Утверждаю
Директор Карась Ксения Александровна
ИП Карась К.А.
Приказ от «30» мая 2025 г. №1

Положение

о порядке уничтожения персональных данных

«в организации ИП Карась К.А.»

1. Общие положения

1.1. Настоящее Положение разработано в целях регламентации порядка уничтожения персональных данных в организации «ИП Карась К.А.».
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 № 687, Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным Постановлением Правительства Российской Федерации от 21.03.2012 № 211, Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» и иным действующим законодательством Российской Федерации.
1.3. Настоящее Положение обязательно для соблюдения всеми работниками организации.
1.4. Настоящее Положение вступает в действие с момента утверждения его приказом руководителя организации и действует до утверждения нового Положения.
1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом руководителя организации.
1.6. Контроль за соблюдением настоящего Положения возлагается на ответственное лицо, определяемое приказом руководителя организации.

2. Порядок уничтожения персональных данных

2.1. Уничтожение персональных данных производится в случаях:
а) выявления неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
б) требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
в) отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
г) достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
д) истечения сроков хранения персональных данных, установленных нормативно-правовыми актами Российской Федерации;
е) признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
ж) в иных установленных законодательством случаях.
2.2. Для выявления случаев, указанных в п. 2.1, в организации назначается ответственное лицо (либо создается специальное подразделение), которое отслеживает работу с персональными данными, выявляет случаи, когда необходимо уничтожить данные, обрабатывает запросы от сотрудников организации, государственных органов и субъектов персональных данных по поводу уничтожения персональных данных.
2.3. В случае необходимости уничтожения персональных данных ответственное лицо (либо специальное подразделение), указанное в п. 2.2 настоящего Положения, в течение 5 рабочих дней с момента возникновения запроса об уничтожении персональных данных обращается в комиссию по защите персональных данных, созываемую в количестве 1 человек, состоящую из директора Карась Ксении Александровны, для принятия решения об уничтожении персональных данных.
2.4. Комиссия в течение 5 рабочих дней с момента получения обращения проверяет обоснованность необходимости уничтожения персональных данных и выносит соответствующее решение.
2.5. Решение комиссии об отказе в уничтожении персональных данных может быть обжаловано в судебном порядке в соответствии с действующим законодательством Российской Федерации.
2.6. Решение комиссии об уничтожении персональных данных должно быть исполнено в течение 5 рабочих дней с момента получения лицом, указанным в п. 2.2 настоящего Положения.
2.7. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
- физическое уничтожение носителя (уничтожение через шредерование, сжигание);
- уничтожение информации с носителя (многократная перезапись в секторах магнитного диска).
2.8. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
2.9. После уничтожения персональных данных составляется Акт об уничтожении персональных данных (далее - Акт), по форме, утвержденной руководителем организации (Приложение № 2 к настоящему Положению).
2.10. Акт об уничтожении персональных данных должен содержать:
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Если обработка персональных данных осуществлялась с использованием средств автоматизации, то дополнительно к Акту делается выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
2.11. Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
2.12. Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 2.11. Положения, недостающие сведения вносятся в акт об уничтожении персональных данных.
2.13. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.14. Лицо, указанное в п. 2.2 настоящего Положения, уведомляет лицо, обратившееся с запросом об уничтожении персональных данных, об уничтожении персональных данных путем уничтожения информации с носителя в срок 5 рабочих дней с момента составления Акта об уничтожении персональных данных.