Материал раздела Основной

«Удалите мои личные данные»: почему это сложно и что делать компании

Право · Информационная безопасность Госрегулирование

Инструкции Б-152

Когда в организациях случается утечка личных данных, наиболее продвинутые клиенты требуют удалить информацию о себе без возможности восстановления. Но на практике многие компании не понимают, как именно это сделать. Поясняет Максим Зиновьев (Б-152)

Конечно, чтобы частично вернуть лояльность, можно пойти по пути «Яндекса», внедрившего функционал ручного удаления информации о заказах в личном кабинете приложения «Яндекс.Еда». Однако как все-таки понять, что и когда удалять?

Эту проблему уже прочувствовали на себе разработчики мобильных приложений для iOS. С 30 июня 2022 года, если ваше приложение в AppStore позволяет создать учетную запись, оно должно давать возможность и удалить ее.

Вот наши рекомендации.

Ограничения хранения данных

Закон о персональных данных не позволяет операторам (а это любая организация, в распоряжении которой есть личные данные граждан РФ) хранить персональные данные дольше, чем им необходимо для достижения своих целей. При этом многие компании не осознают, как долго им реально нужно обрабатывать данные. В интересах бизнеса их нужно хранить как можно дольше, но это противоречит закону. Что же делать?

Определить сроки хранения

Не зная ограничений, невозможно определить и момент, когда данные следует уничтожить. Следует проанализировать, чем занимается ваша компания и какие персональные данные обрабатывает.

Чаще всего субъектами, чьи данные обрабатывает среднестатистическая компания, выступают ее:

сотрудники и соискатели,
посетители офиса, а также других помещений или территорий,
пользователи мобильных приложений, посетители вебсайтов,
получатели услуг (клиенты),
представители бизнес-партнеров,
учредители и лица, назначенные в органы управления компании.

Так или иначе, важно определить точный круг субъектов применительно к вашей компании. Когда вы это сделаете и сформулируете цели обработки персональных данных (например, для рекламных рассылок; для регистрации личного кабинета; для трудоустройства; для технической поддержки и т.п.), можно проанализировать оптимальный срок их хранения.

Сложность такого анализа состоит в том, что срок хранения e-mail адреса одного и того же пользователя может отличаться в зависимости от целей его обработки. Например, клиент зарегистрировал учетную запись в вашем мобильном приложении, приняв оферту на сайте. Пока договор действует, вы спокойно храните его e-mail адрес. Этот же клиент может дополнительно передавать вам свой e-mail адрес, пройдя опрос на отдельном лэндинге или обратившись в техподдержку. Все перечисленное выше — разные цели обработки данных, и срок хранения одного e-mail адреса может отличаться для разных целей.