Удаление персональных данных: порядок, сроки и Акт об уничтожении

Порядок и сроки удаления персональных данных по 152-ФЗ

Право на забвение обязывает компании уничтожать информацию о пользователях по их первому требованию. Законодательство России устанавливает жесткие рамки для этой процедуры. Нарушение регламента ведет к проверкам Роскомнадзора и крупным штрафам. Удаление персональных данных требует не только технических действий в базе данных, но и специфического документального оформления.

С 1 марта 2023 года требования к подтверждению факта уничтожения ужесточились. Теперь недостаточно просто удалить запись. Оператор формирует пакет документов, который доказывает безвозвратность процедуры. Если вы храните данные после отзыва согласия или истечения цели обработки, вы нарушаете закон 152-ФЗ.

Уничтожение персональных данных — это действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.

Сроки реакции на запросы субъектов

Закон устанавливает конкретные сроки для каждого сценария. Отсчет времени начинается со следующего рабочего дня после получения требования. Вы обязаны уложиться в следующие периоды:

• 10 рабочих дней — на выполнение требования об уничтожении незаконно полученных или не являющихся необходимыми для заявленной цели данных. Срок можно продлить на 5 дней при подаче мотивированного уведомления в адрес субъекта.
• 30 дней — на уничтожение данных при достижении цели обработки или при отзыве согласия, если иное не предусмотрено договором.
• Немедленно — на прекращение обработки данных в целях маркетинга (рассылки, звонки, предложения услуг).

Если вы не можете уничтожить данные в указанные сроки, вы обязаны заблокировать их. Закон дает еще 6 месяцев на полное физическое удаление, если процедура требует длительного времени по техническим причинам.

Обязательные случаи для уничтожения данных

Оператор инициирует процедуру зачистки баз при наступлении определенных юридических фактов. Вы не можете хранить информацию «на всякий случай» после завершения активного взаимодействия с клиентом. Проверьте свои системы на наличие лишних сведений.

Вы обязаны удалить данные, если:

1. Клиент отозвал согласие на обработку, а других законных оснований (договор, судебный акт) для хранения нет.
2. Цель обработки достигнута (например, срок действия дисконтной карты истек, и клиент не совершает покупки).
3. Выявили факт незаконного получения сведений или неправомерной обработки.
4. Субъект предоставил доказательства того, что данные являются неполными, устаревшими или неточными.

Когда закон разрешает отказать в удалении

Бизнес часто сталкивается с необоснованными требованиями. Существуют ситуации, когда вы вправе продолжить обработку вопреки желанию пользователя. Это касается исполнения обязательств перед государством или защиты законных интересов компании.

VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежом

Консультация

+7 (495) 118 24 84

Задать вопрос эксперту

Право субъекта на удаление данных ограничено налоговым и бухгалтерским законодательством. Вы не удаляете персональные данные из первичных документов в течение пяти лет после отчетного периода.

Вы сохраняете данные для исполнения действующего договора. Если клиент требует удалить профиль, но имеет задолженность или ожидает доставку товара, обработка продолжается до закрытия сделки. Также данные сохраняются для целей правосудия или выполнения функций государственных органов.

Приказ № 179: Новые требования к Акту об уничтожении

Роскомнадзор утвердил строгие формы документов для подтверждения зачистки. Обычного технического отчета системного администратора больше недостаточно. Вы формируете двухкомпонентное подтверждение, которое хранится в компании 3 года.

Составление Акта об уничтожении

Акт — это основной юридический документ. Его подписывает комиссия или уполномоченное лицо. В тексте обязательно укажите:

• Наименование и адрес оператора (вашей компании).
• ФИО субъектов, чьи данные уничтожены.
• Категории уничтоженных данных (например: ФИО, телефон, адрес почты).
• Дату и способ уничтожения (стирание из БД, шредирование бумажных носителей).
• Причину уничтожения (запрос субъекта, истечение срока договора).

Выгрузка из журнала регистрации (логи)

Если вы обрабатываете данные в автоматизированных системах, к Акту приложите выгрузку из журнала регистрации событий. Этот файл должен содержать ID субъекта, дату удаления и результат операции. Роскомнадзор сверяет данные в Акте и логи информационной системы. Несоответствие этих документов приравнивается к отсутствию подтверждения удаления.

Специалисты настраивают автоматическую генерацию таких выгрузок. Это исключает риск человеческой ошибки при массовых запросах пользователей. Система должна фиксировать факт удаления во всех связанных таблицах и бэкапах.

Удаление данных у третьих лиц

Если вы передали данные клиента подрядчикам (колл-центру, облачному сервису, логистической службе), вы отвечаете за их действия. При получении запроса на удаление вы обязаны уведомить всех контрагентов. Контроль исполнения лежит на вас как на Операторе.

Мы внедряем процессы верификации личности заявителя. Это предотвращает утечки данных под видом «запроса на удаление» от злоумышленников. Правильная настройка бизнес-процесса защищает компанию от претензий регулятора и необоснованных жалоб граждан. Грамотная фиксация каждого шага — единственный способ пройти проверку без штрафов.