Сроки обработки персональных данных

Определение срока обработки персональных данных является важным элементом системы защиты прав и свобод человека и гражданина, а также позволяет операторам избежать обработки избыточного объема данных, сокращая финансовые и иные затраты. Для получения представления о порядке и особенностях определения сроков обработки необходимо рассмотреть как нормы российского законодательства, определяющего сроки обработки персональных данных, так и зарубежный опыт в обозначенной сфере.

В п. 3 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) определено, что обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В данном определении законодатель, путем внесения в перечень действий пункта «уничтожение персональных данных», заложил возможность ограничения временного периода обработки персональных данных. Указанное ограничение дополнительно оговорено посредством ч. 7 ст. 5 152-ФЗ, где один из этапов обработки персональных данных – хранение – должен осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Продолжительность других этапов обработки персональных данных также зависит от целей и особенностей обработки, от разнообразия категорий субъектов персональных данных, от количества и структуры информационных систем персональных данных, и от других факторов.

Законодательство (п. 6 ч. 7 ст. 14 152-ФЗ) закрепляет за субъектом персональных данных право на получение информации, касающейся сроков обработки персональных данных, в том числе сроков их хранения, при обращении к оператору или при получении запроса от оператора. В законом установленных случаях оператор обязан направлять в уполномоченный орган по защите прав субъектов персональных данных (в настоящее время уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) уведомление о своем намерении осуществлять обработку персональных данных, в котором оператор обязан указать срок или условие прекращения обработки персональных данных. 152-ФЗ в п. 1 ч. 3 ст. 23 устанавливает, что Уполномоченный орган имеет право запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию. Уполномоченный орган может воспользоваться этим правомочием, в том числе, и при возникновении необходимости выяснить сроки обработки персональных данных операторами, не направившими в Уполномоченный орган уведомления о намерении осуществлять обработку.

Согласно ч. 1 ст. 14 № 152-ФЗ субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Уполномоченный орган в целях защиты прав субъектов персональных данных и соблюдения законодательства в сфере обработки и защиты персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных, а также принимать в установленном законодательством порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона (п.п. 3, 4 ч. 3 ст. 23 № 152-ФЗ).

Сроки обработки персональных данных, в том числе сроки их хранения, могут быть установлены как по решению самого оператора, так и путем закрепления в соответствующем нормативном правовом акте. В первом случае оператору следует закрепить в локальном нормативном акте (например, в Положении о персональных данных) срок или условие прекращения обработки персональных данных в отношении каждого из существующих перечней персональных данных, обрабатываемых и защищаемых оператором. Во втором случае операторам необходимо будет следовать нормативным правовым актам, императивно устанавливающим срок или условие прекращения обработки. Например, постановление Правительства РФ от 16 октября 2003 г. № 630 «О Едином государственном реестре индивидуальных предпринимателей, Правилах хранения в единых государственных реестрах юридических лиц и индивидуальных предпринимателей документов (сведений) и передачи их на постоянное хранение в государственные архивы…» обязывает органы, осуществляющие государственную регистрацию юридических лиц и индивидуальных предпринимателей, хранить регистрационные дела юридических лиц и индивидуальных предпринимателей, прекративших свою деятельность, в течение 15 лет с даты внесения соответствующих записей в государственные реестры. Аналогичные нормы существуют и в других нормативных актах. В большинстве случаев срок хранения персональных данных варьируется в пределах от 3 до 75 лет, но возможно и постоянное (бессрочное) хранение персональных данных: например, если материальный носитель с зафиксированными на нем персональными данными получает статус документа Архивного фонда Российской Федерации и, в соответствии с законодательством об Архивном деле, подлежит постоянному хранению.

Исходя из всего вышесказанного, представляется возможным сделать следующие выводы:

1. По общему правилу срок обработки персональных данных императивно не установлен. Следовательно, определение срока обработки относится к компетенции оператора, за исключением случаев, прямо установленных в законодательстве;
2. Срок обработки непосредственно связан с достижением или с утратой необходимости достижения оператором целей обработки;
3. Субъекты и Уполномоченный орган имеют право на получение информации от оператора, касающейся срока обработки персональных данных, в том числе срока их хранения;
4. Срок обработки, при определенных законодательством условиях, может быть изменен по требованию субъектов персональных данных или по требованию Уполномоченного органа.

Зарубежное законодательство в сфере персональных данных, также как и российское, не конкретизирует порядок определения и длительность сроков обработки персональных данных. Принцип хранения персональных данных, проходящих автоматическую обработку, в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются, последовательно воплощается в следующих международных актах:

1. Конвенция ETS № 108 от 28 января 1981 года «О защите физических лиц при автоматизированной обработке персональных данных» – см. п. 5 ст. 5.
2. Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» – см. п. «e» ч. 1 ст. 6.
3. Директива 2002/58/EC Европейского парламента и Совета Европейского Союза от 12 июля 2002 года «О конфиденциальности и электронных коммуникациях» – см. ч. 1 ст. 6.

Соответственно, определение срока обработки по общему правилу носит диспозитивный характер и производится операторами персональных данных самостоятельно. Законодательство европейских стран, большинство из которых подписали и ратифицировали Конвенцию ETS № 108, следует указанному принципу: например, ст. 6 Закона Французской Республики № 78-17 от 6 января 1978 г. «Об информатике, картотеках и свободах», ст. «6b» «Федерального закона о защите данных» ФРГ, принятого 11 мая 2001 г. и т.д. Аналогичный принцип закреплен и в законодательстве многих других стран, не являющихся участниками Конвенции ETS № 108.

Особый интерес представляет «Федеральный закон о защите личных сведений и электронных документов» Канады, принятый 13 апреля 2000 г., включивший в себя разработанный в 1995 г. Канадской ассоциацией по стандартизации «Модельный кодекс по защите персональных данных», где в пунктах 4.5 – 4.5.4 относительно подробно рассматриваются вопросы сроков обработки персональных данных операторами. Так, в п. 4.5 закреплен принцип соответствия срока обработки персональных данных заявленным целям обработки. Кроме того, Закон указывает операторам на необходимость определения минимальных и максимальных сроков хранения персональных данных, а также на возможность законодательного установления сроков хранения. Законодатель обращает внимание на обязанность операторов хранить те персональные данные, на основании которых принимаются решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Тем самым обеспечивается право субъектов персональных данных на доступ к подобным сведениям, длительность хранения которых на законодательном уровне не регламентируется. Закон предусматривает следующие способы прекращения обработки персональных данных: уничтожение, стирание и анонимизация. Операторы обязываются разработать и принять локальные нормативные акты, закрепляющие порядок прекращения обработки персональных данных, если она более не соответствует заявленным целям операторов.

Сложившуюся ситуацию в сфере определения и обоснования сроков обработки персональных данных операторами следует признать неудовлетворительной. К сожалению, многие операторы пренебрегают необходимостью четко опередить срок обработки и фактически устанавливают режим бессрочной обработки персональных данных, тем самым допуская нарушение действующего законодательства. Некоторые операторы, определяя срок или условие прекращения обработки, не производят соответствующего закрепления данных положений в локальном нормативном акте, что не способствует стабильности системы обработки персональных данных и может вызвать вопросы со стороны Уполномоченного органа.