Автор: Казанцева Е., эксперт информационно-справочной системы «Аюдар Инфо»

Факт уничтожения персональных данных по основаниям, предусмотренным Федеральным законом от 27.07.2006 № 152-ФЗ, операторы с 1 марта 2023 года должны подтверждать соответствующим актом. Требования к содержанию этого документа определены Приказом Роскомнадзора от 28.10.2022 № 179 (далее – Приказ № 179). Причем такие требования различаются в зависимости от способа обработки персональных данных – вручную или с использованием средств автоматизации. Подробности – в материале.

Основания для уничтожения персональных данных

Законом № 152-ФЗ и принятыми в соответствии с ним профильными ведомствами подзаконными актами определены ситуации, при наступлении которых оператор должен прекратить обработку персональных данных.

Так, согласно ч. 3 ст. 21 названного закона оператор обязан прервать обработку персональных данных или обеспечить ее прекращение лицом, действующим по его поручению, если выявлено, что она осуществляется неправомерно. Сделать это нужно в срок не более 3 рабочих дней с даты выявления нарушений.

Если обеспечение правомерности обработки персональных данных невозможно, в срок не более 10 рабочих дней с даты выявления неправомерной обработки персональных данных необходимо уничтожить такие данные (или обеспечить их уничтожение), а также проинформировать субъекта персональных данных (и Роскомнадзор – если сигнал о нарушении был получен от этого ведомства) об устранении допущенных нарушений или об уничтожении сведений (ч. 3 ст. 21 Закона № 152-ФЗ).

Обратите внимание: согласно ст. 3 Закона № 152-ФЗ под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановление содержания персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Если цели обработки персональных данных достигнуты, оператор в соответствии с ч. 4 ст. 21 Закона № 152-ФЗ тоже должен прекратить их обрабатывать (обеспечить такое прекращение) и уничтожить эти данные (или обеспечить их уничтожение). Сделать это ему нужно в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.

Аналогичное требование содержится также в подзаконных актах. К примеру, в п. 7 Правил обработки персональных данных в уголовно-исполнительной системе РФ (утверждены Приказом ФСИН России от 23.06.2020 № 417) сказано: обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Прекращение обработки персональных данных, влекущее их последующее уничтожение, может инициировать и гражданин – субъект персональных данных.

Согласно ч. 1 ст. 14 Закона № 152-ФЗ субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Например, гражданин может отозвать согласие на обработку своих персональных данных. В этом случае оператор по общему правилу обязан перестать обрабатывать персональные данные (или обеспечить прекращение их обработки) и уничтожить их, если такие сведения не нужны для дальнейшей обработки. Выполнить эти действия оператору необходимо не позднее 30 дней с момента поступления соответствующего отзыва от гражданина (ч. 5 ст. 21 Закона № 152-ФЗ).

К сведению: субъект персональных данных также вправе обратиться к оператору с требованием о прекращении обработки персональных данных. Исполнить такое требование оператор по общему правилу (есть ряд исключений) обязан в течение 10 рабочих дней с момента его получения. Обозначенный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на 5 рабочих дней (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Помимо этого, гражданин может направить оператору требование о прекращении обработки персональных данных, разрешенных для распространения. В этом случае действие согласия на обработку сведений, разрешенных для распространения, прекращается с момента поступления подобного требования (ч. 12, 13 ст. 10.1 Закона № 152-ФЗ).

Ответственность оператора

Неисполнение оператором предусмотренных Законом № 152-ФЗ требований, в том числе в части прекращения обработки и уничтожения персональных данных, влечет административную ответственность по ст. 13.11 КоАП РФ (ч. 1 ст. 24 Закона № 152-ФЗ).

Так, согласно ч. 5 ст. 13.11 КоАП РФ за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо уполномоченного органа о блокировании или уничтожении персональных данных в случае, если эти данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, размер штрафа составляет для организации от 50 тыс. до 90 тыс. руб., для должностных лиц от 8 тыс. до 20 тыс. руб.

При повторном правонарушении размер штрафа возрастет до 500 тыс. руб. для организаций и до 30 тыс. руб. для должностных лиц (ч. 5.1 ст. 13.11 КоАП РФ).

Локальный акт об уничтожении персональных данных

В соответствии с пп. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований должен быть прописан в локальном акте оператора.

Напомним: положение о порядке уничтожения персональных данных, как и любой другой локальный нормативный акт, принимается и утверждается работодателем путем издания приказа (распоряжения), который подписывает руководитель организации или другое уполномоченное на это лицо. При наличии в организации представительного органа работников положение должно приниматься с учетом требований ст. 372 ТК РФ.

Обозначенный локальный акт, как правило, составляется в произвольной форме (если нет утвержденной). В нем должны быть прописаны технические моменты, связанные с уничтожением персональных данных граждан. То есть должна быть прописана процедура уничтожения персональных данных в зависимости от способа их обработки – вручную или с использованием средств автоматизации.

К примеру, в разд. XV Правил обработки персональных данных в МЧС (утверждены Приказом МЧС России от 31.10.2019 № 626) установлено:

  • уничтожение документов (копий документов), содержащих персональные данные, должно производиться путем сжигания или с помощью механической переработки. При этом должна быть исключена возможность прочтения текста уничтоженного документа (п. 107);

  • уничтожение персональных данных, хранящихся в информационных системах, на средствах вычислительной техники и (или) на перезаписываемых машинных носителях информации, производится методами и средствами гарантированного удаления остаточной информации (п. 108);

  • уничтожение машинных носителей информации, содержащих персональные данные, производится путем механического нарушения целостности машинного носителя информации, не позволяющего произвести считывание или восстановление содержания персональных данных (надлом, физическое деформирование) (п. 109);

  • уничтожение или обезличивание части персональных данных, если это допускает материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) (п. 110).

