Алексей Ветров
Эксперт по защите данных IC-TECH
Нет, закон не обязывает операторов уведомлять субъектов персональных данных об их уничтожении. Организация обязана уничтожить или обезличить данные после окончания срока хранения или достижения целей обработки, но информировать об этом субъектов не требуется.
Исключение: если субъект сам подал заявление об отзыве согласия или требование об удалении данных. В этом случае оператор обязан ответить в письменной форме и сообщить, что данные уничтожены или объяснить, почему они продолжают храниться (например, по закону о бухгалтерии или трудовому праву).
Исключение: если субъект сам подал заявление об отзыве согласия или требование об удалении данных. В этом случае оператор обязан ответить в письменной форме и сообщить, что данные уничтожены или объяснить, почему они продолжают храниться (например, по закону о бухгалтерии или трудовому праву).
Обоснование по законодательству
- Ст. 5 ФЗ-152, ч. 7 — данные должны быть уничтожены или обезличены после достижения целей обработки.
- Ст. 14 ФЗ-152 — субъект имеет право требовать уничтожения данных, если они обрабатываются незаконно или избыточно; оператор обязан сообщить о результатах рассмотрения такого требования.
- Ст. 21 ФЗ-152 — оператор обязан принимать меры по выполнению требований, но информирование о каждом случае уничтожения законом не установлено.
Практика проверок Роскомнадзора
Гражданин потребовал удалить его данные из клиентской базы. Компания проигнорировала запрос. Проверка подтвердила нарушение: оператор обязан был не только уничтожить данные, но и письменно сообщить субъекту о результатах.
В другой организации уничтожали архивные копии данных по регламенту. Роскомнадзор подтвердил, что уведомлять всех субъектов об этом не нужно.
Важный нюанс
- Без обращения субъекта — уведомлять не требуется.
- По требованию субъекта — уведомление обязательно, и оператор должен подтвердить уничтожение или указать законные основания для хранения.
- Уничтожение всегда должно фиксироваться внутренними актами (акт об уничтожении, запись в журнале).
Рекомендации и выводы
Организация не обязана уведомлять субъектов о плановом уничтожении данных, но:
- При обращении субъекта нужно в письменной форме сообщить о результатах (данные уничтожены или продолжают храниться по закону).
- Всегда документировать факт уничтожения (акт, протокол, запись в журнале).
- Включить порядок уничтожения и взаимодействия с субъектами в комплект документов по 152-ФЗ.
Компания ICTech поможет вашей организации разработать регламент уничтожения ПДн, подготовить формы актов и порядок ответов субъектам, включив всё это в пакет документов по 152-ФЗ.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
