Прекращение обработки и уничтожение персональных данных
21 ноября 2023 г.
Для ведения деятельности все организации и индивидуальные предприниматели в той или иной мере собирают, хранят и используют персональные данные физических лиц. Эти и любые иные действия с персональными данными называются обработкой персональных данных. Однако никакие данные не могут обрабатываться бесконечно. При достижении целей обработки или наступлении иных предусмотренных законодательством оснований она должна быть прекращена, а персональные данные уничтожены.
С марта этого года вопрос об уничтожении персональных данных вновь приобрел актуальность. Это связано со вступлением в силу изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ», «Закон»), а также утверждением органом-регулятором требований к подтверждению уничтожения персональных данных[1].
В статье рассмотрим, в каких случаях оператор (персональных данных – далее «оператор», «оператор ПД») должен прекратить обработку персональных данных и каков порядок их уничтожения.
Что такое прекращение обработки персональных данных?
Прекратить обработку данных можно временно или постоянно. Временное прекращение в Законе о персональных данных называется блокированием, и является одним из видов операций с персональными данными. Блокирование персональных данных, как правило, осуществляется на период проверки факта неправомерности обработки или неточности обрабатываемых данных.
Далее в статье мы будем рассматривать только прекращение обработки персональных данных на постоянной основе.
Когда оператор ПД прекращает обработку персональных данных и обязан их удалить?
Закон о персональных данных предусматривает несколько оснований для прекращения обработки персональных данных. Они «разбросаны» по разным статьям Закона и влекут разные правовые последствия.
Оператор прекращает обработку персональных данных и обеспечивает прекращение обработки третьим лицом, которому она была поручена, в следующих случаях:
- прекращение оператором ПД деятельности по обработке персональных данных (часть 7 статьи 22 ФЗ № 152-ФЗ);
- запрет трансграничной передачи персональных данных (часть 14 статьи 12 ФЗ № 152-ФЗ);
- достижение оператором ПД целей обработки (часть 4 статьи 21 ФЗ № 152-ФЗ);
- выявление неправомерности обработки персональных данных (часть 3 статьи 21 ФЗ № 152-ФЗ);
- отзыв согласия на обработку персональных данных (часть 12 статьи 10.1, часть 5 статьи 21 ФЗ № 152-ФЗ);
- требование о прекращении обработки (часть 5.1 ст. 21 Закона № 152-ФЗ).
Ниже рассмотрим каждое основание подробнее.
Прекращение оператором ПД деятельности по обработке персональных данных и их удаление
Согласно пункту 5.1 Методических рекомендаций Роскомнадзора оператор считается прекратившим обработку персональных данных при наступлении следующих условий:
- ликвидация оператора ПД;
- прекращение деятельности оператора ПД в результате его реорганизации;
- аннулирование лицензий на осуществление деятельности, если ее условием является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
- вступившее в законную силу решение суда о прекращении оператором ПД обработки персональных данных;
- наступление срока или условия прекращения обработки персональных данных, указанных оператором в уведомлении о начале обработки персональных данных[2].
В случае прекращения обработки персональных данных оператор ПД обязан уведомить Роскомнадзор в течение 10 рабочих дней (часть 7 статьи 22 Закона о персональных данных). Форма такого уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180[3]. В течение 30 дней с даты регистрации уведомления Роскомнадзор вносит в Реестр операторов ПД сведения о прекращении обработки персональных данных.
Запрет или ограничение трансграничной передачи персональных данных
Трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 ФЗ № 152-ФЗ).
С 1 марта 2023 года для трансграничной передачи в любую страну нужно уведомить Роскомнадзор. В страны, которые обеспечивают адекватную защиту персональных данных, начинать трансграничную передачу можно сразу же после направления такого уведомления[4].
Вместе с тем Роскомнадзор вправе запретить или ограничить трансграничную передачу персональных данных. При получении такого решения в силу части 14 статьи 12 ФЗ № 152-ФЗ Оператор обязан обеспечить прекращение обработки и уничтожение ранее переданной информации иностранным лицом, получившим такие персональные данные.
