Персональные данные
Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?
Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.
Адрес статьи: http://rkn.gov.ru/treatments/p459/p468/
Дополнение к ответу: С целью исключения ошибочного уничтожения документов (носителей), содержащих персональные данные физических лиц (субъектов персональных данных), на момент утверждения Акта не подлежащих уничтожению (например: не истекли установленные сроки хранения, нет факта утраты необходимости в достижение цели, цели обработки не достигнуты), необходимо учесть обязательные требования законодательства Российской Федерации в области персональных данных и других, определяющих случаи и особенности обработки персональных данных федеральных законов. Оператору целесообразно:
- определить состав комиссии (основание - приказ Оператора) с обязательным включением лица, ответственного за обработку документов планируемых к уничтожению (по направлению деятельности, в пределах установленных полномочий);
- определить перечень, оформить список документов, подлежащих уничтожению, согласно установленных действующими нормативными правовыми актами сроков, например:
- Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных»;
- Федеральным законом от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
- Приказом Министерства культуры РФ от 25.08.2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (Номенклатура дел, утверждаемая оператором ежегодно);
- другими, определяющими случаи и особенности обработки персональных данных федеральными законами;
- после утверждения акта, перечисленные документы (носители) должны быть сверены с записями в акте и на указанных документах (носителях), далее персональные данные должны быть уничтожены, определенным и утвержденным Оператором способом уничтожения, путем: разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья, либо стирания на устройстве гарантированного уничтожения информации и т.п.);
- уничтоженные документы (носители), содержавшие персональные данные, с книг и журналов учета (регистрации) данных документов (носителей) должны быть списаны.
Вопрос: Из Федерального закона «О персональных данных» и подзаконных актов не ясен конкретный перечень внутренних документов, которые должна разработать организация. Какой необходимый минимальный комплект документов Вы рекомендуете разработать?
Ответ: Жестких требований о количестве подлежащих разработке локальных актов оператора действующим законодательством не установлено.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных. Это меры организационного, правового и технического характера.
Практика реализации этих мер сформировала необходимый минимум документов, который должен быть принят оператором, это:
-
общий документ, определяющий политику оператора в отношении обработки персональных данных;
-
локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, включая перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
-
локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
-
Подчеркиваю, перечень этот не исчерпывающий.
Адрес статьи: http://pd.rkn.gov.ru/faq/faq21.htm
Дополнение к ответу: Постановлением Правительства Российской Федерации от 21.03.2012 г. № 211 утвержден Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и принятых на его основе нормативно-правовых актов ФСБ России и ФСТЭК России, например:
-
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 г. № 21 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
-
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утв. Руководством 8 Центра ФСБ России 31.03.2015 г. №149/7/2/6-432).
Вопрос: в каком виде должны направляться собственникам помещений платежные документы об оплате коммунальных услуг?
Ответ: Пунктом 69 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных постановлением Правительства Российской Федерации от 6 мая 2011 г. № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов», установлен перечень сведений, содержащихся в платежном документе, в том числе, включающий почтовый адрес жилого помещения, фамилию, имя и отчество собственника или нанимателя жилого помещения.
В соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При доставке платежных документов в открытом виде до почтовых ящиков персональные данные жильцов не защищены от случайного к ним доступа третьих лиц
В силу пункта 3 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут относиться применение правовых, организационных и технических мер по обеспечению безопасности персональных данных. В целях соблюдения конфиденциальности персональных данных при доставке платежных документов и исключения возможности ознакомления третьих лиц с содержащимися в них сведениями используются различные способы - вложение указанных документов в конверт, бесконвертное склеивание, когда платежный документ складывается и запечатывается, и прочие.
Для решения вопроса о достаточности принимаемых операторами мер по защите персональных данных при доставке до почтовых ящиков необходимо оценивать все фактические обстоятельства, в том числе условия договоров об оказании услуг, заключенных между собственниками жилья и управляющими компаниями или ТСЖ, содержание письменного согласия граждан на обработку их персональных данных, привлечение оператором уполномоченных работников или третьих лиц, способ доставки счетов, и иные.
Ответы на часто задаваемые вопросы на сайте Роскомнадзора
Время публикации: 06.11.2015 15:07
Последнее изменение: 30.01.2017 16:40