Правила уничтожения персональных данных

В нынешнем информационном обществе персональные данные играют основополагающую роль, поэтому их защита и своевременное уничтожение являются неотъемлемыми частями обязанностей бизнеса и государства. О нюансах уничтожения персданных, которые необходимо знать любой организации, говорим в статье.

Когда и в какие сроки надо уничтожать персданные

Уничтожение персональных данных¹ – ​это вид их обработки, подра­зумевающий действия, в результате которых:

• становится невозможным восстановить содержание персональных данных в информационной системе и/или
• уничтожаются материальные носители персональных данных.

В соответствии с Законом № 152‑ФЗ оператор (то есть организация или индивидуальный предприниматель, осуществляющий обработку персональных данных), обязан уничтожить персональные данные субъекта персданных (или обеспечить их уничтожение) в следующих ситуациях:

• при получении от субъекта персданных (или его представителя) сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14, ч. 3 ст. 20);
• при выявлении неправомерной обработки персданных, если невозможно обеспечить ее правомерность (ч. 3 ст. 21);
• после достижения цели обработки персданных (ч. 4 ст. 21);
• при отзыве субъектом согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки (ч. 5 ст. 21);
• при обращении субъекта с требованием о прекращении обработки его персданных (ч. 5.1 ст. 21).

Сроки уничтожения персональных данных различаются в зависимости от причины (все они сведены в Таблицу):

• общий срок уничтожения составляет 30 дней и применяется, когда речь идет о достижении целей обработки или отзыве субъектом согласия на обработку его персданных (если их сохранение более не требуется для целей обработки). Надо учитывать, что в этих случаях может быть предусмотрен и иной срок с учетом конкретных обстоятельств (ч. 4 и 5 ст. 21 Закона № 152‑ФЗ). В частности:
  • он может быть определен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персданных, или иным соглашением между оператором и субъектом персданных;
  • когда оператор не вправе осуществлять обработку персданных без согласия субъекта персданных на основаниях, предусмотренных Законом № 152‑ФЗ или другими федеральными законами;
• значительно более короткие (по сравнению с общим) сроки применяются в особых случаях (см. Таблицу).

Если оператор не может уничтожить персональные данные в указанные сроки, то он обязан предпринять меры для блокирования доступа к этим данным, а затем уничтожить их в течение 6 месяцев (ч. 6 ст. 21 Закона № 152‑ФЗ).

Обратите внимание: в случае передачи персональных данных другому лицу оператор должен установить обязательство получателя персональных данных уничтожить их после окончания целей их обработки или при утрате необходимости в их обработке. Обязательство по уничтожению можно прописать в договоре с третьим лицом или в отдельном соглашении о конфиденциальности полученной информации. Образец формулировок см. в Примере 1.

Порядок уничтожения персональных данных

Порядок уничтожения персональных данных различается в зависимости от требований и специфики деятельности конкретной организации. Чтобы упорядочить этот процесс, его необходимо прописать в локальном нормативном акте организации (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Это можно сделать:

• как в общем ЛНА в сфере защиты персональных данных (тогда в него необходимо внести соответствующие изменения; например, дополнить Положение об обработке и защите персональных данных разделом «Уничтожение персональных данных» – ​см. образец формулировок в Примере 2);
• так и путем утверждения отдельного ЛНА, например Положения о порядке уничтожения персональных данных.

Уничтожение персональных данных осуществляет комиссия, сформированная приказом руководителя организации (реже это поручается отдельному должностному лицу). Требования к ее составу законом не установлены. В зависимости от размера компании и, соответственно, объема обрабатываемых персональных данных комиссия может быть

• постоянно действующей (образец приказа о ее создании см. в Примере 3)
• или разовой (формируется под событие с изданием каждый раз нового приказа).

Поскольку организация должна провести анализ и определить, когда персональные данные перестают быть необходимыми для достижения целей, для которых они были собраны или иным образом обработаны, и, кроме того, необходимо следить, чтобы при уничтожении персональных данных не случилась их утечка и посторонние лица не получили бы к ним доступ:

• в комиссию следует включать сотрудников, которые работают непосредственно с персональными данными, знают законодательство и понимают специфику работы с ними. Так, Роскомнадзор рекомендует включить в комиссию лицо, ответственное за обработку документов, планируемых к уничтожению (по направлению деятельности, в пределах установленных полномочий)²;
• как правило, все члены комиссии должны быть включены в перечень лиц, имеющих доступ к персональным данным и давших обязательство об их неразглашении.

Обычно комиссия осуществляет следующие действия:

1. Выявляет случаи, требующие уничтожения персданных.

2. Определяет перечень документов (носителей), которые подлежат уничтожению. Причем следует учитывать специальные сроки хранения документов, установленные Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. приказом Росархива от 20.12.2019 № 236³. Поэтому, например, если работник при увольнении попросит уничтожить его персональные данные, а они содержатся в приказе о приеме на работу, то этот документ должен храниться 50/75 лет⁴ и уничтожить его раньше установленного законодательством срока нельзя.

3. Определяет методы уничтожения персданных с учетом порядка и формы хранения документов, содержащих персданные (на бумаге или в электронном виде), а также возможностей организации. Выбрать следует наиболее подходящий метод, который обеспечит надежное и безвозвратное уничтожение данных:

• для физического уничтожения персональных данных можно применять измельчение, сжигание, механическое уничтожение бумажных документов или электронных носителей информации, таких как жесткие диски или флэш-накопители. Важно, чтобы процесс уничтожения был осуществлен безопасно и надежно, дабы исключить возможность восстановления данных;
• при использовании метода технического удаления персональных данных нужно применять специализированные программы и алгоритмы, которые обеспечат полное удаление данных с электронных носителей. Такие программы могут включать перезапись данных или выполнение процедуры форматирования с последующим удалением. Если персданные были зашифрованы для обеспечения их безопасности, организация должна убедиться, что процесс уничтожения включает расшифровку и безвозвратное удаление ключей шифрования. Это гарантирует, что данные станут нечитаемыми и недоступными для третьих лиц.

4. Оформляет документально процесс уничтожения. После завершения уничтожения организация должна выполнить проверку эффективности уничтожения, чтобы убедиться, что все персональные данные были полностью уничтожены и не могут быть восстановлены. Такая проверка состоит, в частности, в том, что факт уничтожения персональных данных, включая дату, время и способ уничтожения, должен быть документально зафиксирован. Это поможет обеспечить прозрачность и соответствие законодательным нормам. Требования к подтверждению уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179⁵.

Далее рассмотрим вопросы оформления уничтожения персданных подробнее.

Документы, подтверждающие уничтожение персданных

Документы-подтверждения зависят от метода обработки персональных данных в компании:

• если обработка осуществляется без использования средств автоматизации, то подтверждающим уничтожение персональных данных документом будет акт об уничтожении персональных данных;
• если с использованием средств автоматизации, то помимо акта необходимо подготовить еще и выгрузку из журнала регистрации событий в информационной системе персональных данных.

Акт об уничтожении персональных данных (см. образец в Примере 4) должен содержать⁶:

1) наименование и адрес оператора – ​юридического лица (для оператора-физлица – ​Ф.И.О.);

2) наименование и адрес лица, осуществляющего обработку персданных по поручению оператора;

3) Ф.И.О. субъекта или иную информацию, относящуюся к определенному лицу, чьи персональные данные были уничтожены;

4) Ф.И.О., должность лиц, уничтоживших персданные, а также их подписи;

5) перечень категорий уничтоженных персональных данных;

6) наименование уничтоженных материальных носителей, содержащих персданные, с указанием количества листов в отношении каждого носителя (в случае обработки персданных без использования средств автоматизации);

7) наименование информационных систем персональных данных, из которых были уничтожены персданные (в случае их обработки с использованием средств автоматизации);

8) способ уничтожения персональных данных;

9) причину их уничтожения;

10) дату уничтожения персональных данных.

Кстати, акт может быть составлен в электронной форме, подписать его можно при помощи электронной подписи⁷.

Обратите внимание: закон не запрещает доработать уже привычный акт о выделении дел к уничтожению, включить в него указанные выше реквизиты. Тем не менее во избежание риска получения замечаний со стороны Роскомнадзора рекомендуем оформлять в рассматриваемых нами целях отдельный документ под названием «акт об уничтожении персональных данных».