Также в локальном акте должны быть отражены организационные моменты, например порядок формирования комиссии для уничтожения персональных данных, регламент ее работы, перечень оформляемых документов, порядок актирования проведенных мероприятий и уничтоженных сведений и т. д.

Сроки уничтожения персональных данных

Ситуации, при наступлении которых оператор обязан уничтожить персональные данные субъекта, обозначены в ст. 20 и 21 Закона № 152-ФЗ. Здесь же указаны сроки, в течение которых оператор обязан уничтожить персональные данные (обеспечить их уничтожение) (см. таблицу).

Основание для уничтожения персональных данных

Срок уничтожения персональных данных

Представление субъектом (его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 3 ст. 20)

В течение 7 рабочих дней со дня представления сведений

Примечание. В этом случае оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и принятых мерах, а также принять разумные меры для уведомления третьих лиц, которым были переданы персональные данные этого субъекта

Выявление неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по его поручению, если невозможно обеспечить правомерность их обработки (ч. 3 ст. 21)

Не позднее 10 рабочих дней с даты выявления неправомерной обработки персональных данных

Примечание. Об уничтожении персональных данных оператор обязан уведомить субъекта (его представителя) или уполномоченный орган (если обращение поступило от него)

Достижение цели обработки персональных данных (ч. 4 ст. 21)

Не позднее 30 дней с даты достижения цели обработки персональных данных

Отзыв субъектом персональных данных согласия на их обработку, если их сохранение более не требуется для целей обработки (ч. 5 ст. 21)

Не позднее 30 дней с даты поступления отзыва

Примечание. Иной срок уничтожения персональных данных по основаниям, приведенным в ч. 4 и 5 ст. 21, может быть предусмотрен:

  • договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

  • иным соглашением между оператором и субъектом персональных данных;

  • если оператор не вправе осуществлять обработку персональных данных без согласия субъекта по основаниям, определенным Законом № 152-ФЗ или другими федеральными законами

В соответствии с ч. 6 ст. 21 Закона № 152-ФЗ в случае отсутствия возможности уничтожения персональных данных в течение установленных сроков оператор обязан заблокировать эти данные (обеспечить их блокирование) и обеспечить их уничтожение в срок не более 6 месяцев. Иной срок может быть определен федеральными законами.

Подтверждение уничтожения персональных данных

Согласно ч. 7 ст. 21 Закона № 152-ФЗ подтверждение уничтожения персональных данных в случаях, предусмотренных этой статьей, осуществляется в соответствии с требованиями, установленными Роскомнадзором. Такие требования установлены Приказом № 179, который действует с 1 марта 2023 года по 1 марта 2029 года.

Подтверждающие документы

На основании п. 1 и 2 Приказа № 179 перечень и содержание документов, которыми оператор должен подтвердить факт уничтожения персональных данных, зависит от способа обработки таких данных:

  • если обработка персональных данных осуществляется без использования средств автоматизации – составляется только акт об уничтожении персональных данных;

  • если обработка персональных данных осуществляется с использованием средств автоматизации – составляется акт об уничтожении персональных данных и производится выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – выгрузка из журнала).

Обратите внимание: если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без них, для подтверждения факта уничтожения персональных данных субъектов необходимы и акт, и выгрузка из журнала (п. 7 Приказа № 179).

В соответствии с п. 8 Приказа № 179 акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

Содержание акта

Форма акта об уничтожении персональных данных Приказом № 179 не утверждена. Поэтому документ составляется в произвольной форме, но в нем должны быть приведены следующие реквизиты (п. 3 обозначенного приказа):

1) наименование (юридического лица) или Ф. И. О. (физического лица) и адрес оператора;

2) наименование (юридического лица) или Ф. И. О. (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) по поручению оператора (если обработка была поручена такому (таким) лицу (лицам));

3) Ф. И. О. субъекта (субъектов) или иная информация, относящаяся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

4) Ф. И. О., должность лиц (лица), уничтоживших персональные данные субъекта, а также их (его) подпись;

5) перечень категорий уничтоженных персональных данных субъекта (субъектов);

6) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов), с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

7) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) (в случае обработки персональных данных с использованием средств автоматизации);

8) способ уничтожения персональных данных;

9) причина уничтожения персональных данных;

10) дата уничтожения персональных данных субъекта (субъектов).

Обратите внимание: акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи», признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью уполномоченных лиц (п. 4 Приказа № 179).

Выгрузка из журнала

Согласно п. 5 Приказа № 179 выгрузка из журнала должна содержать следующую информацию:

1) Ф. И. О. субъекта (субъектов) или иные сведения, относящиеся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

2) перечень категорий уничтоженных персональных данных субъекта (субъектов);

3) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов);

4) причина уничтожения персональных данных;

5) дата уничтожения персональных данных субъекта (субъектов).

К сведению: если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные п. 5 Приказа № 179, недостающие сведения вносятся в акт об уничтожении персональных данных (п. 6 обозначенного приказа).