Об уничтожении персональных данных
Интересный вопрос поступил от клиента, и вот наше мнение.
Вопрос:
Мы оформляли договор подряда и документы (паспорт, реквизиты...) были присланы мне на WhatsApp. Сейчас договор расторгнут, скоро 30 дней как. И теперь нужно оформить акт об уничтожении персональных данных. Как отразить в акте об уничтожении уничтожение документов, которые были присланы просто в мессенджере? И как их правильно уничтожить?
Оператор обязан
Уничтожить персональные данные субъекта (или обеспечить их уничтожение) по требованию субъекта данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 N 152-ФЗ).

В этом случае порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором самостоятельно. Наиболее распространенными способами документальной фиксации уничтожения персональных данных является оформление акта либо регистрация факта уничтожения данных в специальном журнале. Типовая форма акта и журнала утверждаются самим оператором (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ, информация Роскомнадзора: Разъяснение)
Кроме того оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение):
  • при выявлении неправомерной обработки, если невозможно обеспечить ее правомерность, - в течение 10 рабочих дней с даты выявления неправомерной обработки, если невозможно обеспечить правомерность (ч. 3 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ)
  • при достижении цели обработки (ч. 7 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ) - в течение 30 дней с даты достижения цели обработки персональных данных ч. 4 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ);
  • при отзыве субъектом персональных данных согласия на обработку, если их сохранение более не требуется для целей обработки персональных данных, - в течение 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ).
В этих случаях (указанных в ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ) оформляется акт с учетом требований Приказа Роскомнадзора от 28.10.2022 N 179 (ч. 7 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ).
То есть, закон не устанавливает требования уничтожать персональные данные в связи с окончанием договора ГПХ.
Оператор вправе продолжить обработку персональных данных, если это необходимо с целью выполнения обязанностей, предусмотренных законом (п. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).
Срок хранения договоров возмездного оказания услуг и персональных данных, содержащихся в договорах, по общему правилу составляет пять лет после того, как истечет срок их действия, прекратятся обязательства по нему (п. 11 Перечня, утв. Приказом Росархива от 20.12.2019 N 236). При этом срок хранения договоров возмездного оказания услуг физическими лицами составляет (п. 301 Перечня, утв. Приказом Росархива от 20.12.2019 N 236):
  • законченных делопроизводством до 01.01.2003 - 75 лет;
  • законченных делопроизводством после 01.01.2003 - 50 лет.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ).
Общий порядок уничтожения носителей, которые содержат персональные данные, закон не закрепляет. Поэтому работодатель вправе сам установить такой порядок в локальном акте организации - например, в Положении о порядке уничтожения персональных данных.
Полагаем
Что файлы со сканами/фото личных документов и иные файлы с персональными данными из мессенджера можно удалить средствами операционной системы компьютера или иного устройства. Зафиксировать удаление файлов и/или сообщений с данными поможет служба IT. По нашему мнению, файлы с персональными данными из памяти компьютера/иного устройства после внесения всех данных в текст договора должны были быть уничтожены в течение 30 дней после их отражения в договоре - в связи с достижением цели обработки (цель в данном случае – внесение достоверных данных в договор и иные документы, связанные с его исполнением).

Также в данном случае с целью снижения рисков рекомендуем попросить удалить сообщения с этими данными самого их отправителя. Тогда эти сообщения удалятся из переписки. Самостоятельно удалить сообщение, отправленное иным пользователем мессенджера можно только у себя, но не у другого пользователя.
Обращаем внимание
то с 01.03.2023 через иностранные мессенджеры (в том числе, через WhatsApp) некоторым организациям (в частности, госорганам и организациям с госучастием, банкам, некредитным финансовым организациям, а также при выполнении государственного или муниципального задания, предоставлении госуслуг) нельзя передавать информацию, содержащую персональные данные граждан РФ (Федеральный закон от 29.12.2022 № 584-ФЗ, Информация Роскомнадзора: Разъяснение)

Мы также обратились с этими вопросами в Роскомнадзор, будем надеяться, государственный орган даст разъяснения по этому вопросу...

Читать другие статьи на тему трудовых отношений

Нажимайте на кнопку и читайте еще больше статей на тему трудовых отношений