Достижение целей обработки персональных данных
Согласно части 2 статьи 5 ФЗ № 152-ФЗ обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Цель обработки персональных данных формулируется оператором ПД в согласии на обработку, получаемом у владельца персональных данных (в Законе он именуется субъект персональных данных). Например, ведение кадрового и бухгалтерского учета, продвижение на рынке товаров, работ, услуг и т.п.
По общему правилу в случае достижения цели обработки персональных данных Оператор обязан прекратить обработку. Например, персональные данные собирали для исполнения договора, заключенного в пользу субъекта персональных данных. После его исполнения персональные данные следует прекратить обрабатывать.
Продолжить обработку можно только в тех случаях, когда она прямо разрешена законом. Например, Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» обязывает кредитные организации хранить данные клиента, необходимые для его идентификации, несмотря на исполнение договора, в течение не менее 5 лет.
Выявление неправомерной обработки персональных данных
В случае выявления неправомерной обработки персональных данных оператор ПД обязан прекратить их обработку персональных данных в течение 3 рабочих дней со дня выявления этого факта (часть 3 статьи 21 ФЗ № 152-ФЗ). Если возможно, оператор ПД устраняет обстоятельства, которые обуславливают неправомерный характер обработки. Например, получает согласие субъекта персональных данных на обработку, если данные обрабатывались без согласия и в отсутствие иных законных оснований.
Если обеспечить правомерность обработки невозможно, оператор в течение 10 рабочих дней должен уничтожить такие персональные данные и уведомить об этом субъекта персональных данных/его представителя, а если запрос поступил от Роскомнадзора – также указанный орган.
Отзыв согласия на обработку персональных данных
Напомним, что Закон о персональных данных предусматривает два вида согласий, которые оператор обязан получать на работу с персональными данными:
- согласие на обработку персональных данных (далее по тексту – «согласие на обработку ПД»);
- согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее по тексту – «согласие на распространение ПД»).
Любое из них субъект персональных данных вправе отозвать без объяснения причин. Однако последствия отзыва таких согласий разнятся.
При отзыве согласия на обработку ПД Оператор обязан прекратить обработку персональных данных / обеспечить прекращение такой обработки, если она осуществляется другим лицом, действующим по поручению оператора ПД, и уничтожить их в течение 30 дней со дня поступления отзыва. Исключение – если Закон разрешает их обработку и без согласия субъекта персональных данных. Перечень таких оснований установлен для общих категорий данных частью 1 статьи 6 ФЗ № 152-ФЗ, для специальных категорий ПД – частью 2 статьи 10 ФЗ № 152-ФЗ, для биометрических ПД – часть 2 статьи 11 ФЗ № 152-ФЗ.
В случае отзыва согласия на распространение ПД оператор обязан прекратить распространение таких персональных данных с момента его получения. К отзыву согласия на распространение ПД в Законе установлены специальные требования. Согласно части 12 статьи 10.1 ФЗ № 152-ФЗ такое требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Требование о прекращении передачи персональных данных может быть предъявлено не только к первоначальному оператору, но и к любому иному лицу, которое осуществляет их обработку. Иные лица обязаны прекратить распространение персональных данных в течение 3 рабочих дней с момента получения требования.
Продолжить распространение персональных данных разрешается после получения требований возможно только, когда это необходимо для реализации полномочий органов публичной власти (часть 15 статьи 10.1 ФЗ № 152-ФЗ).
Также отметим, что в силу части 2 статьи 15 ФЗ № 152-ФЗ оператор обязан при получении отзыва согласия незамедлительно прекратить обработку персональных данных, используемых для продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
Получение требования о прекращении обработки персональных данных
Помимо отзыва согласия субъект персональных данных может обратиться к Оператору с требованием прекратить обработку своих данных (часть 5.1 ст. 21 Закона № 152-ФЗ). Данная норма вступила в силу с 1 марта 2023 года.
Оператор в течение 10 рабочих дней с даты получения соответствующего требования, обязан прекратить обработку персональных данных / обеспечить ее прекращение, если она осуществлялась третьем лицом по поручению оператора ПД. Указанный срок может быть продлен не более чем на 5 рабочих дней при условии уведомления субъекта персональных данных с указанием причин продления срока. Как и при отзыве согласия, продолжить обработку можно, если Закон разрешает их обработку и без согласия субъекта персональных данных.
Помимо субъекта персональных данных требование о прекращении обработки может быть предъявлено и органом-регулятором, в том числе по обращению к нему владельца персональных данных. Проиллюстрируем на примере дела, дошедшего до рассмотрения в суде.
В Роскомнадзор поступило обращение от Б. по вопросу законности обработки ее персональных данных юридической компанией. По результатам рассмотрения обращения было установлено, что между медицинской клиникой и Б. был заключен договор на оказание платных медицинских услуг. В ходе его исполнения у клиники возникли претензии к Б., для защиты своих интересов клиника заключила договор с юридической компанией. При участии юридической компании стороны заключили досудебное соглашение об урегулировании спора. Роскомнадзор пришел к выводу о наличии в действиях клиники нарушений Закона о персональных данных, выразившихся в передаче специальной категории персональных данных (сведений о состоянии здоровья) без согласия Б. Вынес требование о недопущении нарушений, в котором требовал обеспечить прекращение обработки персональных данных третьим лицом – юридической компанией.
Клиника попыталась оспорить требование контрольного органа в суде. В ходе рассмотрения дела выявили, что Б. давала согласие на обработку своих персональных данных в целях оказания ей медицинской помощи. Однако данное согласие не содержало разрешения на предоставление персональных данных юридической компании. Суд пришел к выводу, что привлечение клиникой юридической компании на стадии досудебного урегулирования не является нарушением Закона о персональных данных, вместе с тем предоставление ей доступа к особой категории персональных данных без согласия Б. не требовалось и противоречит Закону. Доводы о невозможности реализации клиникой права на квалифицированную юридическую помощь без обработки особой категории персональных данных клиента судом были отклонены. В удовлетворении заявления клиники о признании требования Роскомнадзора отказано[5].
Уничтожение (удаление) персональных данных
В ряде случаев после прекращения обработки персональные данные должны быть уничтожены. Уничтожение ПД – это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (пункт 8 статьи 3 ФЗ № 152-ФЗ).
Случаи, когда Оператор обязан уничтожить персональные данные и сроки уничтожения мы собрали ниже:
- достижение целей обработки – в течение 30 дней с даты достижения цели обработки;
- выявление неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность – в течение 10 рабочих дней с даты выявления неправомерной обработки;
- отзыв согласия на обработку его персональных данных – в течение 30 дней с даты поступления указанного отзыва;
- представление субъектом персональных данных (или его представителем) сведений, подтверждающих, что данные незаконно получены или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней со дня представления таких сведений;
- вынесение Роскомнадзором решения о запрете или ограничении трансграничной передачи персональных данных – срок ФЗ № 152-ФЗ не регламентирован.
В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанных сроков, Оператор осуществляет блокирование данных и обеспечивает уничтожение персональных данных не позднее 6 месяцев.
Также другой срок для уничтожения данных может применяться, если:
- он предусмотрен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- он предусмотрен иным соглашением между оператором и субъектом персональных данных;
- если оператор ПД вправе осуществлять обработку персональных данных без согласия их субъекта на иных законных основаниях, предусмотренных ФЗ № 152-ФЗ или другими федеральными законами.
Например, даже после увольнения работника кадровые документы оператор продолжает хранить в течение сроков, установленных Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и приказом Росархива: трудовые договоры, приказы о приеме на работу, переводе, совместительстве, увольнении – 50 лет, о ежегодных оплачиваемых отпусках – 5 лет, о дисциплинарных взысканиях – 3 года с момента окончания делопроизводства и др.[6].
Порядок уничтожения персональных данных, требования к его подтверждению
Порядок уничтожения персональных данных нормативными актами не урегулирован. Рекомендуем операторам самостоятельно разработать локальный акт, регламентирующий уничтожения персональных данных. Уничтожение может осуществляться как единолично уполномоченным оператором лицом, так и комиссионно. В последнем случае необходимо регламентировать деятельность комиссии в локальном акте: определить состав, полномочия и порядок деятельности.
Способ уничтожения зависит от вида хранения персональных данных:
- данные, хранящихся на бумажных носителях можно уничтожить путем разрезания, сжигания, уничтожения при помощи шредера, химического уничтожение и др.;
- данные, хранящиеся на электронных носителях – путем стирания на устройстве, переформатирования диска, уничтожения материального носителя и др.
Главное – невозможность последующего восстановления персональных данных.
Обратим внимание, что Закон о персональных данных не предусматривает возможность частичного уничтожения персональных данных либо уничтожения отдельных носителей персональных данных при сохранении других[7].
С 1 марта 2023 года вступил в силу приказ Роскомнадзора от 28.10.2022 № 179 (далее по тексту – «Приказ № 179»), устанавливающий требования к подтверждению уничтожения персональных данных[8]. В соответствии с пунктами 1 – 2 Приказа № 179, если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение, является акт об уничтожении персональных данных. Если данные обрабатываются с использованием средств автоматизации, уничтожение данных подтверждают двумя документами: актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе.
Форма указанных документов не утверждена, но при этом Приказ № 179 устанавливает требования к их содержанию. Так, акт об уничтожении персональных данных должен содержать:
- наименование / ФИО и адрес оператора;
- наименование / ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
- ФИО субъекта персональных данных или иную информацию, относящуюся к нему;
- перечень категорий уничтоженных персональных данных;
- наименование уничтоженных материальных носителей, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
- наименование информационных систем, из которых были уничтожены персональные данные субъекта (в случае обработки персональных данных с использованием средств автоматизации);
- способ уничтожения персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения;
- ФИО, должность и подпись лиц (лица), уничтоживших персональные данные.
Акт об уничтожении персональных данных, подписанный в форме электронного документа, признается равнозначным акту об уничтожении персональных данных на бумажном носителе.
Выгрузка из журнала должна содержать:
- ФИО субъекта персональных данных или иную информацию, относящуюся к нему;
- перечень категорий уничтоженных персональных данных;
- наименование информационной системы персональных данных, из которой были уничтожены данные;
- причину уничтожения персональных данных;
- дату уничтожения этих данных.
Если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения вносятся в акт об уничтожении персональных данных.
В случае если обработка персональных данных осуществляется одновременно с использованием средств автоматизации и без использования средств автоматизации, составляются и акт об уничтожении, и выгрузка.
Хранить документы, подтверждающие уничтожение данных, нужно в течение трех лет.
Ответственность за нарушение правил прекращения обработки и уничтожение персональных данных
За невыполнение оператором ПД требования субъекта персональных данных либо Роскомнадзора об уничтожении привлекают к административной ответственности по части 5 статьи 13.11 КоАП РФ. Штраф на граждан в размере от 2 000 до 4 000 рублей; на должностных лиц – от 8 000 до 20 000 рублей; на индивидуальных предпринимателей – от 20 000 до 40 000 рублей; на юридических лиц – от 50 000 до 90 000 рублей. За повторное совершение административного правонарушения установлен больший размер штрафов.
Проиллюстрируем на примере из судебной практики. Хозяйственное общество не выполнило предписание Роскомнадзора об удалении персональных данных работников на интернет-страницах данного общества. Постановлением мирового судьи Общество признано виновным в совершении административного правонарушения по части 5 статьи 13.11 КоАП, подвергнуто административному наказанию в виде штрафа в размере 25 000 рублей. Оспорить решение по мотиву невиновности в суде вышестоящей инстанции не удалось[9].
Кроме того, в случае выявления нарушений порядка прекращения и уничтожения персональных данных Роскомнадзор вынесет предписание, за неисполнение которого предусмотрена административная ответственность части 1 по статье 19.5 КоАП РФ. Штраф на должностных лиц – от 1 000 до 2 000 рублей, на юридических лиц – от 10 000 до 20 000 рублей.
Так, в одном из дел по результатам плановой проверки Роскомнадзором в отношении Информационно-расчетного центра было вынесено предписание об устранении нарушений положений Закона о персональных данных, выразившихся в не уничтожении персональных данных граждан, по достижении цели их обработки. Постановлением мирового судьи Информационно-расчетный центр был привлечен к административной ответственности, предусмотренной частью 1 статьи 19.5 КоАП РФ, назначен штраф в размере 10 000 рублей[10].
