Не забыть и уничтожить. Об обработке персональных данных

В последнее время довольно много случаев, когда документы, содержащие персональные данные, находили в обычных мусорных баках. Некоторые компании грешат тем, что просто выбрасывают такие бумаги на помойку, вместо того чтобы обеспечить их конфиденциальное уничтожение.

Например, в мае 2018 года в Екатеринбурге нашли несколько пакетов с банковскими документами, которые были выброшены в мусор во дворе обычного дома. Среди документов были и анкеты на получение кредитов, и справки о доходах с указанием данных клиентов банка. Риски, связанные с таким способом избавления от бумаг, сложно переоценить. Так, люди, чьи данные содержатся в документации, могут стать легкой мишенью для телефонных мошенников.

Примечательно, что аутсорсинговые компании, как правило, не являются операторами персональных данных, а лишь обрабатывают их по поручению заказчика. В таких случаях законная обязанность уничтожить данные лежит непосредственно на заказчике. В этой связи при подготовке договоров с аутсорсинговыми компаниями особое внимание необходимо уделить обязанностям таких партнеров, в том числе чтобы обеспечить возможность подтверждения заказчиком факта уничтожения информации.

Законопроект, в котором предлагается дополнить существующий Федеральный закон «О персональных данных», направлен как раз на предотвращение таких ситуаций. Сейчас же правила уничтожения персональных данных и подтверждения этого в законе не установлены.

Согласно определению, содержащемуся в федеральном законе, под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание этих данных в информационной системе либо происходит ликвидация материальных носителей.

Также существуют разъяснения Роскомнадзора об уничтожении персональных данных. Согласно им порядок документальной фиксации уничтожения определяется оператором данных самостоятельно. Ликвидация персональных данных субъекта осуществляется комиссией либо иным должностным лицом.

Наиболее распространенные способы фиксации уничтожения данных субъекта — это оформление соответствующего акта о прекращении обработки данных, а также регистрация факта уничтожения в специальном журнале. Типовая форма акта и журнала утверждается самим оператором.

И хотя законопроект пока еще не принят, согласно его текущей редакции подтверждение уничтожения персональных данных будет осуществляться в соответствии с требованиями, которые установлены уполномоченным органом по защите прав субъектов персональных данных, то есть Роскомнадзором.

Таким образом, сами правила еще не установлены. Их разработкой займется опять же Роскомнадзор, когда законопроект будет принят. При этом правила будут касаться не самого уничтожения персональных данных как такового, а скорее подтверждения уничтожения.

Новые нормы станут применяться, например, в случаях выявления неправомерной обработки данных, достижения цели этой обработки или отзыва субъектом данных согласия на их обработку.

Кристина Евсина, юрист практики "Интеллектуальная собственность и информационные технологии" юридической фирмы Borenius