Если же уничтоженный документ хранился на электронном носителе, то, как мы сказали ранее, дополнительно к акту о его уничтожении понадобится еще один отдельный документ – ​выгрузка из журнала.

Выгрузка из журнала должна содержать⁸:

1) Ф.И.О. субъекта или иную информацию, относящуюся к определенному лицу, чьи персональные данные были уничтожены;

2) перечень категорий уничтоженных персданных;

3) наименование информационной системы персональных данных, из которой были уничтожены персданные;

4) причину уничтожения персональных данных;

5) дату уничтожения.

Как видите, часть данных из выгрузки пересекается с актом, причем если выгрузка из журнала не позволяет указать какие-то из перечисленных сведений, то об этом следует сказать в акте об уничтожении персональных данных, внеся туда недостающие сведения (п. 6 Требований).

Имейте в виду, что акт об уничтожении и выгрузка из журнала должны храниться в организации в течение 3 лет с момента уничтожения данных.

Кроме того, в некоторых случаях оператор должен уведомить субъекта об уничтожении его персональных данных (а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы), в частности, если речь идет о неправомерно обрабатываемых данных, законность обработки которых обеспечить не удалось⁹. Такая ситуация возможна, например, когда работодатель обнаружил, что обрабатывает биометрические персональные данные (фотографию) без согласия работника. Если устранить обстоятельства, которые делают их обработку неправомерной, не удается (работник отказывается дать согласие), нужно прекратить их обработку в течение 3 рабочих дней с даты выявления, а в течение 10 рабочих дней (также с даты выявления) их уничтожить. Образец такого уведомления см. в Примере 5.

Ответственность за нарушение порядка уничтожения персональных данных

КоАП РФ устанавливает ответственность за невыполнение обязанностей, предусмотренных законодательством о персональных данных. Однако отдельной ответственности за невыполнение обязательных требований закона по уничтожению персданных, нарушение порядка уничтожения, невключение обязательных сведений в акт или выгрузку об уничтожении персданных в настоящее время не установлено. Вместе с тем Роскомнадзору есть за что привлечь компанию, в том числе и когда не был составлен акт об уничтожении персданных (или он был составлен неправильно).

Так, за невыполнение в установленные сроки требования субъекта персональных данных (или его представителя) либо Роскомнадзора об уничтожении персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, предусмотрена ответственность по ч. 5 ст. 13.11 КоАП РФ:

• штраф на ответственное должностное лицо налагается в размере от 8000 до 20 000 руб.;
• на индивидуального предпринимателя – ​от 20 000 до 40 000 руб.;
• юридическое лицо – ​от 50 000 до 90 000 руб.¹⁰

В случае повторного совершения данного правонарушения штраф (по ч. 5.1 ст. 13.11 КоАП РФ) возрастет:

• на ответственное должностное лицо он будет налагаться в размере от 30 000 до 50 000 руб.;
• индивидуального предпринимателя – ​от 50 000 до 100 000 руб.;
• юридическое лицо – ​от 300 000 до 500 000 руб.¹¹

Также оператор может быть привлечен к административной ответственности в случае создания ситуации обеспечения неправомерного или случайного доступа к персональным данным, если это повлекло их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных (ч. 6 ст. 13.11 КоАП РФ). За это деяние может быть наложен штраф:

• на ответственное должностное лицо в размере от 8000 до 20 000 руб.;
• на индивидуального предпринимателя – ​от 20 000 до 40 000 руб.;
• юридическое лицо – ​от 50 000 до 100 000 руб.¹²

Ну и, наконец, согласно Закону № 152‑ФЗ, субъект персональных данных вправе требовать возмещения вреда, причиненного ему в результате неправомерной обработки его персональных данных (например, если на его просьбу прекратить обработку компания не отреагировала уничтожением персональных данных). Заявлен может быть как материальный вред, так и моральный.

Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков (см., например, дело № 33-27368/2023, рассмотренное Московским городским судом 10.07.2023, ответчиком по которому выступило ООО «Яндекс.Еда»).