В каких случаях оператор может отказать в удалении персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Закон № 152-ФЗ закрепляет право субъекта требовать уничтожения его персональных данных, однако это право не является абсолютным. В ряде случаев оператор обязан сохранить данные, даже если субъект требует их удалить.

Случаи, когда оператор может отказать в удалении ПДн:

• Обязанность хранения установлена законом. Например, данные работников должны храниться в кадровых документах, бухгалтерских и налоговых регистрах определённое количество лет (Трудовой кодекс РФ, Налоговый кодекс РФ).
• Обработка необходима для исполнения договора. Если договор ещё действует, уничтожить данные до его завершения оператор не вправе.
• Обработка обязательна для исполнения судебного акта или решения государственного органа.
• Данные подлежат хранению в архивах. Для некоторых категорий предусмотрено обязательное архивное хранение (например, личные дела сотрудников в государственных организациях).
• Есть необходимость для защиты прав и законных интересов оператора. Например, для урегулирования споров или защиты от претензий в суде.

В этих случаях оператор обязан направить субъекту мотивированный отказ, ссылаясь на конкретные правовые нормы.

Обоснование по законодательству

• Ст. 5 ФЗ-152, ч. 5 — данные должны уничтожаться при достижении целей обработки, за исключением случаев, когда срок хранения установлен федеральным законом.
• Ст. 21 ФЗ-152 — оператор обязан уничтожить данные по достижении целей обработки, если иное не предусмотрено федеральным законом.
• Ст. 14 ФЗ-152, ч. 3 — оператор обязан в течение 30 дней либо уничтожить данные, либо предоставить субъекту мотивированный отказ.
• Трудовой кодекс РФ, ст. 62 — устанавливает сроки хранения кадровых документов.
• Налоговый кодекс РФ, ст. 23 — предусматривает хранение бухгалтерских и налоговых документов.

Практика и позиция Роскомнадзора

Роскомнадзор подчёркивает: отказ в удалении должен быть чётко обоснован. Недопустимо ссылаться на «внутренние правила» или «нужды компании».

Пример: сотрудник потребовал уничтожить данные из личного дела после увольнения. Работодатель отказал, сославшись на нормы архивного хранения. Проверка подтвердила правомерность отказа.

В другом случае интернет-магазин отказал клиенту в удалении истории заказов, объяснив это «маркетинговыми целями». Роскомнадзор признал отказ незаконным, так как маркетинг не является основанием для хранения ПДн без согласия.

Важный момент для организаций

Отказ в удалении возможен только при наличии прямого требования закона или необходимости исполнения договора. Во всех остальных случаях данные подлежат уничтожению.

Рекомендации и выводы

Да, оператор может отказать в удалении ПДн, но только по объективным причинам, закреплённым в законе. Чтобы действовать правильно:

1. Проверяйте наличие обязательств по хранению данных (трудовых, налоговых, архивных).
2. При отказе всегда готовьте письменное уведомление с указанием нормы закона.
3. Фиксируйте такие случаи в журнале обращений субъектов.
4. Включите порядок отказа в уничтожении ПДн в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации выстроить систему реагирования на запросы субъектов: подготовит шаблоны ответов и полный пакет документов по ФЗ-152, что позволит законно отказывать там, где это действительно предусмотрено.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге