Все это — онлайн, с заботой о вас и по отличным ценам.
Как правильно избавляться от такого рода документов, если они потом оказываются ненужными?
Здравствуйте! При подготовке документов в работе организации (хостел) сотрудники печатают различные файлы - в них могут содержаться персональные данные (ФИО, паспорт). Как правильно избавляться от такого рода документов, если они потом оказываются ненужными?Нужно ли с сотрудниками заключать какое-то соглашение - о работе с персональными данными и их неразглашении?
Добрый день, Амелия! Здорово, что вы заинтересовались вопросом защиты персональных данных, многие владельцы бизнесов об этом не задумываются.
Согласно Закона о персональных данных, вам нужно:
— назначить лицо, ответственное за обработку персональных данных,
— издать локальный акт, регулирующий порядок обработки персональных данных в организации (там предусмотреть порядок уничтожения — такой, чтобы документ нельзя было потом восстановить и использовать — шредер, например),
— определить локальным актом перечень лиц, непосредственно работающих с персональными данными,
— ознакомить этих лиц под расписку с положениями законодательства о персональных данных и локальным актом.
Целесообразно также прописать обязанности по работе с персональными данными и по соблюдению законодательства прописать в трудовом договоре или должностной инструкции.
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) «О персональных данных»
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся:1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.