Когда и как надо удалять персональные данные клиента

Удалить персональные данные человека организация обязана по его первому требованию, составив об этом акт по утвержденной Роскомнадзором форме. Это же ведомство накануне утвердило порядок оценки вреда при утечках персональных данных, чтобы людям было проще отстаивать свои права.

Иллюстрация: Andrew Moca/unsplash

Оба документа вступят в силу с 1 марта 2023 года, а мы расскажем как сейчас стереть информацию о клиенте и насколько это возможно.

Не можешь уничтожить – заблокируй

При удалении персональных данных оператор, то есть организация, которая хранит и использует эту информацию, должна составить акт – в электронной или бумажной форме, говорится в приказе Роскомнадзора.

В акте об уничтожении данных нужно указать ответственное лицо, ФИО тех, чьи данные удаляют, перечень уничтоженных сведений, способ и причину уничтожения данных. Документ положено хранить три года, при этом электронные и бумажные акты имеют одинаковую юридическую силу.

Право на компенсацию

Вред, который может нанести владельцу персональных данных их неправильная обработка или утечка, Роскомнадзор разделил на высокий, средний и низкий.

Выше всего вред от утечки биометрических данных и данных детей, а также если информация хранилась за рубежом или за ее обработку отвечал иностранец. Средним считается вред, если данные обрабатывали в дополнительных целях, отличных от первоначально заявленных. А если сведения о человеке собрали из общедоступных источников или если с данными работал внештатный сотрудник компании, то вред считается низким.

Оценка вреда понадобится, если человек решит отстаивать свои права в суде и докажет, что его данные обрабатывали неправильно.

Правда, рассчитывать он сможет разве что на компенсацию морального вреда – возмещение конкретно за утечку в законе не предусмотрено. Степень вреда важна и при назначении штрафа контролирующими органами.

Если данные не отзываются

С прошлого года действует закон, по которому любой человек может отозвать свои персональные данные, где бы они ни хранились (за исключением исполнения госорганами полномочий).

Если речь идет о данных клиентов банка, то информация должна храниться минимум пять лет с момента истечения договора.

На практике, если клиент придет в офис компании и потребует от нее уничтожить сведения о себе в базах, ему, скорее всего, предложат написать заявление об отзыве согласия на обработку персональных данных. И это в лучшем случае. Что будет происходить по этому заявлению дальше, человеку будет неведомо, но скорее всего данные уничтожены не будут.

В Минцифры прорабатывают идею создать реестр согласий на обработку персональных данных, который бы был привязан к порталу госуслуг. Тогда аннулировать любое согласие можно было бы, просто зайдя в свой профиль. Идея хорошая, но для ее реализации нужно создать инфраструктуру – и не только техническую, но и правовую.