Акт об уничтожении персональных данных

Если компания больше не нуждается в информации о своих сотрудниках или клиентах, то она обязана уничтожить носители с персональными данными этих лиц. Это нужно сделать, чтобы информация не попала к злоумышленникам. Уничтожение должно сопровождаться работой специально созданной комиссии, а также составлением и подписанием соответствующего акта. Как правильно его оформить, читайте в статье.

• Бланк и образец
• Бесплатная загрузка
• Онлайн просмотр
• Проверено экспертом

ФАЙЛЫ
Скачать пустой бланк акта уничтожения персональных данных на бумажных носителях .docСкачать образец акта уничтожения персональных данных на бумажных носителях .doc

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Порядок уничтожения персональных данных

Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:

1. В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
2. Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
3. Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
4. Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.

Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.

Способы уничтожения

Информация на уничтожаемых носителях не должна быть подвержена восстановлению. В случае с бумажными носителями используют такие способы уничтожения, как измельчение (ножницами или с помощью шредера), сжигание, гидрообработка. При данной обработке носители будут невосстановимы.

За результативность процесса несут ответственность члены специально созданной комиссии в компании.

Составляем акт уничтожения персональных данных на бумажных носителях

Акт можно написать от руки или набрать на компьютере и впоследствии распечатать и подписать. Желательно брать «фирменный бланк» компании с ее реквизитами.

Итак, в шапке документа должны быть:

1. Наименование оператора персональных данных. Это название организации.
2. Отметка руководителя об утверждении акта. Здесь должны быть указаны дата подписания, должность и подпись с расшифровкой. Блок заполняется в последнюю очередь.
3. Наименование документа.
4. Место составления.
5. Дата составления.

Далее начинается основная часть, где указывают следующее:

1. Состав комиссии. Пишут должности и ФИО членов комиссии и председателя.
2. На основании какого документа действует комиссия (приказ, распоряжение). Чаще всего это приказ.
3. Ссылку на закон о персональных данных — ФЗ №152 от 27.07.2006 г.
4. Дату уничтожения.
5. Тип носителей.
6. Список уничтоженных документов. Его можно оформить в виде таблицы с следующими графами: порядковый номер, номер и наименование носителя, примечание или пояснение.
7. Каким путем было проведено уничтожение данных.
8. Основание для проведения процедуры уничтожения.

Завершают документ подписи председателя и членов комиссии. После подписания акт передают руководителю для утверждения. Он ставит свою подпись в соответствующей графе на бланке.

В идеале в документе не должно быть ошибок (орфографических, грамматических и любых других). Если вдруг была обнаружена фактическая ошибка, то ее, конечно, нужно исправить, используя стандартный порядок исправления и завизировав внесенные коррективы. При большом количестве ошибок лучше взять новый бланк, заполнить его, а старый документ уничтожить.

Да, фамилия, имя, отчество и номер телефона являются персональными данными. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ). При обработке персональных данных компания должна получать согласие физических лиц, а также предпринимать ряд мер, в том числе иметь положение об обработке персональных данных, уведомлять Роскомнадзор и т.д.

По общему правилу при получении требования физического лица об уничтожении персональных данных компания обязана их уничтожить. Сроки уничтожения зависят от того, что конкретно потребовал клиент в письме.

Во-первых, он мог потребовать уничтожить персональные данные из-за того, что они были незаконно получены или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14 Закона № 152-ФЗ). Например, если клиент оставлял свои персональные данные только для участия в розыгрыше призов, а затем компания стала отправлять ему рассылки.

В этом случае нужно уничтожить персональные данные в течение семи рабочих дней при условии, что субъект персональных данных предоставил сведения, подтверждающие, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 3 ст. 20 Закона № 152-ФЗ).

Во-вторых, клиент может отозвать согласие на обработку его персональных данных. В этом случае оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). Если сохранение персональных данных более не потребуется для целей обработки персональных данных, то придется уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором (ч. 5 ст. 21 Закона № 152-ФЗ).

В случае отсутствия возможности уничтожения персональных данных в течение 30 дней оператор должен заблокировать персональные данные или обеспечить их блокирование, а затем обеспечить уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона № 152-ФЗ).

Но нужно иметь в виду, что компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии некоторых оснований. Эти основания предусмотрены в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ (ч. 2 ст. 9 Закона № 152-ФЗ). Например, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Или если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).

Еще есть такой момент. Он касается компаний, которые должны соблюдать требования Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Закон № 115-ФЗ). Это, например, банки, страховые компании, организации, оказывающие посреднические услуги при осуществлении сделок купли-продажи недвижимого имущества, и т.д. (ст. 5 Закона № 115-ФЗ). В этом законе указано, что документы, содержащие некоторые сведения (а это, помимо прочего, фамилия, имя и отчество), а также сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет (п. 4 ст. 67 Закона № 115-ФЗ). Этот срок исчисляется со дня прекращения отношений с клиентом. В таком случае компания вправе не уничтожать персональные данные клиента. Это подтверждает и судебная практика. Например, в одном деле клиент не смог обязать банк удалить его персональные данные, предоставленные при подаче заявки на открытие банковского счета, который банк отказался открывать (см. Апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479/2019).

Уничтожение персональных данных — это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ч. 8 ст. 3 Закона № 152-ФЗ).

Порядок уничтожения персональных данных каждая компания устанавливает самостоятельно. Как правило, операторы персональных данных предусматривают такую процедуру уничтожения: для начала руководитель издает приказ о создании специальной комиссии или о назначении конкретного лица для уничтожения персональных данных. В приказе необходимо указать состав комиссии, цели создания, срок работы.

Если персональные данные содержались на бумажном носителе, то нужно уничтожить эти бумажные носители (например, через шредер). Если персональные данные были предоставлены в электронном виде, то нужно либо уничтожить носитель, на котором были персональные данные, либо удалить их другим способом. После этого нужно составить акт об уничтожении персональных данных.

Также в Законе № 152-ФЗ указано, что нужно отвечать субъектам персональных данных по их запросам. Так, оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых действиях и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (ч. 3 ст. 20 Закона № 152-ФЗ). Поэтому нужно направить клиенту ответ на его требование.

За невыполнение требования субъекта персональных данных предусмотрена административная ответственность. В частности, за невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В этом случае должностным лицам грозит штраф от 4000 до 10 000 руб., для индивидуальных предпринимателей — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Кроме того, если компания обрабатывает персональные данные без согласия клиента, то штраф для должностных лиц составит от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Приказ об утверждении положения о защите персональных данных — обязательный документ для всех компаний и индивидуальных предпринимателей, которые собирают и каким-то образом используют в своей деятельности личную информацию граждан. Среди таких организаций и работодатели. Поэтому они обязаны предпринять меры для защиты сведений о своих сотрудниках. Предлагаем изучить и скачать положение о защите персональных данных работников 2020, тем самым избежав наказания со стороны проверяющих органов.

Мировая тенденция развития законодательства в области защиты персональных данных демонстрирует ужесточение норм, регламентирующих наказание за незаконное использование личной информации. Российское право в этом вопросе не стоит особняком и также стремится к усилению контроля над утечкой данных. При организации защиты конфиденциальных сведений на предприятии необходимо опираться на главу 14 ТК РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они помогут разобраться, как выглядит корректный образец приказа о положении о защите персональных данных.

Какие данные относятся к персональным

Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:

• Ф.И.О.;
• возраст (год рождения);
• семейное положение;
• образование;
• профессия;
• адрес проживания;
• расовая и национальная принадлежность;
• вероисповедание;
• биометрические данные;
• политические взгляды;
• состояние здоровья.

Этот список далеко не полный, в него могут быть включены многие другие типы информации о человеке. Однако все их нельзя разглашать и обрабатывать без разрешения того, к кому они относятся. Об этом говорит закон № 152-ФЗ от 27.07.2006.

Исключение составляют, например, случаи, когда раскрытие этой информации необходимо для предотвращения угрозы безопасности самого человека или государства. Чтобы не нарушить эти правила, на предприятиях должна быть разработана локальная нормативная база. И все эти нюансы содержит образец приказа о допуске к персональным данным работников.

Образец приказа о персональных данных работников 2020: с чего начать

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

• положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2020 детально описан в специальном материале;
• образец приказа о хранении персональных данных;
• политика предприятия в отношении таких сведений;
• перечень лиц, имеющих доступ к ним;
• согласие на обработку;
• соглашение о неразглашении;
• журнал учета передачи данных.

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

Образец приказа об утверждении положения о защите персональных данных (2020)

Учтите, что недостаточно утвердить такой приказ. Всех работников надо ознакомить с ним под подпись (ст. 86 ТК РФ).

Ответственность за отсутствие документации

Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.2019 вступило в силу Постановление Правительства от 13.02.2019 № 146, которое описывает правила проведения проверок за соблюдением законодательства об обработке личных данных.

Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:

• дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ;
• административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
• уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).

Что еще стоит знать

Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.

Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.

Образец

На некоторых предприятиях на основании заявления издается приказ об изменении информации о сотруднике. Образец этого документа можно скачать ниже. Но для облегчения процедуры зачастую просто готовится дополнительное соглашение, вносятся изменения в личную карточку, трудовую книжку работника и другие документы при необходимости.

Особое внимание уделяется конфиденциальности информации о пациентах медицинских учреждений. Прежде всего обязанность хранить молчание о состоянии пациентов лежит на самом враче. Но это не снимает с администрации лечебного учреждения необходимость издать приказ «Перечень персональных данных пациентов, подлежащих защите».