Допускается ли хранение персональных данных клиента цели обработки которых достигнуты

Допускается ли хранение персональных данных клиента цели обработки которых достигнуты

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Допускается ли хранение персональных данных клиента цели обработки которых достигнуты

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

(часть 3.1 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

(часть 5.1 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 — 5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

(часть 7 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

Сроки уничтожения персональных данных по 152-ФЗ

Наибольшей ценностью в современном мире является информация, и в контексте деятельности компаний, ИП и некоммерческих организаций особое значение уделяется обработке личной информации. С 2006 года в Российской Федерации действует ФЗ-152, где прописано, как работать с персональными данными, в том числе как осуществлять их уничтожение. В нем прописано, что персональными данными считаются сведения, используя которые есть возможность определить личность владельца. Их защита входит в число приоритетных задач оператора, а при нарушении прописанных в нормативно-правовом акте требований фирме, предпринимателю или государственному органу может грозить административная, а в некоторых случаях и уголовная ответственность.

Высокая конкуренция мотивирует придерживаться правил практически во всех отраслях. С целью завоевания доверие клиентов, поставщиков и тем более инвесторов, нужно доказать способность обеспечить информационную безопасность на всех уровнях, включая защиту ИСПДн от несанкционированного доступа и неправильного использования сведений о гражданах. Построить эффективный механизм контроля процессов обработки возможно несколькими способами: собственными силами либо с привлечением специалистов. Независимо от выбранного варианта (сотрудничество с экспертами требует затрат, но позволяет стопроцентно привести деятельность в соответствие с действующим законодательством) руководству нужно ориентироваться в актуальных требованиях и знать:

• когда уничтожать те или иные виды ПДн;
• в течение какого времени нужно удалить данные;
• какие локальные акты потребуется составить и подписать, чтобы урегулировать вопрос удаления;
• какие существуют основания для уничтожения;
• в каких случаях можно продолжать обработку без согласия субъекта;
• кто несет ответственность за нарушение правил ФЗ-152;
• что делать, если обнаружены проблемы с исполнением законодательных требований.

Какие статьи закона регулируют уничтожение персональных данных?

Ознакомиться с текстом и вникнуть в содержание ФЗ-152 — одна из первоочередных задач для любого, кто планирует работать с персональными данными субъектов. То есть любому бизнесмену, директору фирмы, главе муниципального органа власти и т.д. В документе есть детальные разъяснения, как хранить, собирать, копировать, блокировать и уничтожать ПДн, а также определение особенности работы с разными видами информации, включая биометрические данные. Обязательным условием совершения обработки является получение согласия владельца, которому необходимо предварительно сообщить цели совершения операций и проинформировать его о возможности отозвать разрешение.

Уничтожение ПДн в законе определяется как различные действия, направленные на разрушение физических (бумажных либо цифровых) носителей либо безвозвратное удаление с них персональной информации. После процедуры не должно быть никакой возможности восстановить данные.

Наиболее важными статьями, касающимися прекращения обработки ПДн, являются:

1. Статья 5, в которой прописаны принципы работы с личными сведениями граждан. Один из них — сохранение ПДн в течение только того срока, который требуется для достижения изначально установленных целей обработки. Параллельно нужно помнить, что цели не должны противоречить законодательству РФ и интересам субъектов, а также быть четко указаны в согласии, которое подписывает клиент, сотрудник, партнер или поставщик. Сразу после выполнения поставленных задач оператору предстоит принять комплекс мер по обезличиванию либо уничтожению. То же самое необходимо сделать, если исчезла необходимость достигать запланированных целей.
2. Статья 14 описывает те права, которые есть у гражданина при взаимодействии с организациями и лицами, обрабатывающими персональные данные. В частности, каждый субъект может попросить оператора уточнить личные сведения, заблокировать их либо уничтожить. В заявлении указывается причина — это может быть неактуальность информации, наличие ошибок и неточность, а также получение её незаконным способом. Если в просьбе отказывают, человек может подать иск в суд и там отстаивать свои права.
3. В статье 19 прописываются основные мероприятия, направленные на защиту ПДн в процессе их сбора, обработки и других операций. На оператора накладываются обязательства по обеспечению безопасности, причем на всех уровнях: юридическом, техническом и организационном. То есть после подписания согласия именно компания несет ответственность за то, чтобы конфиденциальные сведения не попали без разрешения к третьим лицам и их не использовали для получения выгоды или дискредитации личности. Чтобы гарантировать защиту, необходимо не только определить угрозы и разработать перечень мер по их предотвращению, но также установить правила использования и позаботиться о восстановлении утраченных из-за несанкционированного доступа ПДн.
4. Статья 20 определяет, что должен делать оператор, если к нему обращается непосредственно субъект либо уполномоченный орган по защите прав граждан в сфере персональных данных. Закон требует, чтобы оператор на протяжении 7 рабочих дней после поступления заявления о неточности, незаконном получении или неактуальности сведений удалил ПДн, но от заявителя требуется предоставить доказательства. Кроме того, после удаления компания или ИП должны обязательно сообщить субъекту об уничтожении, а также связаться (если есть возможность) с третьими лицами, которые ранее получили от них личные сведения о субъекте.

5. Статья 21 описывает круг обязанностей в случае выявления тех или иных нарушений, связанных с выполнением операций с ПДн.

• если обнаружен факт незаконной обработки, то нужно уничтожить персональные данные (либо обеспечить их легальное использование в течение 3 дней);
• при наличии неточностей закон требует заблокировать информацию до уточнения;
• в случае подтверждения того, что имеющиеся ПДн неточные, оператору необходимо внести корректировки и снять блокировку не позднее, чем через 7 рабочих дней;
• после уничтожения нужно проинформировать субъекта, его представителя либо орган, защищающий права граждан в области персональных данных.

Также в данной статье прописываются сроки уничтожения в зависимости от оснований для прекращения обработки ПДн.

6. В статье 23 указано, что уполномоченный орган (в настоящий момент это Роскомнадзор) наделен правом предъявлять оператору требования о блокировке, уточнении либо удалении тех ПДн, которые используются в разрез с целями обработки, добыты незаконным способом либо являются недостоверными.

Установленные ФЗ-152 сроки уничтожения персональных данных

Есть разные причины, из-за которых оператору приходится уничтожать идентифицирующие граждан сведения. От основания напрямую зависят предусмотренные законом сроки, отведенные на выполнение процедуры:

• 30 дней дается на уничтожение персональных данных, цель сбора, хранения и использования которых была достигнута;
• за 30 дней нужно удалить из ИСПДн сведения, согласие на обработку которых субъект отозвал в установленном законом порядке;
• максимум 10 дней есть на удаление данных или разрушение носителей ПДн в случае фиксации оператором факта нарушения принципов обработки конфиденциальной информации;
• в течение 7 дней следует провести процедуру, если поступило подкрепленное доказательствами заявление от субъекта ПДн. Причиной подачи запроса может стать недостоверность, неполнота данных либо их неправомерное получение;
• 6 месяцев есть у организаций, которые по техническим или иным причинам не могут в оговоренный законом период выполнить удаление, но с условием, что в течение тридцати дней ПДн будут заблокированы и недоступны для обработки.

Отдельного внимания заслуживают ситуации, когда ФЗ-152 предусматривает уничтожение персональных данных, но параллельно оператор подпадает под действие ФЗ-115. Этот закон составлен для противодействия «отмыванию» доходов и предполагает сохранение определенными организациями (банками, фирмами-посредниками, страховыми компаниями и т.д.) информации о клиентах в течение минимум 5 лет. Причем срок хранения начинается с того времени, когда отношения между участниками соглашения прекращаются. Продолжать использовать ПДн можно также при наличии оснований, прописанных в статьях 6, 9, 10 и 11 ФЗ-152.

Если с трактовкой ФЗ возникают трудности или до конца непонятно, как применять те или иные требования по удалению данных либо носителей, не следует принимать скоропалительные решения. Есть риск нарушить какое-то правило и получить штраф либо стать участником судебного разбирательства. Лучший выход — проконсультироваться у сотрудников нашего центра, которые в курсе последних изменений законов и специфики их применения в разных сферах деятельности.

Допускается ли хранение персональных данных клиента цели обработки которых достигнуты

+7 499 678 45 91

+7 499 678 45 91

Политика в отношении обработки персональных данных общества с ограниченной ответственностью «Лаборатория автоматизации бизнеса»

Утверждено Приказом от 01.09.2022 года
город Москва 2022год

1. Термины и определения

1. Правовые основания обработки персональных данных

1. Принципы обработки персональных данных

1. Категории и состав обрабатываемых персональных данных, цели обработки персональных данных

1. Обработка персональных данных

1. Хранение персональных данных

1. Уничтожение персональных данных

1. Права и обязанности субъектов персональных данных

1. Меры по обеспечению безопасности персональных данных при их обработке

(II) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;
(III) осуществление обработки персональных данных без использования средств автоматизации таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
(IV) раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
(V) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии информационных систем);
(VI) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
(VII) ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
(VIII) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии таких информационных систем), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
(IX) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (при наличии таких информационных систем);
(X) учет средств защиты информации, включая машинные носители персональных данных;
(XI) обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер:
(XII) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
(XIII) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (при наличии таких информационных систем);
(XIV) проведение инструктажа по информационной безопасности;
(XV) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (при наличии таких информационных систем).
10.3. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии их хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
10.4. Работники Компании, допущенные к обработке персональных данных, обязаны:
— знать и неукоснительно выполнять положения законодательства Российской Федерации в области персональных данных, настоящей Политики, локальных актов по вопросам обработки персональных данных;
— обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
— не разглашать персональные данные, обрабатываемые в Компании;
— сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
— сообщать об известных фактах нарушения требований настоящей Политики лицу, ответственному за организацию обработки персональных данных в Компании.
11. Ответственность
11.1. Контроль, за соблюдением настоящей Политики осуществляет Ответственный за обработку персональных данных.
11.2. Работники несут ответственность за соблюдение требование Политики в соответствии с законодательством Российской Федерации.
12. Заключительные положения
Настоящий документ подлежит пересмотру в случае внесения изменений в законодательство Российской Федерации в сфере персональных данных, если положения настоящей Политики вступают в противоречие с законодательством Российской Федерации. Положения Политики, противоречащие законодательству Российской Федерации, в таком случае не подлежат