1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
1. Комментируемая статья конкретизирует обязанности оператора, возникающие в связи с выявлением им фактов неправомерной обработки персональных данных или обработки неточных персональных данных. Данные факты могут быть обнаружены оператором самостоятельно либо в результате обращения/запроса субъекта персональных данных или Роскомнадзора. К сожалению, юридическая техника положений комментируемой статьи оставляет желать лучшего. Это проявляется как в нечеткости описания обстоятельств, в связи с которыми возникают соответствующие обязанности, так и в несогласованности положений данной статьи с нормами, содержащимися в ст. 5 Закона о персональных данных. Использование повторяющихся и громоздких формулировок также не добавляет ясности правовым нормам, содержащимся в настоящей статье.
2. Часть 1 комментируемой статьи предусматривает обязанность оператора осуществлять блокирование неправомерно обрабатываемых персональных данных на период проведения проверки соответствующих обстоятельств. В случае если обработка осуществляется привлеченным лицом, действующим по поручению оператора, последний должен принять меры по обеспечению блокирования, т.е. дать соответствующее указание обработчику. Поводом для проверки могут послужить: 1) личное обращение субъекта персональных данных или его представителя; 2) запрос субъекта персональных данных или его представителя; 3) запрос Роскомнадзора. Представляется, что нет никаких препятствий к тому, чтобы применять данные положения оператору и по собственной инициативе в случае возникновения соответствующих подозрений в ходе проведения внутренних проверок и аудитов.
Блокировка должна быть осуществлена непосредственно в момент обращения указанных лиц или получения от них запроса и должна действовать в течение периода проверки. При этом, как справедливо отмечается в литературе, блокирование допускается исключительно в отношении неправомерно обрабатываемых персональных данных субъекта. Из этого следует сделать вывод, что если лицо дало согласие на обработку определенных персональных данных (фамилии, имени, отчества), но не дало его в отношении других данных (номер телефона, изображение), то блокироваться будут не все персональные данные указанного лица, а лишь те, которые обрабатываются без соответствующих оснований <1>.
--------------------------------
<1> Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный). 2013 // СПС "КонсультантПлюс". Комментарий к ст. 21.
В случае если по результатам проверки будет подтвержден факт неправомерной обработки определенных персональных данных, оператор согласно ч. 3 комментируемой статьи обязан:
1) в течение трех рабочих дней обеспечить правомерность такой обработки, устранив тем самым обстоятельства, которые обусловливают неправомерный характер обработки. Например, получив соответствующее требованиям ст. 9 Закона о персональных данных согласие от субъекта или выполнив условия, указанные в ст. ст. 6, 10, 11 данного Закона, относительно оснований для обработки персональных данных в отсутствие согласия субъекта, либо
2) в течение 10 рабочих дней уничтожить неправомерно обрабатываемые персональные данные, либо
3) если удаление неправомерно обрабатываемых персональных данных в течение 10 рабочих дней невозможно, обеспечить дальнейшую блокировку неправомерно обрабатываемых данных и осуществить их последующее уничтожение в срок, не превышающий шести месяцев, если иное не установлено договором.
Следует отметить, что комментируемый Закон не предусматривает частичного уничтожения персональных данных оператором либо возможности их уничтожения в зависимости от вида носителя, на котором хранится такая информация. Поэтому не будет соответствовать требованиям данного Закона уничтожение персональных данных, допустим, только в некоторых электронных базах (например, содержащих список клиентов), но с сохранением их в других базах (Постановление Четвертого арбитражного апелляционного суда от 9 июля 2012 г. по делу N А10-125/2012).
Исходя из того, что послужило основанием для инициирования проверки (обращение/запрос субъекта или Роскомнадзора), оператор обязан уведомить соответствующее лицо о принятых мерах. При этом настоящий Закон не конкретизирует форму такого уведомления, в связи с чем оно, в принципе, может быть сделано и в устной форме, однако для целей обеспечения возможности подтверждения факта выполнения данной обязанности целесообразно делать это в письменной или электронной форме. Срок информирования данным Законом также не установлен. По мнению представителей Роскомнадзора, такой срок не должен превышать 30 календарных дней <1>.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 124.
В случае если проведенная оператором проверка не подтвердила факт неправомерности обработки персональных данных, оператор прекращает блокирование таких данных. Формально Закон о персональных данных не требует уведомления субъекта и (или) Роскомнадзора об этом (из буквального толкования положений ч. 3 комментируемой статьи следует, что соответствующая обязанность касается лишь случаев "устранения допущенных нарушений" или "уничтожения персональных данных"), но представляется, что оператору целесообразно это сделать.
О понятии и порядке уничтожения и блокирования персональных данных см. комментарий к ст. 3 Закона о персональных данных.
3. В случае обнаружения оператором факта обработки неточных персональных данных он обязан осуществить блокирование этих данных и инициировать проверку таких обстоятельств. В случае если обработка осуществляется привлеченным лицом, действующим по поручению оператора, последний должен принять меры по обеспечению блокирования, т.е. дать соответствующее указание обработчику. В отличие от случаев проверки факта неправомерной обработки персональных данных, где требование об их блокировке на период проведения проверки является безусловным, в ситуации с проверкой факта обработки неточных персональных данных оператор осуществляет блокирование таких данных, только если это не нарушает права и законные интересы субъекта персональных данных или третьих лиц. Наличие обстоятельств, которые, по мнению оператора, могут свидетельствовать о возможном нарушении прав и законных интересов субъекта персональных данных или третьих лиц в результате блокировки потенциально неточных персональных данных на период проверки, должен доказывать оператор.
Поводами для проведения соответствующей проверки оператором выступают те же основания, что и для проверки фактов неправомерной обработки персональных данных: 1) обращение субъекта персональных данных или его представителя; 2) запрос субъекта персональных данных или его представителя; 3) запрос Роскомнадзора. Представляется, что нет никаких препятствий к тому, чтобы применять данные положения оператору и по собственной инициативе в случае возникновения соответствующих подозрений в ходе проведения внутренних проверок и аудитов.
В случае если по результатам проверки будет подтвержден факт обработки неточных персональных данных, оператор в соответствии с ч. 2 комментируемой статьи обязан: 1) уточнить указанные сведения и 2) снять блокировку.
Согласно ч. 2 комментируемой статьи указанные действия должны быть совершены в течение семи дней с момента получения сведений от субъекта персональных данных (его представителя) и (или) Роскомнадзора. Поскольку в подавляющем большинстве случаев такие сведения содержатся в обращении (запросе), исходящем от соответствующего лица, то фактически этот срок означает, что проверка и последующие действия в случае подтверждения указанных фактов должны быть совершены в течение семи рабочих дней. В отличие от случаев выявления фактов неправомерной обработки персональных данных по результатам проверки, в случае с неточными персональными данными оператор формально не обязан уведомлять субъекта персональных данных или иное лицо, инициировавшее запрос, о принятых мерах.
Закон не регламентирует действия оператора на случай, если проверка не подтвердила факт обработки неточных персональных данных. Представляется, что в таком случае оператор вправе снять блокировку и продолжить обрабатывать соответствующие данные в том же режиме, что и прежде. Однако, поскольку проверка проводилась оператором самостоятельно, он несет риск того, что ее результаты могут быть оспорены впоследствии в административном или судебном порядке.
4. Часть 4 комментируемой статьи посвящена порядку действий оператора на случай достижения цели обработки персональных данных. Общее правило состоит в том, что оператор обязан прекратить дальнейшую обработку и уничтожить соответствующие данные на всех носителях, на которых они содержатся. Это правило отличается от положений ч. 7 ст. 5 Закона о персональных данных, согласно которым обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки. В ч. 4 ст. 21 настоящего Закона не упоминается возможность обезличивания в качестве допустимой "опции", имеющейся у оператора. Представляется, что данная коллизия должна разрешаться в пользу положений ст. 5 этого Закона, поскольку принципы представляют собой правовые предписания, предопределяющие содержание конкретных норм, которые не должны вступать в противоречие с принципами.
Оператор имеет право продолжить обработку персональных данных, цели которой были достигнуты, в тех случаях, когда есть другая законная цель, в частности, когда дальнейшая обработка прямо предусмотрена законом. Например, банковская организация, несмотря на исполнение договора с клиентом, обязана продолжать хранить в течение не менее пяти лет сведения, необходимые для его идентификации, в соответствии с требованиями Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (ч. 4 ст. 7).
5. В ч. 4 комментируемой статьи устанавливается срок, в течение которого персональные данные должны быть уничтожены в случае достижения целей их обработки, - 30 календарных дней с такого момента.
Комментируемая статья допускает значительную степень диспозитивности при определении судьбы персональных данных, цель обработки которых была достигнута. В соглашении оператора и субъекта персональных данных, в том числе инкорпорированном в гражданско-правовой договор, стороной/выгодоприобретателем/поручителем по которому является субъект, могут определяться иные последствия достижения целей обработки и иные сроки уничтожения персональных данных. Однако такое условие может быть оспорено как обременительное в порядке ст. 428 ГК РФ или как нарушающее права потребителей (ст. 16 Закона о защите прав потребителей).
6. Часть 5 комментируемой статьи регламентирует последствия отзыва субъектом персональных данных своего согласия на их обработку. Данные положения развивают норму ч. 2 ст. 9 Закона о персональных данных, предусматривающую право субъекта персональных данных на отзыв ранее данного согласия на их обработку и обязанность оператора прекратить дальнейшую обработку таких данных, за исключением случаев, когда оператор может воспользоваться одним из оснований для обработки персональных данных в отсутствие согласия их субъекта. Часть 5 ст. 21 настоящего Закона регламентирует срок исполнения данной обязанности, который по общему правилу составляет 30 календарных дней с момента получения отзыва оператором. Иной срок может быть установлен в договоре, где субъект персональных данных выступает в качестве стороны, выгодоприобретателя или поручителя. При этом следует иметь в виду, что установление чрезмерно больших сроков, использование мелкого шрифта или иных недобросовестных приемов может являться нарушением законодательства о защите прав потребителей (Постановление Восемнадцатого арбитражного апелляционного суда от 14 января 2013 г. N 18АП-12864/2012 по делу N А47-8831/2012).
Кроме того, комментируемое положение предусматривает, что иной срок может быть установлен в "ином соглашении между оператором и субъектом персональных данных". В этой связи возникает вопрос о том, как соотносятся данное соглашение и ранее упомянутый договор, где субъект персональных данных выступает в качестве стороны/выгодоприобретателя/поручителя. Согласно ст. 420 ГК РФ договором признается соглашение двух или нескольких лиц об установлении, изменении или прекращении гражданских прав и обязанностей. Таким образом, договор является разновидностью соглашения. Если исходить из того, что договором можно признать только такое соглашение, которое порождает гражданские права и обязанности, то соглашения, порождающие иные с точки зрения правовой природы права и обязанности, не будут охватываться понятием "договор", но будут признаваться соглашениями. В таком случае вопрос о соотношении понятий "договор" и "соглашение" будет зависеть от решения вопроса об отраслевой принадлежности положений законодательства о персональных данных, который заслуживает отдельного исследования.
Другим вариантом толкования рассматриваемого положения является признание наличия в данном случае "огреха" в юридической технике, отражающего стремление предусмотреть "все возможные случаи", не заботясь об их возможном соотношении. Учитывая, что вопрос об отраслевой принадлежности законодательства о персональных данных, судя по полному молчанию самого Закона о персональных данных, не особо заботит законодателя, вывод о причинах появления соответствующих положений в ч. 5 комментируемой статьи каждый может сделать сам.
Следует отметить, что положения ч. 2 ст. 15 настоящего Закона, предусматривающие обязанность оператора незамедлительно прекратить обработку персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации по поступлении отзыва согласия от субъекта, носят специальный характер по отношению к комментируемой норме и подлежат приоритетному применению.
Продолжение оператором обработки персональных данных в отсутствие на то законных оснований после получения от субъекта отзыва согласия на их обработку представляет собой достаточно часто выявляемое Роскомнадзором нарушение законодательства о персональных данных.
