Уничтожение персональных данных: порядок блокирования и уничтожения информации на бумажных и электронных носителях

Уничтожение персональных данных: порядок блокирования и уничтожения информации на бумажных и электронных носителях

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

Читайте также:
Как хранить трудовые книжки в организации в 2021 году. Ответственное лицо за ведение трудовых книжек

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 – 5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Акт уничтожения персональных данных на бумажных носителях

Если компания больше не нуждается в информации о своих сотрудниках или клиентах, то она обязана уничтожить носители с персональными данными этих лиц. Это нужно сделать, чтобы информация не попала к злоумышленникам. Уничтожение должно сопровождаться работой специально созданной комиссии, а также составлением и подписанием соответствующего акта. Как правильно его оформить, читайте в статье.

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Порядок уничтожения персональных данных

Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:

  1. В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
  2. Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
  3. Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
  4. Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.

Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.

Способы уничтожения

Информация на уничтожаемых носителях не должна быть подвержена восстановлению. В случае с бумажными носителями используют такие способы уничтожения, как измельчение (ножницами или с помощью шредера), сжигание, гидрообработка. При данной обработке носители будут невосстановимы.

Читайте также:
Квалификационные категории врачей: что это, порядок присвоения и аттестации

За результативность процесса несут ответственность члены специально созданной комиссии в компании.

Составляем акт уничтожения персональных данных на бумажных носителях

Акт можно написать от руки или набрать на компьютере и впоследствии распечатать и подписать. Желательно брать «фирменный бланк» компании с ее реквизитами.

Итак, в шапке документа должны быть:

  1. Наименование оператора персональных данных. Это название организации.
  2. Отметка руководителя об утверждении акта. Здесь должны быть указаны дата подписания, должность и подпись с расшифровкой. Блок заполняется в последнюю очередь.
  3. Наименование документа.
  4. Место составления.
  5. Дата составления.

Далее начинается основная часть, где указывают следующее:

  1. Состав комиссии. Пишут должности и ФИО членов комиссии и председателя.
  2. На основании какого документа действует комиссия (приказ, распоряжение). Чаще всего это приказ.
  3. Ссылку на закон о персональных данных — ФЗ №152 от 27.07.2006 г.
  4. Дату уничтожения.
  5. Тип носителей.
  6. Список уничтоженных документов. Его можно оформить в виде таблицы с следующими графами: порядковый номер, номер и наименование носителя, примечание или пояснение.
  7. Каким путем было проведено уничтожение данных.
  8. Основание для проведения процедуры уничтожения.

Завершают документ подписи председателя и членов комиссии. После подписания акт передают руководителю для утверждения. Он ставит свою подпись в соответствующей графе на бланке.

В идеале в документе не должно быть ошибок (орфографических, грамматических и любых других). Если вдруг была обнаружена фактическая ошибка, то ее, конечно, нужно исправить, используя стандартный порядок исправления и завизировав внесенные коррективы. При большом количестве ошибок лучше взять новый бланк, заполнить его, а старый документ уничтожить.

Уничтожение персональных данных: порядок блокирования и уничтожения информации на бумажных и электронных носителях

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

По достижении цели обработки персональных данных оператор обязан уничтожить персональные данные или обеспечить их уничтожение.
Можно ли считать возврат работодателем субъекту его документов (копий), содержащих персональных данных, равнозначным уничтожению персональных данных?

Согласно ч. 7 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) достижение целей обработки персональных данных или утрата необходимости в достижении этих целей является одним из оснований для их уничтожения. При этом максимальный срок уничтожения персональных данных составляет тридцать дней с даты достижения цели, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом (ч. 4 ст. 21 Закона N 152-ФЗ). В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона N 152-ФЗ).
Отметим, что Закон N 152-ФЗ не регламентирует процедуру уничтожения персональных данных. В п. 8 ст. 3 Закона N 152-ФЗ приведено лишь определение уничтожения персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 Закона N 152-ФЗ). Роскомнадзор разъяснил, что порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим оператором (смотрите ответ от 09.02.2012).
Поскольку в результате уничтожения персональных данных ликвидируются сами материальные носители, содержащие конфиденциальную информацию, то такое действие возможно лишь в отношении тех документов, которые имеются в распоряжении оператора, в рассматриваемом случае – работодателя. При этом уничтожение документа не тождественно выдаче его на руки работнику субъекту персональных данных. В последнем случае материальный носитель не прекращает свое физическое существование, а выбывает из владения оператора и переходит во владение самого субъекта, который управомочен распорядиться им по своему усмотрению. Подчеркнем, что действующее законодательство не запрещает работодателю по просьбе работника выдавать ему на руки документы (копии документов), которые предоставлялись работником в связи с работой в данной организации, помимо тех, выдача которых обязательна (часть четвертая ст. 84.1 ТК РФ).

Читайте также:
Как рассчитать задолженность по алиментам, если должник не работает, не платит, или платит частично: практические примеры, способы, формулы

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

© ООО “НПП “ГАРАНТ-СЕРВИС”, 2022. Система ГАРАНТ выпускается с 1990 года. Компания “Гарант” и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО “НПП “ГАРАНТ-СЕРВИС”. Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО “НПП “ГАРАНТ-СЕРВИС”, 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), adv@garant.ru. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Уничтожение персональных данных: порядок блокирования и уничтожения информации на бумажных и электронных носителях

от 22 июля 2019 года N 1160

Об утверждении Порядка уничтожения носителей персональных данных граждан и работников местной администрации городского округа Нальчик и форм актов уничтожения персональных данных

В целях исполнения требований Федерального закона Российской Федерации от 27 июля 2006 года N 152-ФЗ “О персональных данных” местная администрация городского округа Нальчик постановляет:

1. Утвердить Порядок уничтожения носителей персональных данных граждан и работников местной администрации городского округа Нальчик (приложение N 1).

2. Утвердить типовую форму Акта об уничтожении бумажных носителей персональных данных (приложение N 2).

3. Утвердить типовую форму Акта об уничтожении машиночитаемых носителей и электронных файлов, содержащих персональные данные (приложение N 3).

4. В случаях, если уничтожение персональных данных осуществляется после обращения или письменного запроса субъекта персональных данных ответственному за организацию обработки персональных данных в местной администрации городского округа Нальчик, обеспечить направление субъекту персональных данных уведомления об уничтожении персональных данных (приложение N 4).

5. Контроль за исполнением настоящего распоряжения возложить на заместителя главы местной администрации г.о. Нальчик А.Х. Паштова.

Глава местной администрации
городского округа Нальчик
Т.АХОХОВ

Утвержден
постановлением
Местной администрации
городского округа Нальчик
от 22 июля 2019 г. N 1160

ПОРЯДОК УНИЧТОЖЕНИЯ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН И РАБОТНИКОВ МЕСТНОЙ АДМИНИСТРАЦИИ ГОРОДСКОГО ОКРУГА НАЛЬЧИК

1. Общие положения

1.1. Порядок уничтожения носителей персональных данных граждан и работников местной администрации городского округа Нальчик (далее – Порядок) разработан в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных”, Федеральным законом от 27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, Положением об особенностях обработки персональных данных, осуществляемой без использования средств информатизации”, утвержденным постановлением Правительства РФ от 15.09.2008 N 687.

Читайте также:
Кто проводит тренинги - должность тренинг-менеджера и его обязанности

1.2. Порядок определяет периодичность и способы уничтожения носителей, содержащих персональные данные и иную конфиденциальную информацию.

1.3. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.4. Уничтожение носителей персональных данных осуществляется в течение 30 дней с момента отзыва согласия на обработку персональных данных гражданином, работником местной администрации городского округа Нальчик или истечения сроков обработки персональных данных, в том числе хранения в архивах местной администрации городского округа Нальчик.

2. Уничтожение бумажных носителей персональных данных

2.1. Для проведения процедуры уничтожения бумажных носителей персональных данных создается комиссия, состоящая из трех работников местной администрации городского округа Нальчик, имеющих право на обработку персональных данных. Комиссия назначается распоряжением местной администрации городского округа Нальчик.

2.2. Бумажные носители персональных данных (документы, их копии, выписки), уничтожаются путем измельчения на мелкие части, исключающие возможность последующего восстановления информации, или сжигаются.