Кроме того, субъект персональных данных может обратиться в суд с иском о компенсации морального вреда в случае или неосуществлении действий по прекращению обработки данных и (или) их уничтожению. Размер компенсации морального вреда определяется судом в зависимости от характера причиненных потерпевшему физических и нравственных страданий, а также от степени вины причинителя вреда. При определении размера компенсации вреда должны учитываться требования разумности и справедливости. Как показывает практика, размеры взыскиваемой денежной компенсации по данным делам пока невелики, но количество исков растет.
Ф. обратился в суд с иском к хозяйственному обществу о прекращении неправомерной обработки персональных данных, взыскании компенсации морального вреда в размере 50 000 рублей. В обоснование иска указал, что между ним и Банком «Ю» был заключен договор банковского вклада. Центробанком России у Банка «Ю» была отозвана лицензия на совершение банковских операций. После этого Ф. получил от Общества письмо с предложением передачи прав по договору банковского вклада Обществу. В письме были использованы персональные данные Ф., между тем согласие Обществу на их обработку Ф. не давал. За защитой своих нарушенных прав Ф. обратился в Роскомнадзор, который направил хозяйственному обществу требование об уничтожении персональных данных Ф. Указанное требование в установленный законом срок Обществом не выполнено. В ходе судебного заседания Общество доказательств законности обработки персональных данных Ф., равно как и доказательств прекращения неправомерной обработки персональных данных не представило. Суд решил, что данные действия нарушают Закон о персональных данных. С учетом степени нравственных страданий Ф. и периода нарушения прав истца взыскал моральный вред в размере 1 000 рублей[11].
В другом деле С. обратилась в суд с иском к микрофинансовой компании о взыскании компенсации морального вреда в размере 20000 рублей. В обоснование требований указала, что от ее имени был заключен кредитный договор, она обратилась к микрофинансовой организации с требованием об отказе от задолженности и прекращении обработки ее персональных данных. Микрофинансовая организация уведомила С., что договор на ее имя признан незаключенным. Однако в результате действий микрофинансовой организации истец испытала нравственные страдания, что и послужило поводом для обращения в суд. С учетом обстоятельств дела и поведения каждой стороны суд снизил компенсацию морального вреда до 4 000 рублей[12].
На практике с оператора ПД могут взыскать компенсацию морального вреда в случаях, когда, несмотря на наличие документов, подтверждающих уничтожение персональных данных, субъект персональных данных продолжает получать СМС-рассылки или телефонные звонки[13].
Подводя итоги, отметим, что порядок и сроки прекращения обработки персональных данных различаются в зависимости от основания прекращения, в нормах используются сложные грамматические конструкций. Все это создает дополнительные трудности и не способствует единообразию в правоприменительной практике. Также вследствие недостаточной урегулированности порядка уничтожения персональных данных операторам ПД необходимо разработать локальные нормативные акты, регламентирующие такой порядок уничтожения, и обеспечить фиксацию факта их уничтожения в соответствии с требованиями приказа органа-регулятора.
_____________________
[1] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
[2] Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
[3] Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
[4] Приказ Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
[5] Решение Арбитражного суда Пензенской области от 22.05.2023 по делу № А49-14214/2022.
[6] Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
[7] Постановление Четвертого арбитражного апелляционного суда от 9 июля 2012 г. по делу № А10-125/2012.
[8] Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
[9] Постановление Второго кассационного суда общей юрисдикции от 30.11.2021 № 16-9529/2021.
[10] Постановление Третьего кассационного суда общей юрисдикции от 23.12.2021 № 16-4787/2021.
[11] Апелляционное определение Свердловского областного суда от 15.02.2021 по делу № 33-975/2021.
[12] Заочное решение Октябрьского районного суда города Архангельска от 21.06.2023 по делу № 2-2030/2023.
[13] Апелляционное определение Алтайского краевого суда от 27 мая 2020 г. по делу № 33-2930/2020.
21 ноября 2023 г.