При регистрации на сайте банка или в приложении маркетплейса приходится указывать имя, телефон и иные личные данные. Будет ли организация действительно их охранять, как предписывает закон, неизвестно.
В каких случаях закон обязует уничтожать личную информацию, как направить заявку об удалении персональных данных по
Содержание статьи
Всё содержаниеЧто значит удаление персональных данных
Персональные данные (ПДн) — любые сведения, по которым можно идентифицировать человека. В первую очередь к ПДн относятся:
- Фамилии, имена и отчества.
- Паспортные данные.
- Адреса регистрации и проживания.
- Адреса электронной почты.
- Номера мобильных телефонов.
ПДн можно получить только с разрешения человека — субъекта персональных данных. Использование сведений без его согласия — нарушение.
Тот, кто использует ПДн граждан, называется оператором. Например, оператором персональных данных является маркетплейс, служба доставки или такси, фитнес-клуб, банк, управляющая компания.
Уничтожение персональных данных означает их полное удаление из системы оператора.
Помимо удаления, ПДн можно заблокировать и обезличить, а также отозвать согласие на их использование.
| Действие | Что означает | Закон |
| Блокировка ПДн | Временное прекращение обработки данных | ст. 21 |
| Обезличивание | Альтернатива удалению ПДн — процедура, в результате которой идентификация субъекта персональных данных становится невозможной | |
| Отзыв согласия на использование ПДн | Оператор теряет право на дальнейшую обработку персональных данных |
ст. 9 |
Права граждан на удаление персональных данных по ФЗ-152
Правила обработки персональных данных граждан установлены Федеральным законом №
- Обычно такой возможностью пользуются, если сведения обрабатываются незаконно или с нарушением положений 152-ФЗ.
- Другой частый случай — после достижения цели использования оператором персональных данных субъекта, когда иных оснований для хранения ПДн нет. Например, если человек перестал быть клиентом банка и не желает оставлять сведения о себе в базе.
Если права гражданина нарушены, он может обратиться в Роскомнадзор (РКН). Этот федеральный орган рассматривает жалобы по 152-ФЗ. Перед обращением в Роскомнадзор необходимо убедиться, что случай не относится к числу исключений.
Что касается таких исключений: оператор, обрабатывающий ПДн, вправе отказаться уничтожать сведения, если они нужны для исполнения договора, вердикта суда или акта, вынесенного должностными лицами, а также в иных ситуациях.
В каких случаях ПДн должны быть уничтожены
ПДн должны уничтожаться, если:
- Цели использования персональных данных реализованы — например, была полностью оказана услуга, для которой собирались и обрабатывались ПДн.
- Субъект отозвал согласие на использование персональных данных.
- Оператору стало известно, что ПДн обрабатываются с нарушением норм Федерального закона № 152-ФЗ. Владелец персональных данных может направить в адрес компании заявление с фактами, которые доказывают незаконный характер обработки личной информации. Обычно в таком случае использование ПДн временно прекращается, то есть блокируется на время проверки. Если нарушения будут подтверждены, оператору придется удалить данные.
- Удаления требует Роскомнадзор. Предписание об уничтожении ПДн будет зафиксировано в акте РКН. После исполнения запроса оператор обязан отчитаться перед федеральным органом.
Какая информация подлежит уничтожению
ПДн, подлежащие уничтожению, можно разделить на несколько категорий:
-
Все сведения, на использование которых предоставлялось разрешение. Уничтожаются по заявке, поданной физическими лицами, или после прекращения обработки персональных данных субъекта.
-
Информация, которая обрабатывается с нарушением норм ФЗ-152. От операторов требуется удалить такие ПДн при выявлении ошибки.
-
Фотографии или видеозаписи, позволяющие идентифицировать человека. Удаляются при отсутствии разрешения на их использование, а также если субъектом отозвано согласие для обработки данных.
-
Сведения, размещенные в интернете без согласия их владельца.
-
Архивы по трудовому, налоговому, пенсионному законодательству. Имеют долгий срок хранения, после истечения которого удаляются.
В некоторых случаях уничтожать ПДн нельзя, даже если этого требует их владелец. Например, банки после прекращения обработки персональных данных клиентов обязаны хранить сведения о нем еще не менее 5 лет.
Такой же срок хранения, но уже для для бухгалтерской отчетности устанавливает Федеральный закон №
Как составить и подать заявление на удаление ПДн
Чтобы отозвать согласие на обработку персональных данных, нужно обратиться напрямую к оператору. Указывать в заявлении причину отзыва необязательно — каждый сам решает, как распоряжаться ПДн.
