Да, фамилия, имя, отчество и номер телефона являются персональными данными. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ). При обработке персональных данных компания должна получать согласие физических лиц, а также предпринимать ряд мер, в том числе иметь положение об обработке персональных данных, уведомлять Роскомнадзор и т.д.
По общему правилу при получении требования физического лица об уничтожении персональных данных компания обязана их уничтожить. Сроки уничтожения зависят от того, что конкретно потребовал клиент в письме.
Во-первых, он мог потребовать уничтожить персональные данные из-за того, что они были незаконно получены или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14 Закона № 152-ФЗ). Например, если клиент оставлял свои персональные данные только для участия в розыгрыше призов, а затем компания стала отправлять ему рассылки.
В этом случае нужно уничтожить персональные данные в течение семи рабочих дней при условии, что субъект персональных данных предоставил сведения, подтверждающие, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 3 ст. 20 Закона № 152-ФЗ).
Во-вторых, клиент может отозвать согласие на обработку его персональных данных. В этом случае оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). Если сохранение персональных данных более не потребуется для целей обработки персональных данных, то придется уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором (ч. 5 ст. 21 Закона № 152-ФЗ).
В случае отсутствия возможности уничтожения персональных данных в течение 30 дней оператор должен заблокировать персональные данные или обеспечить их блокирование, а затем обеспечить уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона № 152-ФЗ).
Но нужно иметь в виду, что компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии некоторых оснований. Эти основания предусмотрены в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ (ч. 2 ст. 9 Закона № 152-ФЗ). Например, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Или если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).
Еще есть такой момент. Он касается компаний, которые должны соблюдать требования Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Закон № 115-ФЗ). Это, например, банки, страховые компании, организации, оказывающие посреднические услуги при осуществлении сделок купли-продажи недвижимого имущества, и т.д. (ст. 5 Закона № 115-ФЗ). В этом законе указано, что документы, содержащие некоторые сведения (а это, помимо прочего, фамилия, имя и отчество), а также сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет (п. 4 ст. 67 Закона № 115-ФЗ). Этот срок исчисляется со дня прекращения отношений с клиентом. В таком случае компания вправе не уничтожать персональные данные клиента. Это подтверждает и судебная практика. Например, в одном деле клиент не смог обязать банк удалить его персональные данные, предоставленные при подаче заявки на открытие банковского счета, который банк отказался открывать (см. Апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479/2019).
Уничтожение персональных данных — это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ч. 8 ст. 3 Закона № 152-ФЗ).
Порядок уничтожения персональных данных каждая компания устанавливает самостоятельно. Как правило, операторы персональных данных предусматривают такую процедуру уничтожения: для начала руководитель издает приказ о создании специальной комиссии или о назначении конкретного лица для уничтожения персональных данных. В приказе необходимо указать состав комиссии, цели создания, срок работы.
Если персональные данные содержались на бумажном носителе, то нужно уничтожить эти бумажные носители (например, через шредер). Если персональные данные были предоставлены в электронном виде, то нужно либо уничтожить носитель, на котором были персональные данные, либо удалить их другим способом. После этого нужно составить акт об уничтожении персональных данных.
Также в Законе № 152-ФЗ указано, что нужно отвечать субъектам персональных данных по их запросам. Так, оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых действиях и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (ч. 3 ст. 20 Закона № 152-ФЗ). Поэтому нужно направить клиенту ответ на его требование.
За невыполнение требования субъекта персональных данных предусмотрена административная ответственность. В частности, за невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В этом случае должностным лицам грозит штраф от 4000 до 10 000 руб., для индивидуальных предпринимателей — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб. (ч. 5 ст. 13.11 КоАП РФ).
Кроме того, если компания обрабатывает персональные данные без согласия клиента, то штраф для должностных лиц составит от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).