Каков порядок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку?
В общем случае уничтожение персональных данных оператором осуществляется в течение 30 дней с даты достижения цели обработки персональных данных или с даты поступления отзыва субъектом персональных данных согласия на обработку его персональных данных. Порядок документального оформления факта уничтожения персональных данных определяется оператором самостоятельно.
Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)). К ним, в том числе, относятся: фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д. (ИНН к персональным данным не относится (Письма Минфина России от 19.01.2021 N 03-01-11/2330, от 15.01.2021 N 03-01-11/1380, от 12.01.2021 N 03-01-11/343, от 12.01.2021 N 03-01-11/347)).
В свою очередь, под персональными данными, разрешенными субъектом персональных данных для распространения, понимаются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом N 152-ФЗ (п. 1.1 ст. 3, ст. 10.1 Закона N 152-ФЗ).
Оператором персональных данных может быть государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).
Уничтожение персональных данных является видом обработки персональных данных и представляет собой действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. п. 3, 8 ст. 3 Закона N 152-ФЗ).
Случаи и сроки уничтожения персональных данных
Оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение):
• при представлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ);
• при выявлении неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность, - в течение 10 рабочих дней с даты выявления неправомерной обработки персональных данных (ч. 3 ст. 21 Закона N 152-ФЗ);
• при достижении цели обработки персональных данных - в течение 30 дней с даты достижения цели обработки персональных данных (ч. 4 ст. 21 Закона N 152-ФЗ);
• при отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных, - в течение 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона N 152-ФЗ).
Однако при достижении цели обработки персональных данных и при отзыве субъектом персональных данных согласия на обработку его персональных данных может применяться другой срок для уничтожения персональных данных субъекта, если:
• он предусмотрен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• он предусмотрен иным соглашением между оператором и субъектом персональных данных;
• если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом N 152-ФЗ или другими федеральными законами (ч. 7 ст. 5, ч. 4, 5 ст. 21 Закона N 152-ФЗ).
Стоит отметить, что передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных (ч. 12, 13 ст. 10.1 Закона N 152-ФЗ). Таким образом, общий срок уничтожения персональных данных оператором при достижении цели обработки персональных данных, а также при отзыве субъектом персональных данных согласия на обработку его персональных данных составляет 30 дней с даты достижения цели обработки персональных данных или с даты поступления указанного отзыва.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в ч. 3 - 5 ст. 21 Закона N 152-ФЗ, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона N 152-ФЗ).
Порядок оформления факта уничтожения персональных данных
Порядок документального оформления факта уничтожения персональных данных субъекта персональных данных законодательно не установлен, поэтому он определяется оператором персональных данных самостоятельно.
Уничтожение персональных данных осуществляется комиссией (либо иным должностным лицом), созданной (уполномоченным) на основании приказа оператора. Приказ составляется в произвольной форме. В нем указывается состав комиссии - председатель и ее члены (например, начальник кадровой службы, главный бухгалтер, руководители структурных подразделений, секретарь организации и пр.), цель создания комиссии, функции, сроки ее работы, какие персональные данные и на каких носителях (бумажных, электронных) подлежат уничтожению, способы уничтожения персональных данных на бумажных носителях (электронных носителей) и другие необходимые сведения.
Комиссия должна определить и составить перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам (в частности, Законом N 152-ФЗ, Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Приказом Росархива от 20.12.2019 N 236, другими определяющими случаи и особенности обработки персональных данных федеральными законами).
Составленный комиссией перечень документов (носителей), подлежащих уничтожению, должен быть сверен с записями в акте о прекращении обработки персональных и на указанных документах (носителях).
Способами уничтожения персональных данных, определяемыми и утверждаемыми оператором, могут быть:
• для бумажных носителей персональных данных - разрезание, гидрообработка, сжигание, механическое уничтожение. Например, пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения;
• для электронных носителей - стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска и т.п.
Затем осуществляется непосредственное уничтожение персональных данных на документах (носителях) без возможности их восстановления.
Как правило, факт уничтожения персональных данных оформляется актом о прекращении обработки персональных данных либо регистрируется в специальном журнале. Формы акта и журнала утверждаются оператором самостоятельно (Информация Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных"). В акте целесообразно отразить (помимо общих данных об организации, дате составления акта, составе комиссии, Ф.И.О., должностей и подписей председателя и членов комиссии) перечень уничтоженных документов (носителей) и способ их уничтожения. Акт утверждает руководитель организации или уполномоченное им лицо.
Необходимо отметить, что оператор до начала обработки (уничтожения) персональных данных направляет уведомление уполномоченному органу по защите прав субъектов персональных данных, которое, в частности, включает в себя следующие сведения: полное наименование оператора; адрес оператора; ИНН; ОГРН (п. 2.4, разд. 3 Методических рекомендаций, утв. Приказом Роскомнадзора от 30.05.2017 N 94, Приложение N 1 к этим Методическим рекомендациям).
Уничтоженные документы (носители), содержавшие персональные данные, должны быть списаны с книг и журналов учета (регистрации) данных документов (носителей).
Если при необходимости уничтожить персональные данные их уничтожение не будет осуществлено, организация-оператор будет привлечена к административной ответственности (ч. 1 ст. 24 Закона N 152-ФЗ, ст. 13.11 КоАП РФ).
Подготовлено на основе материала
Ю.С. Барыкиной
Консультационно-аналитический центр
по бухгалтерскому учету
и налогообложению
