Алексей Ветров
Эксперт по защите данных IC-TECH
Отзыв согласия на обработку персональных данных должен фиксироваться в письменной или электронной форме так, чтобы оператор мог доказать факт получения и исполнения требования субъекта. Это обязательная процедура: если отзыв не будет правильно задокументирован, при проверке Роскомнадзор сочтёт, что организация продолжает обработку данных незаконно.
Способы документирования отзыва согласия:
- письменное заявление субъекта на бумаге с подписью;
- электронное обращение через сайт компании или личный кабинет (с фиксацией в логах);
- электронный документ, подписанный усиленной квалифицированной ЭП;
- заявление, полученное по e-mail, если оператор может идентифицировать отправителя;
- регистрация обращения в журнале входящей корреспонденции или системе документооборота.
Обоснование по законодательству
- Ст. 9 ФЗ-152, ч. 2 — субъект ПДн вправе отозвать согласие в любой момент.
- Ст. 9 ФЗ-152, ч. 3 — отзыв осуществляется в письменной форме.
- Ст. 21 ФЗ-152 — оператор обязан прекратить обработку и уничтожить ПДн после получения отзыва, если иное не предусмотрено законом, и уведомить субъекта.
Практика и позиция Роскомнадзора
Роскомнадзор при проверках требует предъявлять доказательства получения отзыва и действий по его исполнению.
Пример: клиент направил письменный отзыв согласия, но компания не зарегистрировала заявление и не уничтожила данные. Проверка РКН выявила нарушение.
Другой случай: организация ввела журнал регистрации отзывов, оформляла акты об уничтожении и уведомляла субъектов письменно. Такой порядок признан корректным.
Что важно учитывать организациям
- Устный отзыв не считается действительным.
- Отзыв нужно регистрировать в системе документооборота или журнале входящей корреспонденции.
- Без подтверждения документального факта отзыва организация рискует получить штраф.
Рекомендации и выводы
Чтобы правильно документировать отзыв согласия, организации необходимо:
- Разработать форму заявления об отзыве согласия.
- Организовать регистрацию всех отзывов в специальном журнале или системе.
- Оформлять акты об уничтожении ПДн и хранить их.
- Уведомлять субъектов о прекращении обработки.
- Закрепить эти процедуры в комплекте документов по ФЗ-152.
Компания ICTech поможет внедрить порядок документирования отзывов согласий, разработает формы заявлений и актов, а также подготовит полный пакет документов по ФЗ-152 для защиты бизнеса при проверках.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
