Оба документа вступят в силу с 1 марта 2023 года, а мы расскажем как сейчас стереть информацию о клиенте и насколько это возможно.
Не можешь уничтожить – заблокируй
При удалении персональных данных оператор, то есть организация, которая хранит и использует эту информацию, должна составить акт – в электронной или бумажной форме, говорится в приказе Роскомнадзора.
В акте об уничтожении данных нужно указать ответственное лицо, ФИО тех, чьи данные удаляют, перечень уничтоженных сведений, способ и причину уничтожения данных. Документ положено хранить три года, при этом электронные и бумажные акты имеют одинаковую юридическую силу.
Право на компенсацию
Вред, который может нанести владельцу персональных данных их неправильная обработка или утечка, Роскомнадзор разделил на высокий, средний и низкий.
Выше всего вред от утечки биометрических данных и данных детей, а также если информация хранилась за рубежом или за ее обработку отвечал иностранец. Средним считается вред, если данные обрабатывали в дополнительных целях, отличных от первоначально заявленных. А если сведения о человеке собрали из общедоступных источников или если с данными работал внештатный сотрудник компании, то вред считается низким.
Оценка вреда понадобится, если человек решит отстаивать свои права в суде и докажет, что его данные обрабатывали неправильно.
Правда, рассчитывать он сможет разве что на компенсацию морального вреда – возмещение конкретно за утечку в законе не предусмотрено. Степень вреда важна и при назначении штрафа контролирующими органами.
Если данные не отзываются
С прошлого года действует закон, по которому любой человек может отозвать свои персональные данные, где бы они ни хранились (за исключением исполнения госорганами полномочий).
Если речь идет о данных клиентов банка, то информация должна храниться минимум пять лет с момента истечения договора.
На практике, если клиент придет в офис компании и потребует от нее уничтожить сведения о себе в базах, ему, скорее всего, предложат написать заявление об отзыве согласия на обработку персональных данных. И это в лучшем случае. Что будет происходить по этому заявлению дальше, человеку будет неведомо, но скорее всего данные уничтожены не будут.
В Минцифры прорабатывают идею создать реестр согласий на обработку персональных данных, который бы был привязан к порталу госуслуг. Тогда аннулировать любое согласие можно было бы, просто зайдя в свой профиль. Идея хорошая, но для ее реализации нужно создать инфраструктуру – и не только техническую, но и правовую.
Комментарии
1Глава 23 НК РФ обязывает организации и ИП хранить в течение 5 лет данные документов: для исчисления и уплаты налогов; бухгалтерского и налогового учёта; подтверждающие получение доходов и осуществление расходов.
????