Как субъект может потребовать удаления своих персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Субъект имеет право требовать удаления (уничтожения) своих персональных данных, если оператор обрабатывает их незаконно, избыточно либо по согласию, которое субъект решил отозвать. Это одно из ключевых прав, закреплённых в ФЗ-152.

Порядок действий субъекта:

1. Составить письменное заявление с требованием удалить персональные данные.
2. Указать, какие именно данные нужно удалить и на каком основании (например, отзыв согласия или отсутствие законных оснований для обработки).
3. Направить заявление оператору лично, почтой или в электронной форме (с подтверждением личности).

Обязанности оператора:

• рассмотреть заявление в течение 30 дней;
• проверить наличие законных оснований для обработки;
• если таких оснований нет — уничтожить данные и уведомить субъекта;
• если данные должны храниться по закону (например, кадровые или бухгалтерские документы), оператор обязан объяснить, почему они не могут быть удалены.

Обоснование по законодательству

• Ст. 14 ФЗ-152 — субъект вправе требовать уничтожения данных, если они обрабатываются незаконно или избыточно.
• Ст. 9 ФЗ-152, ч. 5 — субъект может отозвать согласие на обработку, после чего данные подлежат уничтожению (если нет других оснований для хранения).
• Ст. 5 ФЗ-152, ч. 7 — данные должны храниться не дольше, чем того требуют цели обработки.
• Ст. 21 ФЗ-152 — оператор обязан обеспечить соблюдение прав субъектов.

Практика проверок Роскомнадзора

Клиент интернет-магазина потребовал удалить данные из маркетинговой базы. Компания отказала. Роскомнадзор назначил штраф: согласие было отозвано, и данные подлежали уничтожению.

Работник потребовал уничтожить свои кадровые документы после увольнения. Роскомнадзор подтвердил правомерный отказ работодателя: документы подлежат хранению по закону до 75 лет.

Важный нюанс

Отзыв согласия или требование об удалении не всегда означает, что данные будут уничтожены. Если существуют обязательные требования по хранению (трудовые, налоговые, бухгалтерские документы), организация продолжает их хранить.

Уничтожение данных должно быть зафиксировано документально (акт об уничтожении).

Рекомендации и выводы

Чтобы требование субъекта об удалении ПДн было исполнено корректно, компании необходимо:

1. Принять заявление и зарегистрировать его.
2. Проверить основания хранения: если только по согласию — уничтожить, если по закону — дать мотивированный отказ.
3. Оформить акт об уничтожении данных.
4. Уведомить субъекта о результатах.
5. Включить порядок удаления данных в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации подготовить регламент по работе с запросами субъектов, формы заявлений и акты об уничтожении. Это обеспечит соблюдение требований ФЗ-152 и исключит претензии Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге