Вымарывание персональных данных – это процедура удаления информации, позволяющей прямо или косвенно идентифицировать физическое лицо, из документов, хранящихся у операторов. Эта мера применяется в рамках исполнения требований законодательства о защите персональных данных, в том числе статьи 17 Федерального закона № 152-ФЗ «О персональных данных».
Обязанность по вымарыванию возникает в случаях, когда достигнута цель обработки данных, истек срок хранения, либо субъект данных отозвал согласие. Удаление осуществляется безвозвратно и должно исключать возможность восстановления информации. Недопустимо оставлять скрытые копии или неочевидные следы в цифровых системах хранения.
Операторы обязаны вести учет процедур вымарывания с оформлением акта, подтверждающего факт удаления. При этом важно учитывать положения внутренних политик по защите данных, технические регламенты ИТ-инфраструктуры и указания регуляторов, включая Роскомнадзор. Нарушение порядка может повлечь штрафы в соответствии с КоАП РФ (например, статья 13.11).
Рекомендуется заранее внедрять автоматизированные механизмы контроля жизненного цикла персональных данных, включая сроки хранения и триггеры на удаление. Особое внимание следует уделять обезличиванию в случае, если данные планируется сохранить для статистических или исследовательских целей – это допускается только при невозможности обратной идентификации субъекта.
Когда и при каких условиях можно требовать вымарывание персональных данных
Право на вымарывание персональных данных закреплено в статье 21 Федерального закона № 152-ФЗ «О персональных данных». Оно реализуется при наличии конкретных правовых оснований, которые должны быть зафиксированы и подтверждены документально.
Первое основание – достижение цели обработки. Если персональные данные более не нужны для тех целей, ради которых они были собраны, оператор обязан прекратить их использование и обеспечить удаление, включая вымарывание в публичных реестрах, на сайтах или в информационных системах.
Второе условие – отзыв согласия субъекта. При подаче письменного заявления о отзыве согласия на обработку, оператор обязан прекратить обработку и вымарать данные, за исключением случаев, когда имеются другие законные основания для их хранения (например, бухгалтерская отчетность).
Третье – неправомерная обработка. Если данные собирались или использовались без законного основания (например, без согласия или вне рамок договора), субъект имеет право требовать немедленного удаления и предоставления подтверждения выполнения требований.
Четвертое основание – истечение сроков хранения. Закон или локальные нормативные акты могут устанавливать определенные периоды, после окончания которых хранение данных становится незаконным. В этом случае вымарывание является обязательным.
Также удаление возможно при удовлетворении требований по результатам рассмотрения жалобы Роскомнадзором или по решению суда. В обоих случаях оператор обязан исполнить предписание в указанный срок и подтвердить факт удаления соответствующей записью в журнале обработки данных.
Запрос о вымарывании подается в письменной форме или через электронные сервисы оператора. Он должен содержать данные заявителя, ссылки на обработанные данные и основание для требования удаления. Оператор обязан ответить в течение 10 рабочих дней с даты получения обращения.
Какие персональные данные подлежат вымарыванию по законодательству
К подлежащим вымарыванию относятся данные, утратившие правовое значение для целей обработки. Примеры: паспортные данные бывших сотрудников после истечения трехлетнего срока хранения трудовых документов; сведения о клиентах, с которыми завершены договорные отношения и отсутствуют налоговые или иные обязательства по хранению информации.
Особое внимание уделяется вымарыванию биометрических данных, если отсутствует согласие субъекта на дальнейшую обработку или прекращены условия, при которых такое согласие действовало. Аналогичным образом удалению подлежат данные, собранные с превышением заявленных целей обработки, в том числе адреса электронной почты, номера телефонов и сведения о местоположении.
Оператор обязан удалить или обезличить персональные данные по первому требованию субъекта, если не может обосновать законность и актуальность их дальнейшего использования. Отказ возможен только при наличии обязательств по хранению, установленных, например, трудовым, налоговым или уголовно-процессуальным законодательством.
Запрос на вымарывание должен быть оформлен письменно или через электронные средства, позволяющие идентифицировать заявителя. Оператор обязан предоставить письменный ответ в течение 30 дней с момента получения обращения, в том числе указать причины отказа, если вымарывание невозможно.
Порядок подачи запроса на вымарывание персональных данных
Запрос на вымарывание персональных данных подается субъектом персональных данных в адрес оператора, обрабатывающего эти данные. Закон не устанавливает строгую форму обращения, однако рекомендуется использовать письменный формат – на бумаге или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
В обращении необходимо указать: полные ФИО, реквизиты документа, удостоверяющего личность, суть требования (удаление конкретных персональных данных), а также обоснование – например, утрата цели обработки или отсутствие законных оснований для дальнейшего хранения. Желательно сослаться на соответствующие нормы закона, например, ч. 2 ст. 5, ст. 6 и ст. 21 Федерального закона № 152-ФЗ.
Если запрос подается в бумажной форме, его следует направлять по юридическому адресу организации заказным письмом с уведомлением о вручении. При отправке электронного обращения необходимо удостовериться, что оператор принимает такие обращения и указывает соответствующий адрес в своей политике конфиденциальности.
Оператор обязан рассмотреть поступивший запрос в срок, не превышающий 30 календарных дней. В случае отказа в вымарывании данных организация обязана предоставить мотивированный ответ с указанием законных оснований, по которым продолжение обработки допустимо. Отказ можно обжаловать в Роскомнадзоре или в судебном порядке.
Сроки рассмотрения запроса и действия оператора
После получения запроса субъекта персональных данных на вымарывание, оператор обязан подтвердить его получение в течение 10 рабочих дней. Этот срок установлен частью 3 статьи 21 Федерального закона № 152-ФЗ «О персональных данных».
В течение указанных 10 рабочих дней оператор должен проверить обоснованность запроса. Если данные действительно подлежат удалению, оператор обязан прекратить обработку и уничтожить персональные данные либо обеспечить их обезличивание, если это предусмотрено нормативными актами или условиями договора.
В случае, если оператор считает, что удаление данных невозможно по основаниям, предусмотренным законом (например, при наличии обязательств по хранению информации в соответствии с налоговым, архивным или иным законодательством), он обязан предоставить мотивированный отказ в письменной форме в тот же 10-дневный срок. Отказ должен содержать конкретные ссылки на положения закона, препятствующие выполнению запроса.
Если вымарывание данных осуществляется, оператор должен уведомить об этом заявителя также в течение 10 рабочих дней с момента получения запроса. В уведомлении указывается факт удаления или обезличивания данных и дата исполнения действия.
Если оператор допустил нарушение сроков или не ответил на запрос, субъект персональных данных вправе обратиться в Роскомнадзор с жалобой. Надзорный орган может инициировать проверку и в случае выявления нарушений применить административные меры.
Рекомендуется сохранять копии всех поданных запросов, уведомлений и ответов оператора для возможного обращения в надзорные органы или суд.
Что делать, если оператор отказал в вымарывании данных
Если оператор персональных данных отказал в удовлетворении запроса на вымарывание, необходимо запросить у него письменное обоснование отказа. Согласно статье 21 Федерального закона № 152-ФЗ, оператор обязан предоставить мотивированный ответ не позднее чем через 10 рабочих дней с момента получения запроса. Ответ должен содержать конкретные ссылки на нормы закона, на основании которых данные не подлежат удалению.
Далее следует оценить правомерность отказа. Например, отказ может быть законным, если данные необходимы оператору для исполнения договора с субъектом, для выполнения обязательств по закону или в целях статистики и архивного хранения с обезличиванием.
Если отказ не соответствует закону, следующая мера – подача жалобы в Роскомнадзор. В жалобе необходимо указать: дату и содержание первоначального запроса, ответ оператора, а также доводы, подтверждающие незаконность отказа. Обращение можно направить через электронную приёмную или в бумажном виде. К жалобе стоит приложить копии переписки с оператором.
