Одним из аспектов деятельности операторов персональных данных становится своевременное удаление информации. В ряде случаев именно эта операция становится средством защиты прав субъекта персональных данных.
Статья 21 федерального закона «О персональных данных» закрепляет обязанности оператора по удалению персональных данных. Такая необходимость возникает в случаях неправомерной обработки данных. Под обработкой законодательство подразумевает любые действия с информацией, в том числе размещение, распространение, копирование, предоставление доступа неуполномоченным третьим лицам.
Получив запрос об удалении данных, оператор обязан отреагировать на требования обладателя и незамедлительно блокировать доступ к записи данных. Если обработка производится не самим оператором, а третьим лицом по поручению оператора, в обязанности оператора входит предпринять шаги по обеспечению блокировки.
Срок действия блокировки, произведенной с момента получения обращения, может быть постоянным или временным, например, на период проведения проверки. Запрос на блокировку вправе отправить сам субъект персональных данных или лицо, представляющего интересы по поручению субъекта.
Если при проверке запроса выяснилось, что данные неточны, неверная или неточная запись блокируется. Далее в течение семи дней после подтверждения от субъекта персональных данных действительные сведения вносятся в информационную систему персональных данных, и доступ к исправленной записи открывается.
Если речь идет о незаконной обработке персональных данных, у оператора есть всего три дня, чтобы самому прекратить неправомерные действия или обеспечить прекращение операций третьих лиц с данными. В случае, когда оператору не под силу обеспечить прекращение неправомерного распространения или копирования данных, закон отводит 10 дней на уничтожение записей. О факте удаления данных оператор обязан уведомить субъекта и регулятора – Роскомнадзор.
Вторым примером обязательного уничтожения данных служит ситуация, когда все операции с данными прекращаются ввиду отсутствия необходимости в обработке. При этом удаление персональных данных осуществляется в течение 10 дней с момента, когда обработка потеряла актуальность. Закон позволяет установить и другой срок удаления информации, с которым будет согласен субъект. Продлить срок допускается по договору, если субъект персональных данных выступает стороной в договорных отношениях. А в случае договоров страхования срок могут продлить выгодоприобретатель или поручитель.
В третьем случае основанием для обязательного удаления персональной информации становится отзыв согласия на обработку. По закону, в этой ситуации данные удаляются в течение 30 дней, за исключением ситуаций, когда обработка необходима по закону или предусмотрена договором.
Пользователь Сети, который внезапно обнаружил сведения о себе на страницах различных сайтов, не всегда знает, какие права предоставляет закон, чтобы добиться уничтожения персональных данных.
Пользователю не всегда удается обжаловать отказ оператора в судебном порядке. Часто операторы ссылаются на внутренние инструкции или правила безопасности, которые исключают возможность полного удаления данных, и предлагают только ограничить доступ к записи. Подобный отказ неправомерен. При таком развитии события пользователь вправе:
На практике операторы быстро реагируют на предписания регулятора и стирают информацию без возможности восстановить.
Данные нельзя стереть полностью в единичных случаях, которые предусмотрены международными договорами Российской Федерации или конкретным законом. При этом предполагается, что сохранение данных помогает оператору выполнять обязанности, возложенные законодательством. Такие ситуации бывают крайне редко, и аргументация операторов может быть разнообразной. Например, они ссылаются на сроки обязательного хранения бухгалтерской документации. Однако сроки устанавливаются для бумажных документов, и хранить данные в электронном виде в течение всего срока вовсе не требуется.
Если оператор отказывается удалить персональные данные, и это рискует причинить ущерб субъектам данным, суд может взыскать моральный ущерб, причиненный неправомерными действиями оператора.
Заявление в суд о взыскании морального вреда необходимо подавать и тогда, когда данные удалены, и тогда, когда персональные сведения еще продолжают циркулировать в интернет-пространстве. Физически сервис может не находиться на территории России, но ущерб причиняет конкретное российское юридическое лицо, и его активы смогут стать средством для выплаты компенсации за причиненный ущерб. Даже сам факт попадания адреса электронной почты в спам-рассылку сможет стать основанием для успешного судебного разбирательства.
Законодательство предоставляет субъекту ряд прав по защите персональных данных. Знание прав позволит добиться удаления информации, которая может нанести ущерб пользователю, и компенсировать понесенный моральный вред.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
