Что делать, если субъект персональных данных требует удалить данные, которые нельзя уничтожить по закону?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

В такой ситуации оператор обязан объяснить субъекту, что его данные не могут быть уничтожены, так как их хранение прямо предписано законодательством РФ. Отказ в удалении будет считаться правомерным, если оператор предоставит обоснование со ссылкой на закон.

Примеры данных, которые нельзя уничтожить по требованию субъекта:

• кадровые документы работников (личные дела, трудовые договоры, приказы) — срок хранения до 75 лет (ФЗ «Об архивном деле»);
• бухгалтерские и налоговые документы — не менее 5 лет (ФЗ «О бухгалтерском учёте», НК РФ);
• кредитные истории — не менее 10 лет (ФЗ № 218 «О кредитных историях»);
• медицинские документы — от 5 до 25 лет (в зависимости от типа документа, Приказ Минздрава № 543н).

Таким образом, отзыв согласия или требование об удалении не отменяет обязанность оператора хранить данные, если это предусмотрено федеральным законом.

Обоснование по законодательству

• Ст. 9 ФЗ-152, ч. 5 — субъект может отозвать согласие, но оператор вправе продолжить обработку, если есть иные правовые основания.
• Ст. 5 ФЗ-152, ч. 7 — данные должны храниться не дольше, чем этого требуют цели обработки или сроки, установленные законом.
• Ст. 14 ФЗ-152 — субъект имеет право требовать уничтожения данных, если они обрабатываются незаконно или избыточно.
• Ст. 21 ФЗ-152 — оператор обязан соблюдать права субъектов, но в пределах действующего законодательства.
• ФЗ № 125 «Об архивном деле», ФЗ № 402 «О бухгалтерском учёте», НК РФ — устанавливают обязательные сроки хранения документов.

Практика проверок Роскомнадзора

Уволенный сотрудник потребовал удалить его трудовое дело. Работодатель отказал, сославшись на архивное законодательство. Проверка подтвердила правомерность отказа.

Клиент банка попросил уничтожить его кредитную историю. Роскомнадзор разъяснил, что кредитные истории должны храниться по ФЗ № 218, и удаление невозможно.

Важный нюанс

Оператор обязан не просто отказать, а дать письменный мотивированный ответ субъекту со ссылкой на нормы закона. Если хранение данных по закону больше не требуется — оператор обязан их уничтожить или обезличить.

Рекомендации и выводы

Если субъект требует удалить данные, которые оператор обязан хранить:

1. Зарегистрируйте обращение.
2. Проведите проверку и определите, подпадают ли данные под обязательное хранение.
3. Подготовьте письменный мотивированный ответ субъекту со ссылкой на законодательство.
4. Укажите срок, до которого данные будут храниться, и основание (закон или нормативный акт).
5. Включите порядок ответов на такие запросы в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации выстроить регламент работы с подобными обращениями в пакет документов по ФЗ-152. Это обеспечит законность обработки и снизит риск жалоб в Роскомнадзор.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге