Прекращение обработки и уничтожение персональных данных
В соответствии с ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) операторобязан прекратить обработку персональных данных (далее – ПД) или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению оператора, в случае выявления неправомерной обработки ПД, осуществляемой оператором или лицом, действующим по поручению оператора, – в срок, не превышающий трех рабочих днейс даты этого выявления. При этом в случае, если обеспечить правомерность обработки ПД невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД, обязан уничтожить такие ПД или обеспечить их уничтожение.
Согласно ч. 4 ст. 21 Закона о персональных данных в случае достижения цели обработки ПД оператор обязан прекратить обработку ПД или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между оператором и субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
На основании ч. 5 ст. 21 Закона о персональных данных в случае отзыва субъектом ПД согласия на обработку его ПД оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДосуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПДили обеспечить их уничтожение (еслиобработка ПД осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между оператором и субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
Вместе с тем, в силу ч. 5.1 ст. 21 Закона о персональных данных в случае обращения субъекта ПД к оператору с требованием о прекращении обработки ПД оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПД), за исключением случаев, предусмотренных п.п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДмотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Таким образом, образовательная организация:
- обязана прекратить обработку ПД или обеспечить прекращение обработки ПД лицом, действующим по ее поручению, в случае выявления неправомерной обработки ПД, а в случае, если обеспечить правомерность обработки ПД невозможно – уничтожить их (обеспечить их уничтожение);
- обязана прекратить обработку ПД или обеспечить прекращение обработки ПД лицом, действующим по ее поручению,в случае достижения цели обработки ПД, а также уничтожить их (обеспечить их уничтожение);
- обязана прекратить обработку ПД или обеспечить прекращение обработки ПД лицом, действующим по ее поручению,в случае отзыва субъектом ПД согласия на обработку его ПД, за исключением случаев, предусмотренныхп.п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных, и в случае, если сохранение ПД более не требуется для целей обработкиПД – уничтожить их (обеспечить их уничтожение).
Одновременно с этим, согласно ч. 6 ст. 21 Закона о персональных данных в случае отсутствия возможности уничтожения ПД в течение срока, указанного в частях 3-5.1 ст. 21 Закона о персональных данных, оператор осуществляет блокирование таких ПД или обеспечивает их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПД в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
В свою очередь, в соответствии с ч. 7 ст. 21 Закона о персональных данных в редакции, которая вступает в силу с 01.03.2023, подтверждение уничтожения ПД в случаях, предусмотренных ст. 21 Закона о персональных данных, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
Требования к подтверждению уничтожения персональных данных утверждены приказ Роскомнадзора от 28.10.2022 № 179 (далее – Требования).
В соответствии с п. 1 Требований в случае, если обработка ПД осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПД субъектов ПД, является акт об уничтожении ПД.
В свою очередь, согласно п. 2 Требований в случае, если обработка ПД осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение ПД субъектов ПД, являются акт об уничтожении ПД, соответствующий требованиям, содержащимся в п.п. 3 и 4 Требований, и выгрузка из журнала регистрации событий в информационной системе ПД (далее –Выгрузка из журнала).
Стоит отметить, что уничтожение ПД– действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД (п. 8 ст. 3 Закона о персональных данных).
Акт об уничтожении ПД, если обработка ПД осуществлялась оператором с использованием средств автоматизации, составляется в соответствии сп.п. 3, 4 Требований, Выгрузка из журнала – в соответствии с п. 5 Требований.
При этом в случае, если Выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные п. 5 Требований, недостающие сведения вносятся в акт об уничтожении ПД (п. 6 Требований).
В тоже время в силу п. 7 Требований в случае, если обработка ПД осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение ПД субъектов персональных данных, являются акт об уничтожении ПД, соответствующий требованиям, установленным п.п. 3, 4 Требований, и Выгрузка из журнала, соответствующая требованиям, установленным п. 5 Требований.
Акт об уничтожении ПД и Выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПД (п. 8 Требований).
Таким образом, для образовательной организации с 01.03.2023 документами, подтверждающими уничтожение ПД субъектов ПД, являются:
- если обработка ПД осуществляется без использования средств автоматизации – акт об уничтожении ПД, составляемый по форме, определенной оператором ПД самостоятельно;
- если обработка ПД осуществляется с использованием средств автоматизациилибо одновременно с использованием средств автоматизации и без использования средств автоматизации– акт об уничтожении ПД, составляемый в соответствии с п.п. 3, 4 Требований, и Выгрузка из журнала, составляемая в соответствии с п. 5 Требований.
Вместе с тем, рекомендуем при обработке ПДбез использования средств автоматизации вносить в акт об уничтожении ПД соответствующие сведения, предусмотренные п.п. 3, 4 Требований.