Сроки уничтожения персональных данных по 152-ФЗ

Наибольшей ценностью в современном мире является информация, и в контексте деятельности компаний, ИП и некоммерческих организаций особое значение уделяется обработке личной информации. С 2006 года в Российской Федерации действует ФЗ-152, где прописано, как работать с персональными данными, в том числе как осуществлять их уничтожение. В нем прописано, что персональными данными считаются сведения, используя которые есть возможность определить личность владельца. Их защита входит в число приоритетных задач оператора, а при нарушении прописанных в нормативно-правовом акте требований фирме, предпринимателю или государственному органу может грозить административная, а в некоторых случаях и уголовная ответственность.

Высокая конкуренция мотивирует придерживаться правил практически во всех отраслях. С целью завоевания доверие клиентов, поставщиков и тем более инвесторов, нужно доказать способность обеспечить информационную безопасность на всех уровнях, включая защиту ИСПДн от несанкционированного доступа и неправильного использования сведений о гражданах. Построить эффективный механизм контроля процессов обработки возможно несколькими способами: собственными силами либо с привлечением специалистов. Независимо от выбранного варианта (сотрудничество с экспертами требует затрат, но позволяет стопроцентно привести деятельность в соответствие с действующим законодательством) руководству нужно ориентироваться в актуальных требованиях и знать:

• когда уничтожать те или иные виды ПДн;
• в течение какого времени нужно удалить данные;
• какие локальные акты потребуется составить и подписать, чтобы урегулировать вопрос удаления;
• какие существуют основания для уничтожения;
• в каких случаях можно продолжать обработку без согласия субъекта;
• кто несет ответственность за нарушение правил ФЗ-152;
• что делать, если обнаружены проблемы с исполнением законодательных требований.

Какие статьи закона регулируют уничтожение персональных данных?

Ознакомиться с текстом и вникнуть в содержание ФЗ-152 — одна из первоочередных задач для любого, кто планирует работать с персональными данными субъектов. То есть любому бизнесмену, директору фирмы, главе муниципального органа власти и т.д. В документе есть детальные разъяснения, как хранить, собирать, копировать, блокировать и уничтожать ПДн, а также определение особенности работы с разными видами информации, включая биометрические данные. Обязательным условием совершения обработки является получение согласия владельца, которому необходимо предварительно сообщить цели совершения операций и проинформировать его о возможности отозвать разрешение.

Уничтожение ПДн в законе определяется как различные действия, направленные на разрушение физических (бумажных либо цифровых) носителей либо безвозвратное удаление с них персональной информации. После процедуры не должно быть никакой возможности восстановить данные.

Наиболее важными статьями, касающимися прекращения обработки ПДн, являются:

1. Статья 5, в которой прописаны принципы работы с личными сведениями граждан. Один из них — сохранение ПДн в течение только того срока, который требуется для достижения изначально установленных целей обработки. Параллельно нужно помнить, что цели не должны противоречить законодательству РФ и интересам субъектов, а также быть четко указаны в согласии, которое подписывает клиент, сотрудник, партнер или поставщик. Сразу после выполнения поставленных задач оператору предстоит принять комплекс мер по обезличиванию либо уничтожению. То же самое необходимо сделать, если исчезла необходимость достигать запланированных целей.
2. Статья 14 описывает те права, которые есть у гражданина при взаимодействии с организациями и лицами, обрабатывающими персональные данные. В частности, каждый субъект может попросить оператора уточнить личные сведения, заблокировать их либо уничтожить. В заявлении указывается причина — это может быть неактуальность информации, наличие ошибок и неточность, а также получение её незаконным способом. Если в просьбе отказывают, человек может подать иск в суд и там отстаивать свои права.
3. В статье 19 прописываются основные мероприятия, направленные на защиту ПДн в процессе их сбора, обработки и других операций. На оператора накладываются обязательства по обеспечению безопасности, причем на всех уровнях: юридическом, техническом и организационном. То есть после подписания согласия именно компания несет ответственность за то, чтобы конфиденциальные сведения не попали без разрешения к третьим лицам и их не использовали для получения выгоды или дискредитации личности. Чтобы гарантировать защиту, необходимо не только определить угрозы и разработать перечень мер по их предотвращению, но также установить правила использования и позаботиться о восстановлении утраченных из-за несанкционированного доступа ПДн.
4. Статья 20 определяет, что должен делать оператор, если к нему обращается непосредственно субъект либо уполномоченный орган по защите прав граждан в сфере персональных данных. Закон требует, чтобы оператор на протяжении 7 рабочих дней после поступления заявления о неточности, незаконном получении или неактуальности сведений удалил ПДн, но от заявителя требуется предоставить доказательства. Кроме того, после удаления компания или ИП должны обязательно сообщить субъекту об уничтожении, а также связаться (если есть возможность) с третьими лицами, которые ранее получили от них личные сведения о субъекте.

5. Статья 21 описывает круг обязанностей в случае выявления тех или иных нарушений, связанных с выполнением операций с ПДн.

• если обнаружен факт незаконной обработки, то нужно уничтожить персональные данные (либо обеспечить их легальное использование в течение 3 дней);
• при наличии неточностей закон требует заблокировать информацию до уточнения;
• в случае подтверждения того, что имеющиеся ПДн неточные, оператору необходимо внести корректировки и снять блокировку не позднее, чем через 7 рабочих дней;
• после уничтожения нужно проинформировать субъекта, его представителя либо орган, защищающий права граждан в области персональных данных.

Также в данной статье прописываются сроки уничтожения в зависимости от оснований для прекращения обработки ПДн.

6. В статье 23 указано, что уполномоченный орган (в настоящий момент это Роскомнадзор) наделен правом предъявлять оператору требования о блокировке, уточнении либо удалении тех ПДн, которые используются в разрез с целями обработки, добыты незаконным способом либо являются недостоверными.

Установленные ФЗ-152 сроки уничтожения персональных данных

Есть разные причины, из-за которых оператору приходится уничтожать идентифицирующие граждан сведения. От основания напрямую зависят предусмотренные законом сроки, отведенные на выполнение процедуры:

• 30 дней дается на уничтожение персональных данных, цель сбора, хранения и использования которых была достигнута;
• за 30 дней нужно удалить из ИСПДн сведения, согласие на обработку которых субъект отозвал в установленном законом порядке;
• максимум 10 дней есть на удаление данных или разрушение носителей ПДн в случае фиксации оператором факта нарушения принципов обработки конфиденциальной информации;
• в течение 7 дней следует провести процедуру, если поступило подкрепленное доказательствами заявление от субъекта ПДн. Причиной подачи запроса может стать недостоверность, неполнота данных либо их неправомерное получение;
• 6 месяцев есть у организаций, которые по техническим или иным причинам не могут в оговоренный законом период выполнить удаление, но с условием, что в течение тридцати дней ПДн будут заблокированы и недоступны для обработки.

Отдельного внимания заслуживают ситуации, когда ФЗ-152 предусматривает уничтожение персональных данных, но параллельно оператор подпадает под действие ФЗ-115. Этот закон составлен для противодействия «отмыванию» доходов и предполагает сохранение определенными организациями (банками, фирмами-посредниками, страховыми компаниями и т.д.) информации о клиентах в течение минимум 5 лет. Причем срок хранения начинается с того времени, когда отношения между участниками соглашения прекращаются. Продолжать использовать ПДн можно также при наличии оснований, прописанных в статьях 6, 9, 10 и 11 ФЗ-152.

Если с трактовкой ФЗ возникают трудности или до конца непонятно, как применять те или иные требования по удалению данных либо носителей, не следует принимать скоропалительные решения. Есть риск нарушить какое-то правило и получить штраф либо стать участником судебного разбирательства. Лучший выход — проконсультироваться у сотрудников нашего центра, которые в курсе последних изменений законов и специфики их применения в разных сферах деятельности.