Также возможно обратиться в суд с иском о защите прав субъекта персональных данных. В иске следует требовать обязать оператора удалить данные и компенсировать моральный вред при наличии оснований. При подготовке иска важно сослаться на конкретные статьи закона и приложить доказательства нарушения.
До подачи иска в суд рекомендуется направить досудебную претензию оператору, чтобы продемонстрировать добросовестность и соблюдение процедуры. Это также может способствовать разрешению спора без суда.
Ответственность за отказ или нарушение порядка вымарывания
Отказ оператора в вымарывании персональных данных либо нарушение установленного законом порядка влечёт административную, а в ряде случаев и уголовную ответственность.
В России ответственность закреплена в следующих нормативных актах:
- Статья 13.11 КоАП РФ – наложение штрафов на юридических лиц от 30 000 до 50 000 рублей за нарушение требований по обработке персональных данных, включая отказ в удалении.
- Статья 137 УК РФ – ответственность за незаконное собирание или распространение личных данных, если действия повлекли значительный вред.
Кроме того, пострадавшее лицо имеет право подать иск в суд с требованием:
- Признать отказ или нарушение незаконным.
- Обязать оператора выполнить вымарывание персональных данных.
- Возместить моральный и материальный ущерб.
Рекомендуется:
- Сохранять все копии запросов на вымарывание и ответов оператора.
- Обращаться в Роскомнадзор с жалобой при отказе или затягивании процедуры.
- При систематических нарушениях инициировать проверку и привлекать к ответственности.
Невыполнение требований по вымарыванию данных также может привести к блокировке доступа к сайтам или сервисам, если это предусмотрено законом или решением регулятора.
Вопрос-ответ:
Какие конкретные категории персональных данных можно требовать удалить по закону?
Удалению подлежат данные, обработка которых не соответствует установленным законодательством целям или срокам, а также данные, полученные без согласия субъекта, либо устаревшие, неточные или избыточные. Это могут быть как контактные данные, так и сведения, касающиеся здоровья, финансового состояния, места проживания и прочие, которые более не нужны или нарушают права владельца.
Как правильно оформить запрос на вымарывание персональных данных у оператора?
Запрос должен содержать чёткое указание на желание удалить персональные данные, идентифицировать заявителя (например, через паспортные данные или другой способ подтверждения личности), а также перечислить данные или категории информации, подлежащие удалению. Документ можно направить в письменной или электронной форме, если оператор предусмотрел такую возможность. Важно соблюдать требования, прописанные в законе или внутреннем регламенте оператора.
Каков порядок действий оператора после получения запроса на вымарывание данных?
Оператор обязан в течение установленного законом срока проверить запрос, подтвердить личность заявителя и определить, есть ли законные основания для отказа в удалении. Если оснований нет, он обязан удалить запрошенные данные и уведомить об этом заявителя. При отказе оператор должен предоставить мотивированный ответ с указанием причин. При нарушении порядка предусмотрена административная ответственность.
Что делать, если оператор отказал в вымарывании персональных данных без объяснения причин?
В такой ситуации можно направить повторный письменный запрос с требованием обоснования отказа. Если ответ не последует или отказ останется необоснованным, следует обратиться в надзорный орган по защите данных или в суд для защиты своих прав. Закон предусматривает возможность штрафов и других мер воздействия на оператора за необоснованный отказ.
Можно ли требовать удаления персональных данных, если они использовались для выполнения контракта?
Если данные необходимы для исполнения договора, их удаление до окончания обязательств по нему не допускается. После выполнения всех условий договора и если другие основания для хранения отсутствуют, субъект может потребовать удаления данных. Важно учитывать, что некоторые нормы закона предусматривают обязательное хранение информации в течение определённого времени для отчетности или контроля.
Загрузка...