2.3. По окончании уничтожения бумажных носителей комиссией составляется Акт об уничтожении бумажных носителей персональных данных. Форма Акта об уничтожении бумажных носителей персональных данных приведена в приложении N 2 к настоящему постановлению.

2.4. Комиссия составляет и подписывает в двух экземплярах соответствующий Акт об уничтожении бумажных носителей персональных данных. В течение трех дней после составления Акты об уничтожении направляются на утверждение главе местной администрации городского округа Нальчик. После утверждения главой местной администрации городского округа Нальчик один экземпляр акта остается у уполномоченного лица, осуществлявшего обработку персональных данных, носители 2 которых были уничтожены, второй экземпляр передается в архивный отдел на хранение.

3. Уничтожение носителей персональных данных в электронном виде

3.1. К персональным данным, хранимым в электронном виде относятся файлы, папки, электронные архивы на жестком диске компьютера и машиночитаемых носителях (компакт-дисках CD-R/RW или DVD-R/RW, дискетах 3,5, флеш-носителях).

3.2. Машиночитаемые носители (компакт-диски и дискеты) по истечении сроков обработки и хранения на них персональных данных, подлежат уничтожению.

3.2.1. Для проведения процедуры уничтожения компакт-дисков и дискет создается комиссия, состоящая из трех работников местной администрации городского округа Нальчик, имеющих право на обработку персональных данных. Комиссия назначается распоряжением местной администрации городского округа Нальчик.

3.2.2. На основании акта компакт-диски и дискеты физически уничтожаются с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.

3.3. Подлежащие уничтожению файлы с персональными данными граждан и работников местной администрации городского округа Нальчик, расположенные на жестком диске информационной системы персональных данных, удаляются средствами операционной системы компьютера с последующим “очищением корзины”.

3.4. В случае допустимости повторного использования носителя формата пакеты 3,5, CD-RW, DVD-RW, флеш-носителя применяется программное удаление (“затирание”) содержимого путем его форматирования с последующей записью новой информации на данный носитель.

3.5. В ходе процедуры уничтожения носителей или форматирования носителя необходимо присутствие членов комиссии.

3.6. Комиссия составляет и подписывает в двух экземплярах соответствующий Акт об уничтожении машиночитаемых носителей и электронных файлов, содержащих персональные данные. В течение трех дней после составления Акты об уничтожении направляются на утверждение главе местной администрации городского округа Нальчик. После утверждения главой местной администрации городского округа Нальчик один экземпляр акта остается у уполномоченного лица, осуществлявшего обработку персональных данных, носители которых были уничтожены, второй экземпляр передается в архивный отдел на хранение. Форма Акта об уничтожении машиночитаемых носителей и электронных файлов, содержащих персональные данные, приведена в приложении N 3 к настоящему постановлению.

3.7. Факт уничтожения носителя персональных данных фиксируется в “Журнале регистрации носителей персональных данных”. В графе журнала “Дата и номер акта уничтожения” заносятся соответствующие данные из приложений N 2 и N 3 к настоящему постановлению.

Читайте также:
Возмещение по больничным листам от ФСС в 2021 году

Утверждена
постановлением
Местной администрации
городского округа Нальчик
от 22 июля 2019 г. N 1160

УТВЕРЖДАЮ
Главе местной администрации
городского округа Нальчик
______________/___________/
“__” _________ г.

Типовая форма Акта об уничтожении бумажных носителей персональных данных

Акт об уничтожении бумажных носителей персональных данных комиссия в

Уничтожение электронных копий документов в СЭД: ответы на вопросы

Документы на бумажном носителе были уничтожены (по всем правилам), аналогичные же документы в СЭД остались. Как «легитимно» произвести уничтожение таких документов? Обязательно ли снова созывать ЭК, формировать акт о выделении к уничтожению? Если да, то как следует указать в акте все эти тысячи документов, которые не были сформированы в отдельные тома в СЭД? Или же для уничтожения (логического удаления) этих документов будет достаточно того акта, который был сформирован касательно этих же документов, только на бумажном носителе?

Любое уничтожение документов желательно оформлять документально, не в последнюю очередь потому, что это подстраховывает как организацию, так и самих архивистов и ответственных за СЭД в случае предъявления им каких-либо претензий. С этим я столкнулась в личной практике работы еще в середине 2000-х годов.

Соответственно, уничтожение документов в системе электронного документооборота следует оформить актом в строгом соответствии с требованиями делопроизводства и архивного дела. В будущем во избежание повторных усилий при оформлении акта на бумажные оригиналы можно сразу же упомянуть в нем и электронные копии в СЭД.

Отмечу, что я, в отличие от многих коллег, более серьезно отношусь к копиям бумажных документов, сохраненным в СЭД. Во-первых, если именно на основании этих копий принимались ответственные решения, то их следует считать самостоятельными документами, порой играющими большую роль при «разборе полетов» в связи с деятельностью сотрудников. Во-вторых, ценность электронных копий может оказаться выше ценности бумажных оригиналов, поскольку они являются информационным ресурсом, из которого удобно добывать аналитические сведения, по ним можно вести быстрый поиск (возможно, даже полнотекстовый).

Более сложным может оказаться вопрос о том, как отразить в акте все эти объемы документов, к решению которого нужно подходить творчески. В данном случае возможны следующие варианты, например:

  • включить в акт опись всех уничтожаемых документов;
  • разбить документы на условные тома (по месяцам, кварталам и т.п.) и перечислить их в акте, возможно, также указав количество документов в условном томе. В идеале информационная система должна позволять при необходимости делать «отсечки» и автоматически формировать тома дел (например, с 1 января очередного года автоматически формировать новое дело или начинать формировать новый том каждый месяц, квартал и т.д.);
  • указать реквизиты, идентифицирующие уничтожаемые документы, а также объемы уничтожаемой информации.

Здесь может быть полезен совет юристов и представителей работающих с документами деловых подразделений. Например, в банковской сфере важно доказать контролирующим органам уничтожение досье по конкретным клиентам, закупкам, транзакциям – и акты могут оформляться, с учетом этой потребности, более подробно.

Позиция Федерального архивного агентства России (Росархива) отражена в Правилах делопроизводства и в Методических рекомендациях по разработке инструкций по делопроизводству. По мнению Росархива, на электронные документы следует составлять отдельный акт на уничтожение:

Пункт 7.16 Правил делопроизводства в государственных органах, органах местного самоуправления, утв. приказом Росархива от 22.05.2019 № 71

. На электронные документы с истекшими сроками хранения составляется отдельный акт на основе формы акта о выделении к уничтожению документов, не подлежащих хранению, установленной Правилами хранения 2015 г.

Пункт 3.8.4 «Уничтожение документов и дел с истекшими сроками хранения» Методических рекомендаций по разработке инструкций по делопроизводству в государственных органах, органах местного самоуправления, утв. приказом Росархива от 24.12.2020 № 199

Читайте также:
Образец срочного трудового договора с работником в 2021 и 2021 году на 2,3 месяца или сезонные работы

. На электронные документы с истекшими сроками хранения составляется отдельный акт на основе формы акта о выделении к уничтожению документов, не подлежащих хранению, установленной Правилами 2015 г. (приложение № 21 к настоящим Методическим рекомендациям).

Электронные документы с истекшими сроками хранения уничтожаются программно-техническими средствами с соответствующей отметкой в акте о выделении к уничтожению электронных документов. Электронные документы считаются уничтоженными, если их нельзя восстановить средствами информационной системы на носителях информации и из резервных копий.

А вот в налоговых органах установлен несколько иной порядок уничтожения, поскольку Федеральная налоговая служба РФ (ФНС России) использует централизованное депозитарное хранение бумажных документов и требует, чтобы они уничтожались одновременно с электронными технологическими данными в информационной системе и чтобы это отражалось в едином акте:

Порядок централизованного хранения документов с использованием централизованных компонентов АИС «Налог-3», утв. приказом ФНС России от 28.07.2020 № ЕД-7-10/478@

VIII. Уничтожение объектов хранения с истекшим сроком хранения

Процесс уничтожения проводится партиями объектов хранения и включает в себя:

  • выполнение проверки соответствия партии объектов хранения с объектами хранения, указанными в Акте о выделении к уничтожению объектов хранения, не подлежащих хранению;
  • отбор партии объектов хранения с мест хранения;
  • уничтожение бумажных носителей партии объектов хранения;
  • автоматизированное уничтожение в ПК МВиП технологических данных уничтоженной партии объектов хранения;
  • формирование в ПК МВиП реестра уничтоженных документов партии;
  • формирование с использованием ПК МВиП Акта об уничтожении объектов хранения (приложение № 14 к Порядку), указанных в Акте о выделении к уничтожению объектов хранения, не подлежащих хранению, по завершении кампании по уничтожению документов;
  • направление в один или несколько НО копии Акта об уничтожении объектов хранения на бумажном носителе, утвержденного директором Филиала Учреждения.

Итак, в процитированных документах упоминались 2 утвержденные формы актов, которые можно взять себе на вооружение:

  • акт о выделении к уничтожению архивных документов, не подлежащих хранению, который обязателен для всех организаций (из приложения № 21 к Правилам организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях, утв. приказом Минкультуры России от 31.03.2015 № 526);
  • акт об уничтожении объектов хранения, не подлежащих хранению, который обязателен для налоговых органов, но воспользоваться этой формой может любая организация (из приложения № 14 к Порядку централизованного хранения документов с использованием централизованных компонентов АИС «Налог-3», утв. приказом ФНС России от 28.07.2020 № ЕД-7-10/478@).

Продолжение вопроса коллеги:

Как не допустить такой проблемы в будущем, формируя номенклатуру дел? Нужно ли разбивать дело «Входящие документы» на 2 заголовка, например:

1. 20-25 – Входящие документы – 5 лет ЭПК, ст. 70 – Оригиналы на бумажном носителе.

2. 20-26 – Входящие документы – 5 лет ЭПК, ст. 70 – Электронные копии документов (в СЭД).

Первое, что я бы рекомендовала сделать, это решить для себя (желательно на экспертной или экспертно-проверочной комиссии организации (ЭК или ЭПК)), заслуживают или нет электронные копии более длительного хранения в качестве полезного для деловой деятельности информационного ресурса, чем их бумажные оригиналы:

  • если да, то желательно принять формальное решение ЭК/ЭПК, на которое можно сослаться в номенклатуре дел – тогда в номенклатуре для копий имеет смысл ввести отдельный срок хранения и строку/статью со своим индексом;
  • если нет, то можно просто написать в статье в конце наименования дела «Оригиналы на бумажном носителе и электронные копии документов (СЭД «ДЕЛО»)» либо дать более общую формулировку вроде «Оригиналы и копии на бумажном и электронном носителях». В такой ситуации мне совершенно не нравится идея Росархива о том, чтобы в номенклатуре дел отражать отдельно бумажные и электронные документы одного вида. Это одни и те же документы, и, более того, мы сейчас все чаще работаем с изначально электронными документами.
Читайте также:
Профстандарт преподавателя среднего профессионального образования (СПО)

Росархив в новой версии Правил делопроизводства предписывает делать следующее:

Правила делопроизводства в государственных органах, органах местного самоуправления, утв. приказом Росархива от 22.05.2019 № 71

6.25. Электронные документы формируются в электронные дела в соответствии с номенклатурой дел.

В номенклатуре дел указывается, что дело ведется в электронной форме.

6.26. Электронные документы независимо от их объема включаются в одно электронное дело без разделения на тома.

В случае если документы дела представлены на бумажном носителе и в форме электронных документов («гибридное дело»), документы на бумажном носителе подлежат оцифровке и включению в электронное дело. В дело, которое ведется на бумажном носителе, в соответствии с пунктами 6.23, 6.24 Правил делопроизводства включаются только документы, созданные (поступившие) на бумажном носителе. В номенклатуре дел электронное дело и дело на бумажном носителе отражаются как два тома, имеющие один заголовок, индекс и срок хранения.

Если даже создается один акт на бумажные оригиналы и электронные копии, в него следует внести сведения как о фактическом уничтожении бумажных оригиналов, так и о фактическом уничтожении электронных копий (кто, когда, каким способом, в чьем присутствии и т.п.).

Обратите Ваше внимание на то, что уничтожение электронных документов нельзя считать по-настоящему завершенным, пока не будут уничтожены или перезаписаны все содержащие их страховые и резервные копии, о существовании которых сегодня знают регуляторы, следственные органы и органы прокуратуры. Если с уничтожаемыми документами связаны существенные риски, я бы подумала о том, чтобы в акте сделать отметку об уничтожении документов не только в «боевой» базе данных, но и на резервных копиях.

