✏️ Кейс: удалить не значит уничтожить

Сегодня разбираем достаточно свежее решение суда (декабрь 2023 года), которое напоминает нам о последствиях поручения обработки третьему лицу, сроках реагирования на запросы субъектов, а также о том, как важно понимать различия между уничтожением и удалением.
Обстоятельства дела:
Собственница земельного участка в СНТ «Барсуки» обратилась к председателю СНТ с требованием уничтожить её персональные данные. Она указала, что её ФИО, номер участка и домашний адрес были переданы в ООО «СНТклуб» для бухгалтерского обслуживания без её письменного согласия.
СНТ уведомило ООО о том, что данные собственницы необходимо уничтожить, и ООО подтвердило, что выполнило это. Однако позднее собственница получила на свою электронную почту квитанцию от бухгалтера ООО об оплате за очередной месяц со своими персональными данными.
После этого собственница обратилась с жалобой в Управление Роскомнадзора указав, что несмотря на ее требование, ее персональные данные не были уничтожены. При рассмотрении жалобы Управление запросило у ООО пояснения о том, почему данные не были уничтожены. ООО пояснило, что данные были ошибочно восстановлены из резервной копии базы данных 1С, что привело к их повторному использованию.
Что решил суд:
Суд привлек СНТ к административной ответственности по ч. 5 ст. 13.11 КоАП РФ за несвоевременное выполнение требования субъекта об уничтожении персональных данных. Поскольку СНТ поручило обработку персональных данных ООО, именно СНТ несет ответственность перед собственницей за действия ООО (с учетом ч. 5 ст. 6 Закона о персональных данных).
Суд назначил СНТ наказание в виде предупреждения, поскольку учёл смягчающие обстоятельства (совершение правонарушения впервые, отсутствие вреда и имущественное положение СНТ как некоммерческой организации, которая существует только за счёт членских взносов).
О каких нюансах регулирования нам напоминает это решение:
⚫️Необходимо отличать уничтожение и удаление персональных данных. В судебном решении эти слова используются практически как синонимы, но такой подход некорректен. Напомним, что легальное определение уничтожения предполагает невозможность восстановить персональные данные. Соответственно, при уничтожении персональных данных, их необходимо уничтожать как в основной базе данных, так и в ее резервных копиях.
⚫️Оператор несёт ответственность за обработчика, в том числе в части обеспечения сроков и полноты уничтожения персональных данных. Поэтому при поручении обработки персональных данных важно уделять особое внимание процедуре контроля за прекращением обработки персональных данных обработчиком.
⚫️Для поручения обработки персональных данных третьему лицу оператор должен иметь надлежащее правовое основание. Суд не прокомментировал этот момент прямо, но представитель Роскомнадзора выразил позицию о том, что основанием передачи данных для обработки по поручению могут быть только согласие или прямое указание закона, которых в данном случае не было (между тем, по вопросу о допустимых основаниях поручения обработки есть и другая позиция).
📌Полезный пост от коллег