Политика хранения и уничтожения ПД

ПОЛОЖЕНИЕ 
о порядке уничтожения персональных данных субъектов  
персональных данных

1. Общие положения

1.1. Настоящее Положение о порядке уничтожения персональных данных  
в ООО «Джейсон энд Партнерс Консалтинг» (далее – Положение) разработано  
на основе Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона  
от 27.07.2006 г. № 152-ФЗ «О персональных данных» и других нормативных правовых актов.

1.2. Настоящее Положение устанавливает периодичность и способы уничтожения носителей, содержащих персональные данные субъектов персональных данных.

1.3. Целью настоящего Положения является обеспечение защиты прав  
и свобод человека и гражданина при обработке его персональных данных  
в ООО «Джейсон энд Партнерс Консалтинг» (далее – Компания, Общество).

1.4. Основные понятия, используемые в Положении:

  • субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные;
  • персональные данные – информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в Компании, позволяет идентифицировать личность субъекта персональных данных;
  • обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
  • уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
  • носители персональных данных – как электронные (дискеты, компакт-диски, ленты, флеш-накопители и др.), так и неэлектронные (бумажные) носители персональных данных.

1.5. Настоящее Положение утверждается генеральным директором Компании.

2. Правила уничтожения носителей, содержащих персональные данные

2.1. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:

  • быть конфиденциальным, исключая возможность последующего восстановления;
  • оформляться юридически, в частности, актом о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению и актом об уничтожении носителей, содержащих персональные данные субъектов персональных данных;
  • должно проводиться комиссией по уничтожению персональных данных;
  • уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.
3. Порядок уничтожения носителей, содержащих персональные данные

3.1. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по истечении срока хранения, достижении целей обработки или в случае утраты необходимости в их достижении.

3.2. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются в специально отведенном для этих целей помещении комиссией по уничтожению персональных данных, утвержденной приказом директора Общества (далее – Комиссия).

3.3. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются Комиссией в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных либо утраты необходимости в их достижении, а также в случае, если истек срок их хранения.

3.4. Комиссия производит отбор бумажных носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения.

3.5. На все отобранные к уничтожению документы составляется акт о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению.

3.6. В актах о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению и актах об уничтожении носителей, содержащих персональные данные субъектов персональных данных, исправления не допускаются.

3.7. Комиссия проверяет наличие всех документов, включенных в акт о выделении носителей, содержащих персональные данные субъектов персональных данных, к уничтожению.

3.8. По окончании сверки акт о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению подписывается всеми членами Комиссии и утверждается лицом, ответственным за обработку персональных данных.

3.9. Носители, содержащие персональные данные субъектов персональных данных, отобранные для уничтожения и включенные в акт, после проверки их Комиссией передаются ответственному за уничтожение документов.

3.10. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, производится после утверждения акта в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.

3.11. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.12. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

  • уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов), установленного в помещении Общества, либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
  • уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
  • подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
  • в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
4. Порядок сдачи макулатуры

4.1. Документы по истечении срока хранения, достижении целей обработки или в случае утраты необходимости в их достижении подлежат уничтожению путем сдачи организациям, собирающим вторсырье (пункты приема макулатуры).

4.2. Выделенные документы по акту о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению передаются к уничтожению в упакованном виде.

4.3. Документы, подлежащие вывозу, не должны содержать бумагу и картон, не пригодные для переработки; бумагу и картон, покрытые полиэтиленом и другими полимерными пленками; материал, выделяющий ядовитые и токсичные вещества.

4.4. Документы, подлежащие вывозу, не должны содержать:

  • тряпье, веревку, шпагат из лубяных волокон и полимеров;
  • металлические и деревянные изделия, кусочки стекла и керамики, камень, уголь, слюду, целлофан, целлулоид, полимерные материалы в виде изделий (пленок, гранул), пенопласт, искусственную и натуральную кожу, клеенку, битум, парафин, остатки химических и минеральных веществ и красок;
  • влажность документов, подлежащая вывозу, не должна превышать более 10 процентов.

4.5. Сдача оформляется приемо-сдаточными накладными, данные которых (дата сдачи, номер накладной, вес сданной макулатуры) указываются в акте о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению.

4.6. Погрузка и вывоз документов осуществляются под контролем лица, ответственного за обеспечение сохранности документов структурного подразделения.

4.7. Отобранные к уничтожению документы перед сдачей на переработку в качестве макулатуры должны в обязательном порядке измельчаться до степени, исключающей возможность прочтения текста.

5. Порядок оформления документов об уничтожении персональных данных

5.1. Об уничтожении носителей, содержащих персональные данные, Комиссия составляет и подписывает акт об уничтожении носителей, содержащих персональные данные субъектов персональных данных, который утверждается генеральным директором Общества.

5.2. Акт об уничтожении носителей, содержащих персональные данные субъектов персональных данных, составляется по установленной форме.

В акте указываются:

  • дата, место и время уничтожения;
  • должности, фамилии, инициалы членов Комиссии;
  • вид и количество уничтожаемых носителей, содержащих персональные данные субъектов персональных данных;
  • основание для уничтожения;
  • способ уничтожения.

5.3. Факт уничтожения носителей, содержащих персональные данные субъектов персональных данных, фиксируется в журнале учета документов, переданных на уничтожение. Данный документ является документом конфиденциального характера и вместе с актами хранится в помещении Компании кадров в течение одного года. По истечении срока хранения акт о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению и акт об уничтожении носителей, содержащих персональные данные субъектов персональных данных, передаются в архив Компании на хранение.

6. Ответственность  

6.1. Ответственный за организацию обработки персональных данных несет ответственность за организацию хранения документов, содержащих персональные данные.

6.2. Ответственный за организацию обработки персональных данных может быть привлечен к установленной законом ответственности за нарушение требований по организации хранения документов, содержащих персональные данные.