Отзыв согласия на обработку ПДн можно подать лично на бумаге и желательно в двух экземплярах — для себя и оператора. Попросите сотрудника, принимающего заявление, поставить дату и подпись на вашей копии.
Более удобная альтернатива — отправить документ онлайн, если у оператора есть форма для обращений на сайте или иной способ удаленной связи.
Третий вариант — направить отзыв согласия по почте заказным письмом с уведомлением о вручении по юридическому адресу компании.
Важно убедиться, что оператор получил заявление, потому что с этого момента начнется отсчет срока, предусмотренного законом для удаления ПДн.
В случае обращения с жалобой в Роскомнадзор обязательно укажите, что оператор получил обращение но, например, не отреагировал на него или отказался уничтожать данные.
Как происходит уничтожение данных
Уничтожение ПДн — необратимый процесс, после которого восстановить и использовать сведения уже не получится.
Если они были предоставлены оператору на физическом носителе, то есть в бумажной форме, их могут уничтожить посредством разрезания, сжигания или измельчения в шредере.
Цифровые данные отформатируют, перезапишут или уничтожат вместе с носителем информации. В любом случае это будет означать полное удаление ПДн субъекта.
С целью подтверждения уничтожения персональных данных можно запросить у оператора соответствующий акт, а также выгрузку из журнала регистрации событий, если сведения хранились в электронной форме. Перечень требований к содержанию этих документов установлен Приказом Роскомнадзора № 179.
Акт об уничтожении персональных данных и выгрузка из журнала регистрации хранятся у оператора 3 года. Составление этих документов — обязательное требование с марта 2023 года.
Сроки уничтожения персональных данных
Сроки удаления персональных данных устанавливает статья 21 ФЗ-152. Они отличаются в зависимости от ситуации, но максимальный срок уничтожения — 6 месяцев. Закон разрешает блокировать и хранить ПДн субъекта до полугода, если удалить данные раньше невозможно.
Когда доказана незаконность обработки ПДн, нарушителю дают 3 дня на прекращение обработки данных и 10 дней для удаления информации. Также 10 дней выделяется на уничтожение сведений после обращения их владельца с соответствующим требованием. Срок можно продлить на 5 дней максимум, если заявитель получит мотивированное уведомление с объяснением причины задержки.
Когда целью обработки ПДн служит конкретная и конечная задача, после ее выполнения у оператора будет 30 дней для уничтожения сведений. Такой же срок установлен и при отзыве текущего разрешения субъектом.
Согласно ФЗ-152, сроки уничтожения персональных данных исчисляются в будних днях. Отсчет начинается с момента появления причины для прекращения обработки ПДн.
Что делать, если организация не удаляет данные
Когда оператор нарушает установленные законом сроки уничтожения персональных данных, первый шаг — продублировать заявление оператору. Если не помогло, следует обратиться в Роскомнадзор. Срок ответа на обращение составляет 30 дней.
В случае отказа в удовлетворении жалобы следующие инстанции — прокуратура и суд. Также, если нарушены права по ФЗ-152 или нужна консультация по вопросам правил удаления ПДн, можно обратиться в Центр правовой помощи гражданам в цифровой среде.
Ответственность за нарушение прав на удаление данных
За нарушение требований в области обработки и безопасности хранения персональных данных по ФЗ-152 предусмотрена административная ответственность.
Например, если по запросу субъекта вовремя не удалили неполные, устаревшие или незаконно полученные ПДн, оператору грозит штраф, размер которого зависит от статуса его лица. Закон предусматривает следующие суммы:
-
Для физических лиц — от 2 до 4 тысяч рублей.
-
Должностных лиц — от 8 до 20 тысяч рублей.
-
Индивидуальных предпринимателей — от 20 до 40 тысяч рублей.
-
Юридических лиц — от 50 до 90 тысяч рублей.
При повторном нарушении размер штрафа увеличивается. Нарушение могут переквалифицировать в преступление при наличии признаков уголовно наказуемого деяния. Например, в случае неправомерного получения оператором доступа в информационную систему компьютера, где хранятся чужие ПДн.
![Финансово-правовой альянс](https://fpa.ru/wp-content/themes/fpalaw/assets/img/services/header/popup-new-year-2025-v2.png" "Финансово-правовой альянс")
