Приложение 1. Правила уничтожения персональных данных в Администрации города Бийска. Постановление администрации города Бийска Алтайского края от 29.11.2016 N 2451 "О мерах по исполнению законодательства о персональных данных"

Приложение 1
к постановлению
Администрации г. Бийска
от 29 ноября 2016 г. N 2451

Правила

уничтожения персональных данных в Администрации города Бийска

1. Уничтожение носителей, содержащих персональные данные, персональных данных хранящихся в информационных системах Администрации города, должно соответствовать следующим правилам:

- быть максимально надежным и конфиденциальным;

- проводиться комиссией;

- уничтожение должно касаться только тех носителей, содержащих персональные данные, которые подлежат уничтожению в связи с достижением цели обработки указанных персональных данных либо утраты необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

2. Персональные данные должны быть уничтожены:

- по истечению сроков их хранения;

- в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если Администрация города не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если Администрация города не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных;

- в случае выявления неправомерной обработки персональных данных, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных.

3. Документальной фиксацией уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных. В акте исправления не допускаются.

4. Уничтожение персональных данных в ИСПДн Администрации производится средствами информационных систем, предусматривающими выполнение данной операции.

5. По факту полного/частичного удаления персонифицированных записей в ИСПДн комиссией из 3-х человек, в состав которой должен входить сотрудник структурного подразделения, работающий с информационной системой, составляется акт. По факту уничтожения персональных данных из нескольких информационных систем допускается оформлять один акт. Акт составляется в двух экземплярах: один экземпляр хранится у администратора информационной безопасности, второй - в структурном подразделении, сотрудники которого обрабатывали персональные данные в ИСПДн.

6. Носители, содержащие персональные данные, уничтожаются в присутствии членов комиссии по уничтожению носителей персональных данных.

7. Комиссия производит отбор бумажных и/или электронных носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения.

8. Носители, содержащие персональные данные, уничтожаются в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных либо утраты необходимости в их достижении.

9. На все отобранные к уничтожению носители составляется акт.

10. В акте на уничтожение носителей исправления не допускаются.

11. Комиссия проверяет наличие всех носителей, включенных в акт.

12. По окончании сверки, акт подписывается всеми членами комиссии.

13. Уничтожение носителей, содержащих персональные данные, производится после утверждения акта в присутствии всех членов комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.

14. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление информации).

15. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

- уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение возможно осуществлять с использованием шредера (уничтожителя документов);

- уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя или его сжигания;

- подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим "очищением корзины";

- в случае допустимости повторного использования носителя FDD, CD-RW, DVD-RW применяется программное удаление ("затирание") содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.

Состав комиссии по уничтожению персональных данных утверждается отдельно по каждому структурному подразделению Администрации города Бийска.