Удаление персональных данных клиента организацией происходит после обращения. Но теперь действия подтверждаются специальным актом, форму которого представил Роскомнадзор. Также было предложено утвердить новый порядок оценки вреда в случае утечки данных.
Оба предложения начнут действовать с марта следующего года, но надо быть готовым и понимать, как правильно удалять информацию о клиенте и насколько возможно полное удаление.
Нельзя уничтожить или удалить – заблокируйте данные
Согласно приказу Роскомнадзора, при удалении данных клиента организация обязана составить акт. Он может быть распечатан и подписан на бумаге или оформлен в электронном виде.
В нем должна присутствовать следующая информация:
Оба варианта, как бумажный, так и электронный наделены равноценной юридической силой. Срок хранения не менее трех лет.
Можно ли потребовать компенсацию, если организация допустила утечку данных
Роскомнадзор предложил разделять ситуацию с утечкой данных по степени риска: высокий, средний, низкий.
К высокой степени риска относится утечка биометрических данных клиента и детей. В эту категорию попадают данные, которые хранились за границей и были доверены иностранцу.
К средней категории относятся ситуации, когда обработка данных преследовала дополнительные цели. Второй и последующие варианты должны отличаться от целей, которые заявлялись первоначально.
К низкой степени риска относится получение данных клиента из открытых источников. Сведения могут быть собраны штатным сотрудником организации.
Оценка вреда может понадобиться при обращении в суд. Но стоит учитывать, что человек может рассчитывать только на компенсацию морального вреда. Возмещение убытков, произошедших по причине утечки данных, законодательством не предусмотрено.
Степень вреда, нанесенного организацией, имеет значение для контролирующих органов. Чем выше категория риска, тем больший штраф может быть наложен на организацию.
С прошлого года начал действовать закон, согласно которому гражданин имеет право отозвать персональные данные, независимо от места хранения. В исключения попадают только данные, которые хранятся в государственных органах и предназначены для исполнения полномочий.
Если обратить внимание на ситуацию с данными, которые хранятся в банках, то согласно законодательству, банк хранит информацию не менее пяти лет, после прекращения договора с клиентом. Нельзя отрицать, что человек придет в банк и попросить удалить информацию. Ему предложат написать заявление об отказе на обработку персональных данных. Но вопрос в том, будут ли сведения уничтожены или банк сделает вид, что сделал это.
В Минцифре обсуждают проект, который предусматривает создание реестра, где будут указаны согласия человека на обработку персональных данных. В конечном варианте предлагается привязать его к порталу Госуслуги. После полной реализации проекта, человек может зайти в личный кабинет и аннулировать ранее выданное согласие на обработку данных.
На самом деле идея интересная, но дело упирается в создание отдельной инфраструктуры, защищенной как с технической стороны, так и со стороны права.
Пожалуйста, авторизуйтесь, чтобы оставлять комментарии.