В обязанности операторов персональных данных уничтожение персональных данных входит наряду с соблюдением правил сбора, обработки и хранения.
Уничтожение персональных данных — это действия, в результате которых сведения указанного характера перестают быть доступны и их невозможно восстановить (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Нередко при уничтожении персональных данных уничтожение данных происходит вместе с документом, которых их содержал. В законе есть прямое указание, что при необходимости компания ликвидирует материальные носители, которые содержали указанные сведения.
Когда появляется причина, по которой персональные данные подлежат уничтожению, компания должна выполнить установленные законом обязательства в надлежащем порядке и в срок. Основания, в соответствии с которыми компания обязана ликвидировать данные, указаны в ст. 20 и ст. 21 закона № 152-ФЗ.
Основания для уничтожения персональных данных
Основание | Пример | Закон | |
1 | Владелец данных потребовал их ликвидировать. | Владелец обнаружил неполноту, недостоверность данных или узнал, что компания не вправе использовать их. | ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ |
2 | Компания выявила, что данные обрабатываются неправомерно. | Сотрудник запросил у клиента информацию, которая не соответствует целям обработки. | ч. 3 ст. 21 закона № 152-ФЗ |
3 | Компания достигла цели, для которой собирала и использовала данные. | Компания расторгает договор с клиентом. | ч. 4 ст. 21 закона № 152-ФЗ |
4 | Владелец данных отозвал согласие на обработку информации о себе. | Работник, который предоставлял компании персональные сведения, увольняется. | ч. 5 ст. 21 закона № 152-ФЗ |
- если иное условие присутствует в договоре между компанией и субъектом данных;
- если компания на законных основаниях вправе обрабатывать данные без согласия субъекта.
- Формирование комиссии по ликвидации данных. Комиссию создают на основании приказа руководителя компании. Как правило, в комиссии участвуют сам руководитель, начальник кадровой службы, секретарь организации, а также главный бухгалтер. По необходимости компания привлекает в комиссию других сотрудников, например, руководителя отдела по работе с клиентами. Приказ составляют в свободной форме. В документе перечисляют, что именно входит в функции комиссии (определить, какие персональные данные подлежат уничтожению и т. п.)
- Непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель компании. Акт составляют в свободной форме.
- Если субъект данных потребовал уничтожить их, компания обязана сделать это в течение 7 (семи) рабочих дней с момента поступления соответствующего заявления (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
- Если компания самостоятельно выявила нарушения в использовании информации, срок уничтожения персональных данных — 10 рабочих дней с момента обнаружения (ч. 3 ст. 21 закона № 152-ФЗ).
- Когда компания достигает цели обработки данных, потребности в такой информации больше не возникает. В этом случае уничтожить данные нужно в течение 30 дней с даты, когда цель использования данных была достигнута (ч. 4 ст. 21 закона № 152-ФЗ).
- Если владелец данных отказался от дальнейшей обработки и отозвал согласие, компании нужно ликвидировать информацию о нем в течение 30 дней с даты отзыва согласия, если для целей обработки сохранять данные больше не нужно (ч. 5 ст. 21 Закона о персональных данных).
Информационная поддержка бизнеса ТПП РФ