Образец акта о выделении к уничтожению электронных копий в СЭД, а также общий алгоритм работы см. в № 4’ 2021

Каким образом в соответствии с законом о персональных данных оформить уничтожение электронных копий документов?

Е. А. Юрова
автор ответа, консультант Аскон по трудовому праву

Вопрос

По 152-ФЗ организация обязана составлять акт об уничтожении бумажных копий документов. А каким образом оформить уничтожение электронных копий документов? Как сформулировать в приказе такой способ уничтожения электронных документов?

Ответ

Уничтожение электронных копий документов оформляется аналогично уничтожению документов на бумажном носителе.

Процедуры документирования и архивного хранения документов хозяйствующий субъект определяет самостоятельно.

Для оформления процедуры уничтожения электронных и бумажных документов можно воспользоваться регламентными документами государственных органов, органов местного самоуправления, государственных организаций, ибо многие частные компании являются источниками комплектования государственных архивов.

Примеры документирования процедуры уничтожения документов приведены в обосновании к данному ответу.

Обоснование

Уничтожение документов является частью системы документационного обеспечения управления хозяйствующего субъекта (“Государственная система документационного обеспечения управления. Основные положения. Общие требования к документам и службам документационного обеспечения” (одобрена коллегией Главархива СССР 27.04.1988, Приказ Главархива СССР от 25.05.1988 N 33) (вместе с “Правилами заполнения основных реквизитов регистрационно-контрольных форм (РКФ)”, “Примерным положением о службе документационного обеспечения управления”), “ГОСТ Р ИСО 15489-1-2019. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Управление документами. Часть 1. Понятия и принципы”).

Порядок документирования, процедуры текущего и архивного хранения документов и их копий хозяйствующий субъект устанавливает самостоятельно (“ОК 011-93. Общероссийский классификатор управленческой документации” (утв. Постановлением Госстандарта России от 30.12.1993 N 299, Федеральный закон от 22.10.2004 N 125-ФЗ “Об архивном деле в Российской Федерации”).

Примером порядка документирования, в частности, примером оформления процедуры уничтожения копий документов, можно использовать:

Читайте также:
Где и как получить пособие по безработице: документы для оформления, условия и порядок

ВЫДЕЛЕНИЕ ДОКУМЕНТОВ С ИСТЕКШИМИ СРОКАМИ ХРАНЕНИЯ К УНИЧТОЖЕНИЮ

Процесс выделения документов с истекшими сроками хранения к уничтожению включает:

  • выделение дел, документов к уничтожению;
  • подготовку акта о выделении документов к уничтожению;
  • передача дел, документов на уничтожение.

Процесс выделения дел, документов к уничтожению проводится:

В архиве организации дела выделяются к уничтожению работником архива по результатам просмотра годовых разделов описей дел, документов временных (свыше 10 лет) сроков хранения и по личному составу. При этом просматриваются годовые разделы описей дел, документов за разные годы.

Работник архива организации, выделяющий дела, не подлежащие хранению, к уничтожению, также в рабочем порядке формирует таблицу со списком этих дел для включения в акт о выделении к уничтожению архивных документов, не подлежащих хранению.

Электронные дела, документы выделяются к уничтожению на общих основаниях (п. 4.13. Правил).

Акт о выделении к уничтожению электронных документов, с истекшими сроками хранения в целом соответствует прилагаемой форме с учетом следующих положений:

  • в заголовке акта указывается “о выделении к уничтожению электронных документов, не подлежащих хранению”: при выделении к уничтожению электронных документов в делопроизводстве;
  • указывается “о выделении к уничтожению электронных архивных документов с истекшими сроками хранения”: при выделении к уничтожению электронных документов, хранящихся в архиве организации.

Акт подписывает руководитель архива или лицо, ответственное за архив.

