С марта вопрос об удалении персональных данных (ПДн) при достижении целей их обработки или при наступлении иных законных оснований стал особенно актуальным. Это связано со вступлением в силу Федерального закона от 14.07.2022 № 266-ФЗ, который внес соответствующие изменения в ряд статей Закона о персональных данных.
Ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) определяет ПДн как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физлицу (субъекту ПДн). Таким образом, на уровне федерального закона закреплена обязанность операторов обработки ПДн — государственных органов, муниципальных органов, юридических или физических лиц, самостоятельно или совместно с другими лицами организующих и (или) осуществляющих обработку ПДн, а также определяющих цели их обработки, состав ПДн, подлежащих обработке, действий (операций), которые совершаются с ПДн.
При этом закон подразумевает под обработкой данных любые действия, совершаемые с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Достаточно широкий круг, не так ли?
Меры защиты персональных данных
С 1 марта 2023 года стал актуальным вопрос об удалении ПДн при достижении целей их обработки или при наступлении иных законных оснований. Федеральным законом от 14.07.2022 № 266-ФЗ внесены соответствующие изменения в ряд статей 152-ФЗ. Так, ст. 18.1 указывает на необходимость оператора принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Причем оператор самостоятельно определяет состав и перечень этих мер. К мерам, которые актуализированы с 1 марта 2023 года, относятся следующие:
-
Издание оператором, являющимся юрлицом, документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам ПДн, определяющих для каждой цели обработки категории и перечень обрабатываемых данных, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством полномочия и обязанности.
-
Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ. Перечень степеней оценки вреда определен Приказом Роскомнадзора от 27.10.2022 № 178 (период действия — с 1 марта 2023 года до 1 марта 2029 года).
Оценка вреда в результате нарушения 152-ФЗ
В случае оценки вреда речь идет о разграничении степеней вреда на высокую, среднюю и низкую. При этом нормативный акт подробно описывает, что к ним относится.
Высокая степень вреда
Так, к высокой степени вреда относится:
- обработка сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются оператором для установления личности субъекта ПДн;
- обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
- обработка ПДн несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ;
- обезличивание ПДн, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг и в других случаях.
Средняя степень вреда
Характеризуется следующими сценариями:
- обработкой и распространением ПДн на официальном сайте оператора, предоставление ПДн неограниченному кругу лиц;
- продвижением товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПДн, владельцем которых является иной оператор;
- получением согласия на обработку ПДн посредством функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
- осуществлением деятельности по обработке ПДн, предполагающей получение согласия на обработку, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкая степень вреда
Может охватывать ведение общедоступных источников ПДн, сформированных в соответствии со ст. 8 Закона о персональных данных или назначение в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
При наступлении последствий в виде разглашения указанных сведений результаты оценки вреда должны быть зафиксированы в акте. Допускается электронный формат такого документа, но в этом случае он должен быть подписан ЭП. Таким образом он будет равнозначен документу на бумажном носителе, подписанном собственноручно.
Требования к оператору персональных данных по устранению нарушений
Ст. 21 Закона о персональных данных устанавливает требования к оператору по устранению нарушений, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн. Так, в частности, согласно п. 3.1, в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн оператор обязан уведомить об этом Роскомнадзор. А именно:
- в течение 24 часов поставить в известность об инциденте и причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде и принятых мерах по устранению последствий произошедшего, а также предоставить сведения о лице, которое взаимодействует с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
- в течение 72 часов сообщить о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Прекращение обработки персональных данных
Если цель обработки ПДн была достигнута, то оператор обязан либо прекратить их обработку, либо обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение в течение 30 дней с даты достижения цели обработки ПДн.
Субъект ПДн вправе отозвать согласие на обработку его данных, а оператор в таком случае — обязан прекратить их обработку, и в случае, если сохранение данных более не требуется для целей обработки, уничтожить их в срок, не превышающий 30 дней с даты поступления отзыва.
Согласно п. 5.1 ст. 21 Закона о персональных данных, в случае если к оператору обращаются с требованием прекратить обработку данных, он обязан это сделать в течение 10 рабочих дней. Однако срок может быть продлен не более чем на 5 рабочих дней, если оператор направит субъекту ПДн мотивированное уведомление, в котором будут указаны причины продления срока.
Если отсутствует возможность уничтожения ПДн в течение установленного срока, оператор обязан заблокировать данные и обеспечить их уничтожение в срок не более чем 6 месяцев.
Факт уничтожения ПДн в указанных случаях осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных — на основании Приказа Роскомнадзора от 28.10.2022 № 179. Согласно этому нормативному акту (п. 8), акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе персональных данных подлежат хранению в течение 3 лет с момента уничтожения данных.