Удаление персональных данных по запросу субъекта — обязанность оператора, закреплённая в ФЗ-152. Но одного факта удаления недостаточно: организация должна документально подтвердить, что процедура выполнена корректно и в установленные сроки. Такие документы предъявляются при проверках Роскомнадзора и позволяют доказать исполнение требований закона.
Обоснование по законодательству
- Ст. 5, ч. 7 ФЗ-152 — хранение ПДн допускается не дольше, чем того требуют цели их обработки; при достижении целей данные должны быть уничтожены.
- Ст. 21 ФЗ-152 — оператор обязан прекратить обработку и уничтожить данные по требованию субъекта, если отсутствуют законные основания для их дальнейшей обработки.
- Ст. 19 ФЗ-152 — требует фиксировать организационные меры обеспечения безопасности ПДн.
- Ст. 13.11 КоАП РФ — нарушение порядка хранения и уничтожения ПДн влечёт административную ответственность.
Документы, которые подтверждают удаление
- Заявление (запрос) субъекта ПДн — письменное или электронное обращение с требованием об удалении данных.
- Журнал регистрации обращений субъектов ПДн — фиксирует поступление запроса и дату его исполнения.
- Акт об уничтожении (удалении) ПДн — официальный документ, подтверждающий факт удаления. Включает:
- реквизиты организации;
- перечень удалённых данных или категорий ПДн;
- дату и способ уничтожения (удаление из базы, уничтожение бумажных носителей и др.);
- подписи членов комиссии (если создаётся комиссия).
- Протокол выполнения технических действий — отчёт системного администратора об удалении данных из информационных систем (может быть приложением к акту).
- Ответ субъекту — уведомление о том, что его персональные данные уничтожены в соответствии с законом.
Практика проверок Роскомнадзора
Роскомнадзор часто проверяет наличие актов об уничтожении и журналов обращений. В одном из кейсов оператор сообщил о том, что данные субъекта были удалены, но не смог предъявить подтверждающие документы. В результате нарушение было квалифицировано как несоблюдение ст. 21 ФЗ-152. Инспекторы отдельно отмечают, что хранение актов об уничтожении должно вестись системно, а не разово.
Рекомендации и выводы
Чтобы доказать факт удаления персональных данных по запросу субъекта, организации необходимо:
- зарегистрировать запрос;
- оформить акт об уничтожении ПДн;
- при необходимости составить технический протокол;
- уведомить субъекта в письменной форме;
- хранить документы, подтверждающие процесс удаления.
Компания ICTech подготовит для вашей организации шаблоны актов, журналов и уведомлений, а также внедрит порядок документального подтверждения удаления ПДн. Это позволит выполнять требования закона и успешно пройти проверки Роскомнадзора.
