с данными субъектами персональных данных.

2.31. Все сотрудники Кооператива, в том числе работающие по договорам гражданско–правового характера, инструктируются под роспись в заявлении о том, что они предупреждены об условиях конфиденциальности информации, содержащей персональные данные субъектов персональных данных, способах обработки и защиты персональных данных, о недопустимости разглашения такой информации и мерах материальной и дисциплинарной ответственности, применяемых в случае разглашения такой информации, в соответствии с требованиями действующего законодательства.

cyberpedia.su

Сроки обработки, хранения и порядок уничтожения персональных данных в Министерстве труда и социальной защиты


В «Правилах обработки персональных данных в Министерстве труда и социальной защиты Российской Федерации», утвержденных приказом Министерства труда и социальной защиты РФ от 29 мая 2014 г. № 348н в разделе VII. определены сроки обработки и хранения персональных данных, а в разделе VIII. установлен порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

В соответствии с законодательством Российской Федерации правилами определены и установлены следующие сроки обработки и хранения персональных данных (п.45):

  • Персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, о надбавках), подлежат хранению в кадровой службе в течение двух лет с последующим формированием и передачей указанных документов в архив Министерства для хранения в установленном законодательством РФ порядке;

  • Персональные данные, содержащиеся в личных делах и личных карточках хранятся в кадровой службе в течение десяти лет с последующим формированием и передачей указанных документов в архив Министерства для хранения в установленном РФ порядке;

  • Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи подлежат хранению в течение двух лет в кадровой службе с последующим формированием и передачей указанных документов в архив Министерства для хранения в установленном РФ порядке;

  • Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях гражданских служащих Министерства, подлежат хранению в кадровой службе в течение пяти лет с последующим уничтожением;

  • Персональные данные, содержащиеся в документах граждан, претендующих на замещение вакантных должностей гражданской службы в Министерстве, не допущенных к участию в конкурсе на замещение вакантных должностей гражданской службы в Министерстве (далее – конкурс), и кандидатов, участвовавших в конкурсе, хранятся в кадровой службе в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
Мой комментарий: Как видим, в документе сроки хранения персональных данных привязаны к видам документов, в которых они содержатся.

К сожалению, формулировки нормативного правового акта, устанавливающие сроки хранения персональных данных крайне спорны, особенно в тех случаях, когда речь идет о возможности последующего уничтожения персональных данных. Самым интересным является вопрос о том, каким образом можно уничтожить персональные данные, не уничтожив сами документы.

С моей точки зрения, говорить о возможности уничтожения персональных данных в отрыве от вопроса об уничтожении документов, в которых они содержатся, возможно (и то надо этим ещё надо подумать) только в отношении электронных баз данных.

Разделить же бумажные документы и персональные данные практически невозможно. Для этого персональные данные нужно было бы вымарать из документов, фактически эти документы уничтожив – удалив существенную часть их содержания, нарушив их целостность и поставив под сомнение аутентичность.

Думаю, что министерству не стоит впоследствии удивляться и обижаться, если кто-либо из его бывших должностных лиц потребует уничтожить их персональные данные из всех кадровых документов – ведь оно само закладывает под себя эту «бомбу». Обязательно пойдут в Роскомнадзор жалобы обиженных сотрудников министерства на то, что кадровая служба нарушает самим же министерством установленный порядок хранения персональных данных.

Как-то странно, чмо такое солидное министерство оказалось не в состоянии привлечь к подготовке ответственного нормативного документа по очень спорному вопросу профессионально подготовленных юристов…

Отдельно хочу отметить, что считаю неправильным пункт, касающийся командировок. Его бездумное исполнение может привести к уничтожению документов, подтверждающих часть льготного стажа граждан (в случае командировок в районы с суровым климатом или для выполнения вредных для здоровья работ).

Сроки обработки и хранения персональных данных, предоставляемых в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки (п.46).

Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет (п.47).

Мой комментарий: С моей точки зрения, это ошибочная формулировка, чреватая неприятностями для министерства в том случае, если соответствующие документы подлежат более длительному хранению.

Персональные данные, предоставляемые на бумажном носителе в связи с предоставлением Министерством государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях Министерства, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Министерства (п.48).

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) (так в тексте документа – п.49).

Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в целях, определенных Правилами (п.50).

Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов (п.52).

Порядок обработки персональных данных в автоматизированных информационных системах (раздел V)

Обработка персональных данных в Министерстве осуществляется в (п.34):

  • Автоматизированной информационной системе «Учет кадров»;

  • Программно-информационном комплексе автоматизации планово-финансовой деятельности Министерства;

  • Модуле автоматизированной системы «Система мониторинга предоставления государственным гражданским служащим единовременной субсидии на приобретение жилого помещения;

  • Системе электронного документооборота (СЭД МТ) (далее – автоматизированные информационные системы).
Гражданским служащим Министерства, имеющим право осуществлять обработку персональных данных в автоматизированных информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей автоматизированной информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих, имеющих право осуществлять обработку персональных данных (п.36).

Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным (п.37).

Доступ гражданских служащих, имеющих право осуществлять обработку персональных данных, к персональным данным, находящимся в автоматизированных информационных системах, предусматривает обязательное прохождение процедуры идентификации и аутентификации (п.39).

Порядок уничтожения персональных данных

Департаментом управления делами Министерства осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению (п.53).

Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании Центральной экспертной комиссии по организации и проведению работы по экспертизе документов, отбору и подготовке на постоянное хранение документов Архивного фонда РФ Министерства труда и социальной защиты Российской Федерации, которая утверждается приказом Министерства (экспертная комиссия) (п.54).

По итогам заседания экспертной комиссии составляется протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии и утверждается Министром.

Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации (п.55).

Порядок доступа в помещения, в которых ведется обработка персональных данных (раздел X)

Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющихся гражданскими служащими Министерства, уполномоченными на обработку персональных данных, возможно только в присутствии гражданского служащего, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, предоставлением государственных услуг, осуществлением государственных функций (п.64).

Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на гражданского служащего Министерства, ответственного за организацию обработки персональных данных в Министерстве (п.65).

Мой комментарий: Это, если не ошибаюсь, один из первых нормативно-правовых актов, в котором сделана попытка регламентировать до сих пор не отрегулированный на федеральном уровне вопрос о порядке хранения и уничтожения персональных данных. Поиск по справочно-правовым системам показал, что в 2013-2014 годах еще ряд ведомств разработал и утвердил аналогичные нормативные документы

Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=168689

rusrim.blogspot.com