Обоснование по законодательству
- ФЗ-152, ст. 21 — оператор обязан прекратить обработку ПДн при отзыве согласия, если иное не предусмотрено законом.
- ФЗ-152, ст. 5, ч. 7 — хранение ПДн должно прекращаться после достижения целей обработки; данные подлежат уничтожению либо обезличиванию.
- ФЗ-152, ст. 18.1 — оператор должен закрепить внутренние документы, регламентирующие порядок уничтожения данных.
Какие документы оформляются на практике
- Заявление субъекта об отзыве согласия — исходный документ, фиксирующий его волю.
- Журнал регистрации отзывов согласий — учет обращений и сроков их исполнения.
- Акт об уничтожении ПДн — подтверждает сам факт удаления (указываются перечень данных, способ удаления, дата, ответственные лица).
- Журнал уничтожения ПДн (при системной работе) — фиксирует все случаи удаления, включая уничтожение после отзыва согласий.
- Служебные записки ИТ-отдела или ответственного — если удаление происходит из информационных систем (удаление файлов, очистка баз данных).
Практика проверок Роскомнадзора
При проверках инспекторы часто запрашивают акты и журналы уничтожения, чтобы убедиться, что оператор не только получил отзыв согласия, но и реально прекратил обработку данных. В компаниях, где удаление фиксируется актами с подписями ответственных лиц, претензий не возникает. Там, где уничтожение не подтверждается документами, Роскомнадзор расценивает это как нарушение.
Вывод
Документировать удаление данных после отзыва согласия нужно обязательно. Минимум — заявление субъекта и акт об уничтожении. Для системного подхода рекомендуется вести журнал уничтожения и включить процедуру в локальные акты. Это обезопасит компанию при проверках и покажет, что работа с ПДн выстроена правильно.
Компания IC-TECH может разработать для Вас полный пакет документов по ФЗ-152, чтобы избежать штрафов и предписаний.
