Что делать, если субъект требует удалить персональные данные из базы?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Субъект персональных данных имеет право потребовать удаления (уничтожения) своих данных, если отсутствуют законные основания для их дальнейшей обработки. Это право закреплено в ФЗ-152, и оператор обязан рассмотреть обращение и принять решение в установленные сроки.

Алгоритм действий для компании:

1. Принять и зарегистрировать обращение субъекта.
2. Проверить законные основания обработки (например, договор, трудовые отношения, налоговая отчётность).
3. Если основания отсутствуют — уничтожить данные и уведомить об этом субъекта.
4. Если обработка обязательна по закону (например, данные работников для налоговой или бухгалтерии) — отказать в удалении, указав правовую норму.
5. Все действия документировать (акт уничтожения, письменный ответ субъекту).

Обоснование по законодательству

• Ст. 5 ФЗ-152 — данные должны храниться не дольше, чем того требуют цели обработки.
• Ст. 21 ФЗ-152 — оператор обязан уничтожить ПДн после достижения целей обработки или утраты необходимости в них.
• Ст. 14 ФЗ-152, ч. 1 — субъект имеет право требовать уточнения, блокирования или уничтожения своих данных.
• Ст. 14 ФЗ-152, ч. 3 — оператор обязан в срок до 30 дней удалить данные или мотивированно отказать.

Практика и позиция Роскомнадзора

Роскомнадзор в проверках обращает внимание, как компании реагируют на требования субъектов. Важен не только сам факт удаления, но и наличие документации.

Пример: клиент интернет-магазина потребовал удалить его аккаунт и связанные данные. Компания удалила данные и направила уведомление клиенту. Проверка признала действия корректными.

В другом случае субъект требовал удалить данные из кадровых документов. Компания отказала, сославшись на Трудовой кодекс и налоговое законодательство. Роскомнадзор подтвердил правомерность отказа, так как данные должны храниться установленный срок.

Важный момент для организаций

Удаление ПДн — не всегда обязательство оператора. Важно понимать, что данные нельзя уничтожить, если их хранение предписано законом. Но если оснований нет — оператор обязан их удалить.

Рекомендации и выводы

Да, компания должна реагировать на требование об удалении данных. Чтобы действовать законно:

1. Проверяйте основания для хранения данных.
2. Уничтожайте их при отсутствии правовой необходимости.
3. Если уничтожить нельзя — направляйте субъекту мотивированный отказ.
4. Фиксируйте действия актами и журналами.
5. Включите порядок удаления данных в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации разработать регламенты по работе с требованиями субъектов, подготовить шаблоны актов и отказов, а также полный пакет документов для соответствия ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге