Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

Комментарии к статье 21 152-ФЗ О персональных данных:

1. Статья 21 комментируемого Закона посвящена обязанностям оператора по устранению нарушений законодательства, допущенных при обработке персональных данных; в отличие от предыдущей статьи в данном случае не важен источник, от которого оператор получил информацию о наличии указанных фактов (субъект персональных данных, его представитель, уполномоченный орган, собственные наблюдения). В любом случае на оператора возлагаются обязанности по устранению нарушений законодательства, допущенных при обработке персональных данных, блокированию на время рассмотрения вопроса о достоверности поступивших сведений, уточнению и уничтожению персональных данных. Согласно комментируемой статье основаниями для исполнения какой-либо из этих обязанностей или их комплекса могут быть:

- выявление неправомерной обработки персональных данных (ч. ч. 1 и 3 статьи);

- выявление неточных персональных данных (ч. ч. 1 и 2 статьи);

- достижение цели обработки персональных данных (ч. 4 статьи);

- отзыв субъектом персональных данных согласия на обработку его персональных данных (ч. 5 статьи).

2. Часть 1 комментируемой статьи посвящена исполнению оператором персональных данных обязанности по их блокированию. Блокирование информации обеспечивает временную невозможность ее использования, в то же время сама информация остается сохранной (подробнее о блокировании см. ч. 6 комментария к ст. 3).

Такая обязанность оператора может наступить в случае, если:

- в обращении субъекта персональных данных или его представителя;

- в запросе субъекта персональных данных или его представителя;

- в запросе уполномоченного органа по защите прав субъектов персональных данных будет содержаться указание на следующие факты:

- неправомерную обработку персональных данных;

- неточность персональных данных.

В результате выявления указанных данных оператор обязан осуществить блокирование персональных данных или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). Данная блокировка должна быть осуществлена непосредственно в момент обращения указанных лиц или получения от них запроса и действовать в течение периода проверки. Сроки проверки поступившей информации определяются с учетом ст. 20 комментируемого Закона (см. комментарий к указанной статье), а также ч. ч. 2 и 3 комментируемой статьи.

Блокирование производится исключительно в отношении персональных данных, относящихся к тому субъекту персональных данных, в отношении которого направлены обращение либо запрос. В случае получения информации о том, что обработка персональных данных осуществляется неправомерно, блокирование допускается исключительно в отношении неправомерно обрабатываемых персональных данных данного лица. Из этого следует сделать вывод, что в случае если лицо предоставило согласие на обработку определенных персональных данных (фамилии, имени, отчества), но не предоставило согласие в отношении других (номер телефона, изображение), блокироваться будут не все персональные данные указанного лица, а лишь те, которые обрабатываются без соответствующих оснований.

Кроме того, осуществляемое блокирование не должно нарушать права и законные интересы субъекта персональных данных или третьих лиц, в ином случае оно не будет производиться.

3. Часть 2 комментируемой статьи логически продолжает ч. 1 и определяет дальнейшие действия оператора в случае получения информации о неточности персональных данных. Если сведения, подтверждающие указанный факт, признаны достоверными или он подтвержден иным образом, оператор обязан:

- уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений;

- снять блокирование персональных данных; для данного действия законодатель не предусмотрел конкретный срок, однако представляется, что снятие блокирования должно быть произведено одномоментно с учетом технической возможности.

Уточнение персональных данных производится на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, которые, как представляется, могут быть запрошены оператором у указанных лиц.

Положение, предусмотренное комментируемой частью, согласуется с ч. 3 ст. 20 комментируемого Закона, согласно которой оператор обязан внести в персональные данные лица необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие данные являются неполными, неточными или неактуальными.

4. Часть 3 комментируемой статьи также логически продолжает ч. 1 и определяет дальнейшие действия оператора в случае получения информации о неправомерной обработке персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора. Так, как предусмотрено данной частью статьи, оператор в указанном случае обязан осуществить следующие действия:

- прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления неправомерной обработки персональных данных;

- уничтожить такие персональные данные или обеспечить их уничтожение, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;

- уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган об устранении допущенных нарушений или об уничтожении персональных данных; конкретный срок не установлен, однако представляется, что уведомление должно направляться непосредственно в день совершения указанных действий.

Толкование данной части статьи представляется довольно сложным ввиду ее неполного логического согласования с другими положениями комментируемого Закона. В первую очередь тем, что если в предыдущей части комментируемой статьи прямо указывается на то, что основанием для исполнения перечисленных в ней обязанностей оператора является подтверждение факта неточности персональных данных, то есть положительный результат проводимой проверки, в комментируемой части указание на это не содержится. При этом согласно ч. 1 комментируемой статьи блокировка данных осуществляется в обоих случаях на время проводимой проверки. Возможно сделать вывод, что и в данном случае следует понимать используемую формулировку законодателя "выявление неправомерной обработки персональных данных" как указание на положительность результата проводимой проверки действительной неправомерности такой обработки. Можно говорить о том, что в данном словосочетании неправомерность указанных данных уже подразумевается, о ней говорится как о действительном факте и нет необходимости указывать на его подтверждение в ходе проверки. Однако в таком случае вопрос вызывает использование аналогичных формулировок в отношении выявления неточности персональных данных: "выявление неточных персональных данных" в ч. 1 комментируемой статьи и "подтверждение факта неточности персональных данных" в ч. 2. Согласно предложенному толкованию обязанности, которые наступают для оператора согласно комментируемой части статьи, появляются в момент подтверждения факта о неправомерности обрабатываемых сведений, о котором ему стало известно от субъекта персональных данных (его представителя) либо от Роскомнадзора. Если же данный факт не подтверждается (лицо, подавшее запрос, ошибочно считает обработку его персональных данных оператором неправомерной), указанные обязанности не возникают. Отметим также, что согласно ст. 9 комментируемого Закона субъект персональных данных может отозвать согласие на обработку персональных данных, но при этом в ряде случаев оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных (см. комментарий к ст. 9).

В ином случае складывается ситуация, в которой оператор обязан прекратить обработку персональных данных и даже уничтожить их в том случае, когда в обращении или запросе субъекта персональных данных (его представителя), запросе Роскомнадзора указывается на неправомерность обработки данных, несмотря на то что данные факты не подтверждаются. При этом оператор будет иметь право обжаловать поступившее к нему требование о прекращении неправомерной обработки данных. Данный порядок будет действовать в случае указания на неправомерность обработки персональных данных Роскомнадзором, однако не в случае направления оператору запроса, а в случае выдачи обязательного для исполнения предписания.

Пример: управлением Роскомнадзора в связи с жалобой гражданина Н. проведена внеплановая проверка соблюдения предприятием требований законодательства в сфере обработки персональных данных. В ходе данной проверки были выявлены нарушения требований ч. 1 ст. 6 и ч. 3 ст. 21 комментируемого Закона в части обработки персональных данных без согласия субъекта персональных данных и в части неисполнения обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уничтожению персональных данных.

Проверкой было установлено, что МУП "Теплоэнергетика" в нарушение указанных норм обрабатывает персональные данные абонентов, в частности гражданина С.А. Назарова, с целью предоставления коммунальных услуг населению (теплоснабжения), начисления платежей и расчетов с населением за оказанные услуги. Предприятию были выданы предписания, указавшие на необходимость в течение трех рабочих дней с даты получения предписания устранить нарушения ч. 3 ст. 21 комментируемого Закона. Требования предписания предприятием были выполнены, о чем сообщено административному органу. Вместе с тем заявитель, посчитав, что требования об уничтожении персональных данных применительно к МУП "Теплоэнергетика" не основаны на законе, обратился в суд с заявлением (см. решение Арбитражного суда Калининградской области от 26.10.2010 по делу N А21-6046/2010).

Неоднозначность используемых в комментируемой части формулировок, позволяющая двоякое толкование, может повлечь неоднозначность складывающейся практики и увеличение количества связанных с этим судебных споров.

Момент начала течения сроков, предусмотренных комментируемой статьей, также определяется выражением "выявление неправомерной обработки персональных данных" (в ч. 2, для сравнения, используется выражение "со дня представления таких сведений"). Часть 3 ст. 20 также закрепляет, что оператор обязан уничтожить персональные данные лица в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными. Комплексный анализ указанных положений, устанавливающих равный срок для уничтожения неправомерно обрабатываемых персональных данных, приводит нас к выводу, что под выявлением неправомерной обработки персональных данных понимается день представления субъектом персональных данных или его представителем, органом Роскомнадзора сведений, подтверждающих такую неправомерность, что влечет указанные нами ранее последствия в виде обязательности для оператора прекратить обработку или уничтожить данные, о неправомерности обработки которых ему было сообщено, независимо от того, действительно ли она неправомерна. Представляется, что операторам, применяющим комментируемый Закон на практике, было бы удобнее использование законодателем более прозрачных и логически взаимосвязанных формулировок.

Также комментируемая часть предусматривает, что неправомерность обработки персональных данных влечет уничтожение таких данных (в течение 7 рабочих дней) только в случае, если невозможно обеспечить правомерность такой обработки (в течение 3 рабочих дней). Можно сделать соответствующий вывод: в первую очередь оператор должен направить все силы для обеспечения правомерности обработки данных (получения согласия на обработку у субъектов персональных данных), и лишь после определения невозможности такого обеспечения уничтожить персональные данные.

Оператор сам будет исполнять данные обязанности по обеспечению правомерности обработки и уничтожению персональных данных, если данная обработка производится им непосредственно. В случае если обработка осуществляется лицом, действующим по поручению оператора, на оператора возлагаются обязанности по обеспечению указанных действий.

5. Часть 4 комментируемой статьи определяет обязанности оператора при достижении цели обработки персональных данных. Согласно ч. 2 ст. 5 комментируемого Закона обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей (см. комментарий к ст. 5).

В случае достижения цели обработки персональных данных оператор обязан:

- прекратить обработку персональных данных или обеспечить ее прекращение; конкретный срок законодателем не установлен, однако представляется, что такая обязанность возникает у оператора непосредственно при достижении названной цели;

- уничтожить персональные данные или обеспечить их уничтожение в тридцатидневный срок с даты достижения цели обработки персональных данных.

Уничтожение персональных данных не всегда является необходимым последствием достижения цели их обработки. Если оператор обладает правом осуществлять обработку персональных данных лица без его согласия, он может не уничтожать такие данные. Отметим, что хранение персональных данных относится к обработке персональных данных. Кроме того, иной порядок может быть также предусмотрен соглашением между оператором и субъектом персональных данных (договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением).

Также стоит отметить, что в данном случае комментируемый Закон не предусматривает частичного уничтожения персональных данных оператором, в том числе в зависимости от вида носителя, на котором хранится такая информация (см. решение Арбитражного суда Республики Бурятия от 09.07.2012 по делу N А10-125/2012), поэтому в данном случае следует уничтожать как персональные данные, хранящиеся в электронном виде в информационной системе, так и данные, зафиксированные на материальном носителе.

Неисполнение указанной обязанности оператора может быть выявлено в ходе проверки, проводимой Роскомнадзором, уполномоченным осуществлять контроль и надзор соответствия обработки персональных данных требованиям комментируемого Закона, и повлечь вынесение в его адрес предписания с требованием устранить нарушения.

Пример: в ходе проверки деятельности ЗАО "КОМСТАР-Регионы", проводимой Роскомнадзором, было установлено, что договор, заключенный с абонентом М., был расторгнут 1 июня 2011 г., задолженность ее погашена, следовательно, цель обработки достигнута 1 июня 2011 г. Однако, несмотря на указанные обстоятельства, оператор по истечении трех рабочих дней продолжал обрабатывать персональные данные М. с использованием автоматизированной системы расчетов "Телеком", что подтверждается распечатками полей АСР "Телеком" от 08.06.2011. Обществу было выдано соответствующее предписание. Данное предписание было обжаловано в суде, однако суд подтвердил, что оно не противоречит законодательству Российской Федерации (см. Постановление ФАС Поволжского округа от 28.04.2012 N Ф06-2316/2012).

6. Часть 5 комментируемой статьи определяет обязанности оператора, наступающие при отзыве субъектом персональных данных согласия на обработку его персональных данных. Согласно ч. 2 ст. 9 комментируемого Закона согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Однако в ряде случаев оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных (см. комментарий к ст. 9). В случае такого отзыва оператор обязан:

- прекратить обработку персональных данных или обеспечить ее прекращение; представляется, что такая обязанность возникает у оператора непосредственно при достижении названной цели;

- уничтожить персональные данные или обеспечить их уничтожение в тридцатидневный срок с даты с даты поступления указанного отзыва.

Уничтожение персональных данных не всегда является необходимым последствием отзыва субъектом персональных данных согласия на обработку его персональных данных. Как мы уже говорили, оператор может обладать правом осуществлять обработку персональных данных лица без его согласия, соответственно, обращение обладателя персональных данных с отзывом согласия на их обработку не повлечет для него обязательных последствий. Также уничтожение персональных данных производится лишь в тех случаях, когда их сохранение более не требуется для целей обработки персональных данных. Иной порядок может быть также предусмотрен соглашением между оператором и субъектом персональных данных. В качестве такого соглашения, например, может выступать кредитный договор, заключаемый между банком и заемщиком.

Пример: между ОАО "Азиатско-Тихоокеанский банк" в г. Улан-Удэ и гражданином М. (выступающим как заемщик) был заключен кредитный договор. Пунктом 5.7 договора предусмотрено, что данный договор одновременно является выражением согласия заемщика на обработку, распространение в случаях, предусмотренных комментируемым Законом, использование, трансграничную передачу, обезличивание с использованием средств автоматизации или без использования таких средств его персональных данных, содержащихся в настоящем договоре, в целях надлежащего исполнения условий настоящего договора. Согласно п. 5.7.2 согласие может быть отозвано заемщиком путем направления банку заявления в письменной форме. В этом случае банк прекращает обработку персональных сведений и уничтожает их после исполнения сторонами условий обязательств, вытекающих из настоящего договора (см. решение Арбитражного суда Республики Бурятия от 09.07.2012 по делу N А10-125/2012).

Хотелось бы отметить, что ч. ч. 4 и 5 комментируемой статьи сформулированы законодателем довольно сложно, что затрудняет их применение на практике. Использование таких сложных грамматических конструкций не обеспечивает однозначности толкования указанных положений правоприменителями.

Неисполнение указанной обязанности оператора может быть выявлено в ходе проверки, проводимой Роскомнадзором, уполномоченным осуществлять контроль и надзор соответствия обработки персональных данных требованиям комментируемого Закона, проводимой в связи с обращением в его адрес заинтересованного субъекта персональных данных, и повлечь вынесение предписания с требованием устранить нарушения.

Пример: в результате заключения и исполнения кредитного договора между ОАО "Азиатско-Тихоокеанский банк" в г. Улан-Удэ и гражданином М. возникла спорная ситуация, связанная с обработкой банком персональных данных М. В связи с полным погашением кредита в банке М. подал заявление об удалении, уничтожении всех личных данных, включая номер паспорта, номера телефонов, адреса и прочие сведения, находящиеся в распоряжении (базе данных) банка. Банком было отказано в уничтожении персональных данных М. Роскомнадзором на основании обращения М. была проведена внеплановая выездная проверка в отношении ОАО "АТБ", которая подтвердила, что персональные данные М. хранятся как в информационной системе ОАО "АТБ", так и на бумажных носителях, в том числе копия паспорта М. Право субъекта персональных данных на удаление своих персональных данных реализовано не было. Банку было вынесено предписание, обжалованное им в дальнейшем в суд.

Суд апелляционной инстанции, рассматривая указанное дело, указал на то, что исполнение заключенного между сторонами кредитного договора породило для каждой из сторон не только гражданско-правовые права и обязанности, но и публично-правовые обязанности, которые каждая из сторон кредитного договора обязана исполнить вне зависимости от желания другой стороны гражданско-правового соглашения. Суд посчитал, что наличие у кредитной организации персональных данных контрагента по договору обуславливается необходимостью обработки персональных данных для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно-значимых целей. Уничтожение указанных персональных данных не позволит банку надлежащим образом соблюсти требования законодательства Российской Федерации о бухгалтерском учете, о противодействии легализации доходов, полученных преступным путем, и др., чем нарушатся его законные интересы в соблюдении требований данного законодательства. В связи с этим требования о признании предписания незаконным суд не признал (см. подробнее решение Арбитражного суда Республики Бурятия от 09.07.2012 по делу N А10-125/2012).

7. Часть 6 комментируемой статьи определяет порядок действий оператора в том случае, когда отсутствует возможность уничтожения персональных данных в течение предусмотренного предыдущими частями статьи срока. Указанные данные должны быть уничтожены в любом случае при возникновении соответствующей обязанности оператора в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. До этого времени указанные персональные данные должны находиться в заблокированном состоянии.