Штраф за неуничтожение в заданные сроки персональных данных для организации сейчас доходит до 500 000 руб., и Госдума рассматривает законопроект о его увеличении в несколько раз! Поэтому давайте разберемся, в каких ситуациях, в какие сроки надо уничтожать персданные, как это документально подтвердить, сколько потом хранить такие доказательства.
Правила документирования установлены Роскомнадзором – объясняем, что он требует. Показываем образцы приказа о создании комиссии, акта об уничтожении персданных, уведомления работника об уничтожении персональных данных, которые использовались неправомерно. Предлагаем формулировки для ЛНА о порядке уничтожения таких конфиденциальных сведений, для договоров об обязательстве контрагента уничтожить передаваемые ему персданные.
В нынешнем информационном обществе персональные данные играют основополагающую роль, поэтому их защита и своевременное уничтожение являются неотъемлемыми частями обязанностей бизнеса и государства. О нюансах уничтожения персданных, которые необходимо знать любой организации, поговорим в этой статье. Для начала дадим необходимый юридический базис.
Когда и в какие сроки уничтожать персданные
Уничтожение персональных данных 1 – это вид их обработки, подразумевающий действия, в результате которых:
-
становится невозможным восстановить содержание персональных данных в информационной системе и/или
- уничтожаются материальные носители персональных данных.
В соответствии с Законом № 152‑ФЗ оператор (т.е. организация или индивидуальный предприниматель, осуществляющий обработку персональных данных) обязан уничтожить персональные данные субъекта персданных (или обеспечить их уничтожение) в следующих ситуациях:
- при получении от субъекта персданных (или его представителя) сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки 2;
- при выявлении неправомерной обработки персданных, если невозможно обеспечить ее правомерность 3;
- после достижения цели обработки персданных 4;
- при отзыве субъектом согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки 5;
- при обращении субъекта с требованием о прекращении обработки его персданных 6.
Сроки уничтожения персональных данных различаются в зависимости от причины (все они сведены в Таблицу 1):
-
общий срок уничтожения составляет 30 дней и применяется, когда речь идет о достижении целей обработки или отзыве субъектом согласия на обработку его персданных (если их сохранение более не требуется для целей обработки). Надо учитывать, что в этих случаях может быть предусмотрен и иной срок с учетом конкретных обстоятельств, в частности 7:
- он может быть определен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персданных, или иным соглашением между оператором и субъектом персданных;
- когда оператор не вправе осуществлять обработку персданных без согласия субъекта персданных на основаниях, предусмотренных Законом № 152‑ФЗ или другими федеральными законами;
- значительно более короткие сроки (по сравнению с общим) применяются в особых случаях – см. Таблицу 1.
Таблица 1. Сроки уничтожения персональных данных
Пример 1. Условие в договоре об обязанности контрагента осуществить уничтожение персональных данных
По истечении срока обработки переданных Заказчиком персональных данных пользователей в случае отзыва согласия на обработку персональных данных, а также если станет известно, что персональные данные содержат неполную / неточную информацию, получены или обрабатываются с нарушением закона, Исполнитель обязан уничтожить полученные персональные данные пользователей в срок не позднее 3 рабочих дней с даты получения требования об этом или выявления обстоятельств, свидетельствующих о необходимости уничижения персональных данных пользователей.
В качестве подтверждения уничтожения переданных персональных данных пользователей Исполнитель направляет в адрес Заказчика заверенные копии акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных в течение 2 рабочих дней с даты оформления этих документов.