Акт о выделении к уничтожению архивных документов с истекшими сроками хранения представляется на согласование ЦЭК (ЭК) организации вместе с годовыми разделами описей дел постоянного срока хранения и по личному составу (п. 4.11. Правил). ЦЭК (ЭК) организации рассматривает Акт о выделении к уничтожению архивных документов с истекшими сроками хранения после рассмотрения годовых разделов описей. В левом нижнем углу, после подписи руководителя архива проставляется гриф согласования с указанием даты и номера протокола ЦЭК (ЭК) организации.

51. После подписания (принятия, утверждения) документа ограниченного распространения его электронный файл уничтожается исполнителем с использованием одного из следующих методов уничтожения информации:

  • стирание информации с использованием специального программного обеспечения;
  • воздействие на поверхность электронного носителя информации с использованием магнитного поля (размагничивание);
  • механическое уничтожение электронного носителя информации вместе с информацией (измельчение, расплавление, использование химических веществ).

Факт уничтожения электронного файла документа ограниченного распространения фиксируется путем проставления на оборотной стороне первого листа визового экземпляра документа, подшиваемого в дело, записи “Файл уничтожен” (с указанием использованного способа уничтожения файла, даты уничтожения) и подписи исполнителя.

Уничтожение электронных файлов документов ограниченного распространения осуществляется в соответствии с требованиями и стандартами защиты информации, в том числе с использованием криптографических средств, утверждаемыми Коллегией Комиссии по согласованию с уполномоченными органами государств-членов.

8.68. Электронные документы с истекшими сроками хранения подлежат выделению к уничтожению на общих основаниях, после чего проводится их физическое уничтожение или уничтожение программно-техническими средствами с соответствующей отметкой в акте о выделении к уничтожению электронных документов.

Электронные документы считаются уничтоженными, если их нельзя восстановить средствами информационной системы на носителях информации и из резервных копий.

7.21. Электронные документы с истекшими сроками хранения уничтожаются программно-техническими средствами с соответствующей отметкой в акте о выделении к уничтожению электронных документов.

Электронные документы считаются уничтоженными, если их нельзя восстановить средствами информационной системы на носителях информации и из резервных копий.

7.22. Акты о выделении к уничтожению документов, не подлежащих хранению, хранятся постоянно в деле фонда.

Экспертиза ценности электронных документов осуществляется в общем порядке, установленном в отношении документов на бумажном носителе. После истечения срока, установленного для хранения электронных дел (электронных документов), на основании акта о выделении их к уничтожению, утверждаемого руководителем федерального органа исполнительной власти, указанные электронные дела (электронные документы) подлежат уничтожению.

Читайте также:
Должностная инструкция каменщика: обязанности в строительстве, разряды

Процедура уничтожения документов и их копий (как бумажных, так и электронных), содержащих персональные данные, должна быть отражена в локальных актах оператора персональных данных (ст. 18.1, Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”).

Е. А. Юрова
автор ответа, консультант Аскон по трудовому праву

Хранение персональных данных

Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.

Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

  • разрабатывает регламент хранения персональных данных;
  • определяет, где они будут находиться;
  • подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
  • назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
  • выбирает те или иные виды наказаний за нарушения правил;
  • подписывает внутренние распоряжения.

Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).

Важные нюансы, связанные с порядком хранения персональных данных

Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:

  1. Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
  2. Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
  3. Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
  4. Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
  5. Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.

При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.

Какой должна быть система хранения персональных данных

Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:

  • 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
  • на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
  • финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.
Читайте также:
Как внести изменения в штатное расписание: увеличения оклада, в связи с оптимизацией

Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.

Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.

Сбор, обработка и хранение персональных данных на бумажных и электронных носителях

Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.

  1. Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
  2. Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).

Обработка и хранение персональных данных: составление внутренних правил

Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:

  • общие положения;
  • способы выявления и профилактики несанкционированного доступа и распространения ПДн;
  • цели обработки и содержание хранимой личной информации;
  • категории субъектов;
  • сроки обработки и сохранения сведений;
  • механизм уничтожения информации;
  • ответственность за нарушение правил.

После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:

  • уровень защиты достаточно высокий и соответствует актуальным угрозам;
  • все сотрудники дали согласие на совершение операций с личными сведениями;
  • принятые локальные акты соответствуют федеральному законодательству;
  • содержание внутреннего документа, регулирующего хранение и обработку ПДн, донесено до персонала (каждый должен поставить подпись).
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: