Должна ли компания удалять персональные данные после отзыва согласия?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, но не всегда. После отзыва согласия компания обязана прекратить обработку персональных данных, если у неё нет других законных оснований для их хранения. Если данные обрабатывались исключительно на основании согласия субъекта (например, для рассылки, рекламы, публикации фото), они подлежат уничтожению или обезличиванию.

Однако если существуют иные основания для хранения данных — компания вправе продолжить обработку в пределах закона, даже после отзыва согласия.

Удаляются данные, если:

• они использовались для рассылок, рекламы, маркетинга;
• данные клиента хранились для бонусных программ и акций;
• фото и видео сотрудников или клиентов публиковались на сайте по согласию.

Сохраняются данные, если:

• они нужны для исполнения договора (например, хранение договора купли-продажи до окончания гарантийного срока);
• хранение предписано законом (например, бухгалтерские и налоговые документы, кадровый учёт сотрудников, кредитная история в банке);
• это необходимо для защиты прав и законных интересов компании (например, хранение доказательств исполнения обязательств в суде).

Обоснование по законодательству

• Ст. 9 ФЗ-152, ч. 5 — субъект может в любой момент отозвать согласие; оператор обязан прекратить обработку, если нет оснований, предусмотренных ФЗ.
• Ст. 5 ФЗ-152, ч. 7 — хранение допускается не дольше, чем этого требуют цели обработки.
• Ст. 14 ФЗ-152 — субъект может требовать уничтожения незаконно обрабатываемых данных.
• Ст. 21 ФЗ-152 — оператор обязан соблюдать права субъектов и обеспечивать уничтожение данных при утрате оснований.

Практика проверок Роскомнадзора

В интернет-магазине клиент отозвал согласие на рекламу. Компания продолжила отправлять письма. Роскомнадзор назначил штраф: данные должны были быть удалены.

В бухгалтерии организации работник отозвал согласие на обработку своих данных. Роскомнадзор подтвердил, что документы по трудовым отношениям должны храниться по закону (до 75 лет), даже без согласия.

Важный нюанс

Отзыв согласия не освобождает компанию от законных обязанностей по хранению документов. Кадровые, налоговые и бухгалтерские документы продолжают храниться столько, сколько требует закон, независимо от согласия.

Рекомендации и выводы

Компания должна удалять или обезличивать персональные данные после отзыва согласия, если:

• данные использовались только по согласию;
• нет других законных оснований для их хранения.

Если же данные подлежат обязательному хранению по закону или договору — они не удаляются, но компания должна прекратить их использование для иных целей.

Организации необходимо:

1. Разработать регламент действий при отзыве согласий.
2. Определять, какие данные нужно удалить, а какие — хранить по закону.
3. Документально фиксировать уничтожение (акт об уничтожении ПДн).
4. Включить порядок уничтожения данных в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации правильно выстроить порядок удаления и хранения ПДн после отзыва согласия. Мы разработаем регламент, формы актов и включим их в пакет документов по ФЗ-152, чтобы исключить претензии Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге