Можно ли отказать субъекту в уничтожении данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, оператор может отказать субъекту в уничтожении его персональных данных, но только в случаях, прямо предусмотренных законом. Если ПДн должны храниться в силу законодательных требований или договора, оператор не имеет права их уничтожить по требованию субъекта. В остальных случаях данные обязаны быть удалены или обезличены.

Когда компания вправе отказать в уничтожении:

- если данные обрабатываются для целей, предусмотренных законом (например, бухгалтерский или налоговый учёт);
- если срок хранения установлен федеральным законом или подзаконным актом (например, кадровые документы хранятся до 50 или 75 лет в соответствии с архивным законодательством);
- если обработка необходима для исполнения договора, стороной которого является субъект, и договор ещё действует;
- если данные используются в судебном или исполнительном производстве.

Когда отказ будет незаконным:

- если данные хранятся «на всякий случай» без цели;
- если субъект отозвал согласие, и у оператора нет другого правового основания для обработки;
- если данные устарели и не соответствуют целям обработки.

Обоснование по законодательству

• Ст. 5, ч. 7 ФЗ-152 — хранение ПДн допускается только до достижения целей обработки. По их достижении данные подлежат уничтожению или обезличиванию.
• Ст. 21, ч. 1 ФЗ-152 — оператор обязан уничтожить ПДн при достижении целей, а также в случае отзыва согласия, если иное не предусмотрено федеральным законом.
• Ст. 14, ч. 1 ФЗ-152 — субъект имеет право требовать уничтожения данных, если они обрабатываются незаконно.
• ФЗ № 125-ФЗ «Об архивном деле» и Приказ Минкультуры № 558 — закрепляют сроки хранения документов, в том числе с ПДн.
• Ст. 13.11 КоАП РФ — нарушение требований к уничтожению ПДн влечёт штраф.

Позиция Роскомнадзора и примеры

Роскомнадзор разъясняет, что уничтожение ПДн по требованию субъекта не может нарушать другие федеральные законы. В одном из кейсов организация отказала сотруднику в уничтожении его трудовых документов, сославшись на нормы архивного законодательства. РКН признал отказ законным.

В другом случае компания хранила копии паспортов клиентов после завершения договоров, хотя сроки хранения не были предусмотрены законом. После жалобы клиента Роскомнадзор обязал уничтожить документы, так как обработка утратила законные основания.

Важный момент для операторов

Отказ в уничтожении нужно не только обосновать, но и зафиксировать документально. Организация должна направить субъекту мотивированный ответ с указанием статьи закона, по которой хранение продолжается. Игнорирование запроса будет считаться нарушением.

Рекомендации и выводы

Да, оператор может отказать в уничтожении ПДн, если обязан хранить их по закону или договору. Чтобы действовать корректно, компании нужно:

1. Проверять правовые основания хранения данных.
2. Устанавливать и фиксировать сроки хранения в локальных актах.
3. Давать субъектам мотивированный письменный ответ при отказе.
4. Включить процедуру рассмотрения запросов на уничтожение данных в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать порядок реагирования на запросы субъектов, определить правовые основания хранения ПДн и подготовить комплект документов по ФЗ-152. Это обеспечит законность действий и защитит от претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге