Алексей Ветров
Эксперт по защите данных IC-TECH
Сам отзыв согласия фиксируется заявлением субъекта персональных данных — именно оно является юридическим основанием для прекращения обработки. Отдельный акт об отзыве согласия закон не требует. Однако на практике многие организации оформляют внутренний акт или служебную записку, чтобы зафиксировать действия ответственного за ПДн после получения отзыва. Это помогает подтвердить, что оператор выполнил требования закона и прекратил обработку.
Обоснование по законодательству
- ФЗ-152, ст. 9, ч. 2 — субъект имеет право отозвать согласие в любой момент.
- ФЗ-152, ст. 21 — оператор обязан прекратить обработку персональных данных при отзыве согласия, если отсутствуют иные законные основания для хранения.
- ФЗ-152, ст. 18.1 — оператор обязан утверждать внутренние документы, определяющие порядок обработки и меры при отзыве согласия.
Практика и рекомендации Роскомнадзора
Роскомнадзор не требует акт об отзыве как обязательный документ, но рекомендует фиксировать не только факт поступления заявления, но и дальнейшие шаги оператора: блокировку, уничтожение или сохранение данных на иных законных основаниях. В ряде проверок компании, которые вели акты о прекращении обработки, избежали претензий, так как могли показать последовательность действий.
Что лучше сделать компании
- Хранить оригиналы заявлений субъектов об отзыве согласия.
- Вести журнал регистрации отзывов, где фиксируются дата, инициатор и решение по данным.
- При необходимости оформлять акт о прекращении обработки ПДн, чтобы показать, что компания выполнила свои обязанности (особенно актуально при работе с чувствительными данными).
Вывод
Обязательным является только заявление субъекта об отзыве согласия. Акт об отзыве — не требование закона, но это удобный внутренний инструмент контроля и доказательство для проверок Роскомнадзора.
Компания IC-TECH поможет Вам разработать полный пакет документов для соблюдения ФЗ-152, включая акты, приказы и формы согласий.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
