Положение о порядке уничтожения персональных данных
- Общие положения
1.1. Настоящее Положение разработано в целях регламентации порядка уничтожения персональных данных в в ГБУ «ЦСОГПВИИ г.о.г. Арзамас» (далее по тексту-Учреждение)
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 N 687, Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным Постановлением Правительства Российской Федерации от 21.03.2012 N 211, Требованиями к подтверждению уничтожения персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 N 179, и иным действующим законодательством Российской Федерации.
1.3. Настоящее Положение обязательно для соблюдения всеми сотрудниками Учреждения.
1.4. Настоящее Положение вступает в действие с момента утверждения его приказом директора Учреждения и действует до утверждения нового Положения.
1.5. Все изменения и дополнения к настоящему Положению утверждаются приказом директора Учреждения.
1.6. Контроль за соблюдением настоящего Положения возлагается на ответственное лицо, определяемое приказом директора Учреждения.
- Порядок уничтожения персональных данных
2.1. Уничтожение персональных данных производится в случаях:
1) выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
2) требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
4) достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
5) истечения сроков хранения персональных данных, установленных нормативно-правовыми актами Российской Федерации;
6) признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
7) в иных установленных законодательством случаях.
2.2. Для выявления случаев, указанных в п. 2.1, в Учреждении назначается ответственное лицо, которое отслеживает работу с персональными данными, выявляет случаи, когда необходимо уничтожить данные, обрабатывает запросы от сотрудников Учреждения, государственных органов и субъектов персональных данных по поводу уничтожения персональных данных.
2.3. В случае необходимости уничтожения персональных данных ответственное лицо, указанное в п. 2.2 настоящего Положения, в течение 10 календарных дней с момента возникновения запроса об уничтожении персональных данных обращается в комиссию по защите персональных данных, созываемую в количестве 5-ти человек, для принятия решения об уничтожении персональных данных.
2.4. Комиссия в течение 10 календарных дней с момента получения обращения проверяет обоснованность необходимости уничтожения персональных данных и выносит соответствующее решение.
2.5. Решение комиссии об отказе в уничтожении персональных данных может быть обжаловано в судебном порядке в соответствии с действующим законодательством Российской Федерации.
2.6. Решение комиссии об уничтожении персональных данных должно быть исполнено в течение 10 календарных дней с момента получения лицом, указанным в п. 2.2 настоящего Положения.
2.7. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
- физическое уничтожение носителя (уничтожение через шредерование, сжигание);
- уничтожение информации с носителя (многократная перезапись в секторах магнитного диска).
2.8. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
2.9. Документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных (далее - Акт). Форма Акта утверждается директором Учреждения (Приложение №1 к настоящему Положению). Акт подписывается членами комиссии.
Акт должен соответствовать п. 3 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 N 179.
2.10. После подписания Акта в журнал учета уничтожения носителей персональных данных (далее - журнал) вносится запись об их уничтожении. Форма журнала утверждается директором Учреждения.
2.11. Лицо, указанное в пункте 2.2 настоящего Положения, уведомляет лицо, обратившееся с запросом об уничтожении персональных данных, об уничтожении персональных данных телефонограммой либо по электронной почте в случае, если известны его номер телефона, адрес электронной почты, в срок не позднее 10 (десяти) рабочих дней с момента составления Акта об уничтожении персональных данных.
2.12. В случае если обработка персональных данных осуществлялась с использованием средств автоматизации, а также одновременно с использованием средств автоматизации и без использования средств автоматизации, то в дополнение к акту, указанному в п. 2.9, производится выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
Выгрузка должна соответствовать п. 5 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 N 179.
В случае если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения вносятся в Акт.
2.13. Акт и выгрузка из журнала подлежат хранению в течение трех лет с момента уничтожения персональных данных.