Персональным данным прописали удаление

Чтобы информацию перестали хранить и использовать, об этом нужно хорошо попросить

13.12.2022 09:00

Автор: Дмитрий Литвинов

Персональным данным прописали удаление
  © unsplash.com

Удалить персональные данные человека организация обязана по его первому требованию, составив об этом акт по утвержденной Роскомнадзором форме. Это же ведомство накануне утвердило порядок оценки вреда при утечках персональных данных, чтобы людям было проще отстаивать свои права. Оба документа вступят в силу с 1 марта 2023 года, а «Парламентская газета» узнала, как сейчас можно стереть информацию о себе.

Не можешь уничтожить — заблокируй

При удалении персональных данных оператор, то есть организация, которая хранит и использует эту информацию, должна составить акт — в электронной или бумажной форме, говорится в приказе Роскомнадзора. В акте об уничтожении данных нужно указать ответственное лицо, ФИО тех, чьи данные удаляют, перечень уничтоженных сведений, способ и причину уничтожения данных. Документ положено хранить три года, при этом электронные и бумажные акты имеют одинаковую юридическую силу.

Если речь идет о персональных данных сотрудника, то работодатель должен уничтожить сведения о нем в конкретные сроки: по требованию сотрудника — в течение семи дней, при утечке данных — в течение десяти дней, в остальных случаях — в течение тридцати дней. Если этого не сделать, компания получит штраф по статье 13.11 КоАП. Максимальный размер санкций — 90 тысяч рублей для компаний, 40 тысяч рублей — для ИП, 20 тысяч рублей — для должностных лиц. Если есть причины не уничтожать данные, их все равно необходимо заблокировать, а затем уничтожить в течение полугода.

Право на компенсацию

Вред, который может нанести владельцу персональных данных их неправильная обработка или утечка, Роскомнадзор разделил на высокий, средний и низкий. Выше всего вред от утечки биометрических и данных детей, а также если информация хранилась за рубежом или за ее обработку отвечал иностранец. Средним считается вред, если данные обрабатывали в дополнительных целях, отличных от первоначально заявленных. А если сведения о человеке собрали из общедоступных источников или если с данными работал внештатный сотрудник компании, то вред считается низким.

Оценка вреда понадобится, если человек решит отстаивать свои права в суде и докажет, что его данные обрабатывали неправильно. Правда, рассчитывать он сможет разве что на компенсацию морального вреда — возмещение конкретно за утечку в законе не предусмотрено. Степень вреда важна и при назначении штрафа контролирующими органами.

Читайте также:

• Коммерческим компаниям хотят запретить собирать биометрию • Как запретить использовать свои персональные данные

Если данные не отзываются

С прошлого года действует закон, по которому любой человек может отозвать свои персональные данные, где бы они ни хранились. Исключения составляют случаи, когда данные необходимы для исполнения госорганом своих полномочий либо если сведения о нем раскрыты в соответствии с действующим законодательством. Если речь идет о данных клиентов банка, то информация должна храниться минимум пять лет с момента истечения договора.

На практике, если клиент придет в офис компании и потребует от нее уничтожить сведения о себе в базах, ему скорее всего предложат написать заявление об отзыве согласия на обработку персональных данных. «И это в лучшем случае, — сказала «Парламентской газете» директор по правовым вопросам Фонда развития интернет-инициатив Александра Орехович. — Что будет происходить по этому заявлению дальше, гражданину будет неведомо, но скорее всего данные уничтожены не будут».

Если организация отказывается реализовать право человека на удаление персональных данных, к этому процессу должен подключиться Роскомнадзор, рассказал «Парламентской газете» зампред Комитета Госдумы по информационной политике Антон Горелкин. Именно он был автором законопроекта, предполагающего возможность удаления персональных данных без каких-либо условий — просто по желанию их владельца. Личные данные, по мнению депутата, не должны быть ничьей собственностью, кроме того, кому они принадлежат.

Наши данные — везде

Персональными данными каждый из нас делится регулярно: регистрируясь в новой соцсети или делая покупку в интернет-магазине, бронируя билет на поезд или самолет или беря в прокат электросамокат. А еще — при устройстве на работу, оформлении SIM-карты, беря банковский кредит и так далее. Ни одному человеку не под силу запомнить все места, где он оставили свои данные. В Минцифры прорабатывают идею создать реестр согласий на обработку персональных данных, который бы был привязан к порталу госуслуг. Тогда аннулировать любое согласие можно было бы, просто зайдя в свой профиль. Об этом глава Минцифры Максут Шадаев говорил на совещании главы государства с членами кабмина в августе.

Но проект такого реестра, по информации Антона Горелкина, все еще находится на стадии идеи. «Идея хорошая, но для ее реализации нужно создать инфраструктуру — и не только техническую, но и правовую», — сказал депутат.

Полезным создание реестра посчитали и в Фонде развития интернет-инициатив, но отметили, что развивать проект нужно постепенно, включая в него сначала организации госсектора, а затем частные компании, и то с их согласия. «Крайне важно, чтобы у субъекта персональных данных были реальные механизмы контроля за их оборотом. Пока это скорее серая зона», — заключила Александра Орехович.

Правда за нами