Работодатель как оператор персональных данных установил неправомерные действия с персональными данными работника и невозможность устранения допущенных нарушений. В течение какого срока работодатель обязан уничтожить персональные данные?

Ответ: Работодатель как оператор персональных данных, который выявил неправомерные действия с персональными данными работника и установил невозможность устранения допущенных нарушений, обязан уничтожить персональные данные:

- применительно к правоотношениям до 01.07.2011 - в течение трех рабочих дней с даты выявления неправомерности действий с персональными данными;

- применительно к правоотношениям после 01.07.2011 - в течение десяти рабочих дней с даты выявления неправомерности действий с персональными данными.

Обоснование: В соответствии со ст. 85 Трудового кодекса РФ персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

В силу ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

На основании ч. 1 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) (в редакции, действовавшей до вступления в силу Федерального закона от 25.07.2011 N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" (далее - Закон N 261-ФЗ)) в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

Исходя из ч. 3 ст. 21 Закона N 152-ФЗ (в редакции, действовавшей до вступления в силу Закона N 261-ФЗ) в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

Следовательно, Закон N 152-ФЗ (в редакции, действовавшей до вступления в силу Закона N 261-ФЗ) устанавливает срок три рабочих дня с даты выявления неправомерности действий с персональными данными для уничтожения персональных данных в случае невозможности устранения допущенных неправомерных действий с персональными данными.

Законом N 261-ФЗ внесены изменения в Закон N 152-ФЗ.

В соответствии с ч. 1 ст. 21 Закона N 152-ФЗ (в ред. Закона N 261-ФЗ) в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

Согласно ч. 3 ст. 21 Закона N 152-ФЗ (в ред. Закона N 261-ФЗ) в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

На основании п. 1 ст. 3 Закона N 261-ФЗ данные изменения вступают в силу со дня официального опубликования Закона N 261-ФЗ (опубликован в "Российской газете" 27.07.2011).

Пунктом 2 ст. 3 Закона N 261-ФЗ установлено, что действие положений Закона N 152-ФЗ (в ред. Закона N 261-ФЗ) распространяется на правоотношения, возникшие с 01.07.2011.

Следовательно, после вступления в силу Закона N 261-ФЗ срок с даты выявления неправомерности действий с персональными данными для уничтожения персональных данных в случае невозможности устранения допущенных неправомерных действий с персональными данными изменен: с трех рабочих дней на десять рабочих дней.

Дополнительно отметим, что на основании ч. 6 ст. 21 Закона N 152-ФЗ (в ред. Закона N 261-ФЗ) в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в ч. 3 - 5 данной статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Е. В.Соснов

Минфин России

15.09.2011