Вход
Примерная форма положения о порядке уничтожения персональных данных (май 2025)
|
[организационно-правовая форма, |
Утверждаю [должность, подпись, Ф. И. О. лица,
[число, месяц, год] М. П. |
Положение о порядке уничтожения персональных данных
1. Общие положения
1.1. Положение об уничтожении персональных данных [наименование юридического лица] (далее - Положение, организация) разработано на основе Федерального закона от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных", Требований к подтверждению уничтожения персональных данных, утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179, и других нормативных правовых актов.
1.2. Настоящее Положение устанавливает периодичность и способы уничтожения носителей, содержащих персональные данные субъектов персональных данных.
1.3. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.4. Основные понятия, используемые в Положении:
- персональные данные - информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- носители персональных данных - как электронные (дискеты, компакт-диски, ленты, флеш-накопители и другие), так и неэлектронные (бумажные) носители персональных данных.
1.5. Настоящее Положение утверждается [наименование должности руководителя организации].
2. Порядок уничтожения персональных данных
2.1. Уничтожение персональных данных и носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:
- быть конфиденциальным, исключая возможность последующего восстановления;
- оформляться актом о выделении к уничтожению носителей, содержащих персональные данные субъектов персональных данных (приложение N 1), и актом об уничтожении персональных данных (приложение N 2, приложение N 3), а также выгрузкой из журнала регистрации событий в информационной системе персональных данных (приложение N 4);
- должно проводиться Комиссией по уничтожению персональных данных;
- уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.
2.2. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по истечении срока хранения, при достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2.3. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются комиссией по уничтожению персональных данных, утвержденной приказом [наименование должности руководителя организации].
2.4. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются Комиссией в сроки, установленные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
2.5. Комиссия производит отбор носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения.
2.6. На все отобранные к уничтожению материалы составляется акт по форме, приведенной в приложении N 1 к настоящему положению. В акте исправления не допускаются. Комиссия проверяет наличие всех материалов, включенных в акт.
2.7. По окончании сверки акт подписывается всеми членами Комиссии и утверждается ответственным за организацию обработки персональных данных.
2.8. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, производится в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.
2.9. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
2.10. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:
- уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов), установленного в [вписать нужное];
- уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя или его сжигания;
- подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске [указать наименование], удаляются средствами операционной системы компьютера с последующим "очищением корзины";
- в случае допустимости повторного использования носителя FDD, CD-RW, DVD-RW применяется программное удаление ("затирание") содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
Об уничтожении носителей, содержащих персональные данные, обрабатываемые без средств автоматизации, Комиссия составляет и подписывает акт об уничтожении персональных данных по форме, приведенной в приложении N 2 к настоящему Положению.
2.11. Об уничтожении персональных данных, обрабатываемых с использованием средств автоматизации, Комиссия составляет и подписывает акт об уничтожении персональных данных по форме, приведенной в приложении N 3 к настоящему Положению, а также Комиссия оформляет выгрузку из журнала регистрации событий в информационной системе персональных данных в соответствии с Требованиями к подтверждению уничтожения персональных данных, утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179.
2.12. Если обработка персональных данных осуществляется одновременно с использованием средств автоматизации и без использования средств автоматизации, Комиссия по итогам уничтожения таких данных составляет акт об уничтожении персональных данных, соответствующий пунктам 3 и 4 Требований к подтверждению уничтожения персональных данных, утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179.
2.13. Акты об уничтожении персональных данных подписываются членами Комиссии, уничтожившими данные, и утверждаются [наименование должности руководителя организации].
2.14. Акты о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению хранятся у ответственного за организацию обработки персональных данных в течение срока хранения, предусмотренного номенклатурой дел, затем акты передаются в архив организации.
2.15. Акты об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных хранятся у ответственного за организацию обработки персональных данных в течение трех лет с момента уничтожения персональных данных.
3. Заключительные положения
3.1. Настоящее Положение является локальным нормативным актом организации, утверждается (вводится в действие) приказом [наименование должности руководителя организации].
3.2. Все изменения и дополнения, вносимые в настоящее Положение, оформляются в письменной форме в соответствии действующим законодательством Российской Федерации.
3.3. Настоящее Положение обязательно для соблюдения всеми сотрудниками организации.
3.4. Настоящее Положение вступает в действие с момента утверждения его приказом [наименование должности руководителя организации] и действует до утверждения нового положения.
3.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом [наименование должности руководителя организации].
3.6. Контроль за соблюдением настоящего Положения возлагается на ответственное лицо, определяемое приказом [наименование должности руководителя организации].
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Примерная форма положения о порядке уничтожения персональных данных
Подготовлено экспертами компании "Гарант"