Как поступить, если субъект требует удалить данные раньше срока хранения?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

В такой ситуации оператор обязан проверить, на каком основании данные хранятся. Если срок хранения установлен законом или договором, то удалить их раньше компания не может. Но если хранение осуществляется только на основании согласия субъекта — данные подлежат удалению по его требованию.

Алгоритм действий для компании:

Получить письменное обращение от субъекта с требованием об удалении.
Проверить, есть ли обязательные основания для хранения (трудовое, налоговое, архивное законодательство, действующий договор).
Если хранение основано на законе или договоре — направить субъекту мотивированный отказ с указанием правовой нормы.
Если основание только согласие — прекратить обработку и уничтожить данные, составив акт.
Сообщить субъекту о выполнении его требования или обоснованном отказе.

Обоснование по законодательству

• Ст. 5, ч. 7 ФЗ-152 — хранение ПДн допускается не дольше, чем того требуют цели обработки.
• Ст. 21, ч. 1 ФЗ-152 — оператор обязан уничтожить ПДн при достижении целей обработки или отзыве согласия, если иное не предусмотрено законом.
• Ст. 14 ФЗ-152 — субъект имеет право требовать уничтожения своих данных, если они обрабатываются незаконно или утратили актуальность.
• ФЗ № 125-ФЗ «Об архивном деле» и Приказ Минкультуры № 558 — закрепляют сроки обязательного хранения документов (например, кадровых, бухгалтерских).
• Ст. 13.11 КоАП РФ — нарушение требований обработки и уничтожения ПДн влечёт штраф.

Практика и позиция Роскомнадзора

Роскомнадзор в своих письмах подчёркивает: требование субъекта об уничтожении данных не должно нарушать обязательные нормы законодательства. Так, кадровые документы нельзя удалить по заявлению сотрудника, поскольку они подлежат архивному хранению десятки лет.

Вместе с тем, в случаях, когда данные обрабатываются только на основании согласия (например, рассылка акций или хранение резюме кандидатов), оператор обязан прекратить обработку по первому требованию субъекта. В проверках РКН часто фиксировались штрафы именно за продолжение обработки после отзыва согласия.

Что важно учитывать компаниям

Речь не всегда идёт о полном удалении. Иногда достаточно ограничить использование данных: например, заблокировать их в информационных системах до истечения обязательного срока хранения. Такой подход особенно применим в кадровой и бухгалтерской документации.

Рекомендации и выводы

Если субъект требует удалить данные раньше срока хранения, компания должна:

1. Проверить правовые основания для хранения.
2. Удалить данные, если основание — только согласие.
3. Отказать в удалении с обоснованием, если срок хранения закреплён законом или договором.
4. Вести учёт таких запросов и актов об уничтожении.
5. Включить порядок реагирования в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент по работе с запросами субъектов, подготовить шаблоны ответов и встроить порядок уничтожения ПДн в пакет документов. Это позволит законно обрабатывать обращения и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге