С прошлого года стало недостаточно просто уничтожить документы с персональными данными. Надо следовать специальной процедуре, составив акт об их уничтожении. Рассказываем, каков порядок уничтожения личных сведений, когда и в какие сроки это необходимо сделать, какой штраф полагается за нарушение требований закона. Приводим образцы документов (приказ о создании постоянно действующей комиссии по уничтожению документов с персональными данными, акт об уничтожении персданных, уведомление работника об уничтожении неправомерно использованных персональных данных) и формулировки для ЛНА о порядке уничтожения персданных, договора с контрагентом об обязательстве уничтожить передаваемые по договору персональные данные.
В нынешнем информационном обществе персональные данные играют основополагающую роль, поэтому их защита и своевременное уничтожение являются неотъемлемыми частями обязанностей бизнеса и государства. О нюансах уничтожения персданных, которые необходимо знать любой организации, говорим в статье.
Когда и в какие сроки надо уничтожать персданные
Уничтожение персональных данных 1 – это вид их обработки, подразумевающий действия, в результате которых:
-
становится невозможным восстановить содержание персональных данных в информационной системе и/или
- уничтожаются материальные носители персональных данных.
В соответствии с Законом № 152‑ФЗ оператор (то есть организация или индивидуальный предприниматель, осуществляющий обработку персональных данных) обязан уничтожить персональные данные субъекта персданных (или обеспечить их уничтожение) в следующих ситуациях:
- при получении от субъекта (или его представителя) персданных, сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14, ч. 3 ст. 20);
- при выявлении неправомерной обработки персданных, если невозможно обеспечить ее правомерность (ч. 3 ст. 21);
- после достижения цели обработки персданных (ч. 4 ст. 21);
- при отзыве субъектом согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки (ч. 5 ст. 21);
- при обращении субъекта с требованием о прекращении обработки его персданных (ч. 5.1 ст. 21).
Сроки уничтожения персональных данных различаются в зависимости от причины (все они приведены в Таблице):
-
общий срок уничтожения составляет 30 дней и применяется, когда речь идет о достижении целей обработки или отзыве субъектом согласия на обработку его персданных (если их сохранение более не требуется для целей обработки). Надо учитывать, что в этих случаях может быть предусмотрен и иной срок с учетом конкретных обстоятельств (ч. 4 и 5 ст. 21 Закона № 152‑ФЗ). В частности:
- он может быть определен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персданных, или иным соглашением между оператором и субъектом персданных;
- когда оператор не вправе осуществлять обработку персданных без согласия субъекта персданных на основаниях, предусмотренных Законом № 152‑ФЗ или другими федеральными законами;
- значительно более короткие (по сравнению с общим) сроки применяются в особых случаях (см. Таблицу).
Таблица. Сроки уничтожения персональных данных
Если оператор не может уничтожить персональные данные в указанные сроки, то он обязан предпринять меры для блокирования доступа к этим данным, а затем уничтожить их в течение 6 месяцев (ч. 6 ст. 21 Закона № 152‑ФЗ).
Обратите внимание: в случае передачи персональных данных другому лицу оператор должен установить обязательство получателя персональных данных уничтожить их после окончания целей их обработки или при утрате необходимости в их обработке. Обязательство по уничтожению можно прописать в договоре с третьим лицом или в отдельном соглашении о конфиденциальности полученной информации. Образец формулировок см. в Примере 1.
Пример 1. Условие в договоре об обязанности контрагента осуществить уничтожение персональных данных
По истечении срока обработки переданных Заказчиком персональных данных пользователей в случае отзыва согласия на обработку персональных данных, а также если станет известно, что персональные данные содержат неполную / неточную информацию, получены или обрабатываются с нарушением закона, Исполнитель обязан уничтожить полученные персональные данные пользователей в срок не позднее 3 рабочих дней с даты получения требования об этом или выявления обстоятельств, свидетельствующих о необходимости уничтожения персональных данных пользователей.
В качестве подтверждения уничтожения переданных персональных данных пользователей Исполнитель направляет в адрес Заказчика заверенные копии акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных в течение 2 рабочих дней с даты оформления этих документов.
