Право на забвение — одно из фундаментальных цифровых прав человека. Любой гражданин может потребовать от компании прекратить обработку его данных и уничтожить их. Для бизнеса это рутинная, но юридически опасная процедура. С 1 марта 2023 года сроки реакции на такие требования сократились, а требования к подтверждению факта уничтожения — ужесточились. Удаление персональных данных по запросу — это процесс, который должен быть автоматизирован и задокументирован, иначе каждая жалоба в Роскомнадзор будет заканчиваться штрафом.
Удаление персональных данных по запросу (Data Erasure) регулируется статьями 14, 20 и 21 Закона № 152-ФЗ. Оператор обязан прекратить обработку и уничтожить данные в срок, не превышающий 30 дней с даты поступления требования (а в случае отзыва согласия — часто в течение 30 дней, но обработку нужно прекратить немедленно, если нет иных оснований). Важно не перепутать: просто «скрыть» данные в интерфейсе недостаточно. Они должны быть безвозвратно удалены с серверов, из резервных копий (бэкапов) и у третьих лиц, которым вы их передали.
Когда данные нужно удалять обязательно?
Оператор обязан удалить ПДн в следующих случаях:
- Субъект отозвал свое согласие на обработку (и нет других законных оснований для хранения, например, действующего договора).
- Данные обрабатываются незаконно (без основания).
- Данные больше не нужны для достижения целей обработки (цель достигнута).
- Субъект потребовал прекратить обработку в маркетинговых целях (спам-звонки, рассылки). Здесь удаление должно быть мгновенным.
Когда можно отказать в удалении?
Бизнес не обязан удалять всё по первому требованию. Есть исключения:
- Действующий договор. Если клиент требует удалить данные, но у него не закрыт кредит или не доставлен товар, вы имеете право хранить данные, необходимые для исполнения обязательств.
- Требования закона. Бухгалтерские и налоговые документы (акты, счета) должны храниться 5 лет. Вы не можете удалить чек с ФИО, даже если клиент очень просит.
- Защита прав в суде. Если идет судебный спор, данные хранятся до его окончания.
Мы помогаем составить грамотные шаблоны ответов-отказов, которые удовлетворят Роскомнадзор.
Процедура зачистки и Акт об уничтожении
Новые требования Роскомнадзора (Приказ № 179) жестко регламентируют подтверждение удаления.
Просто удалить запись из SQL-базы мало. Нужно:
- Составить Акт об уничтожении персональных данных (с указанием категорий данных, ФИО субъектов, способа и даты удаления).
- Сделать Выгрузку из журнала регистрации событий в информационной системе (логи), подтверждающую факт удаления.
Эти документы нужно хранить 3 года. Без них считается, что данные не удалены.
Уведомление третьих лиц
Если вы передавали данные этого клиента в курьерскую службу или колл-центр по договору поручения, вы обязаны уведомить их о необходимости удаления данных. Ответственность за то, что подрядчик продолжает звонить клиенту после отзыва согласия, лежит на вас (Операторе).
Мы настраиваем бизнес-процесс обработки запросов: от верификации личности заявителя (чтобы не удалить данные по запросу мошенника) до автоматической генерации подтверждающих Актов и контроля удаления данных во всех системах и бэкапах.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов