Добавить в корзинуПозвонить
Найти в Дзене
Дмитрий Карташов | Право в IT и бизнесе
10 подписчиков

«Удалите мои данные!»: Пошаговый алгоритм для бизнеса

8
5 мин
В 2026 году потребители и клиенты стали исключительно юридически подкованными. Фраза «Я требую удалить мои персональные данные, согласно ст. 21 ФЗ-152» перестала быть редкой, превратившись в стандартный инструмент давления или реализации законного права на «забвение». Для бизнеса это не просто нажатие кнопки «Delete» в панели управления CRM. Это сложнейшая юридическая процедура, где нужно соблюсти тонкий баланс: не получить штраф от Роскомнадзора за игнорирование требований субъекта и одновременно не нарушить требования Налогового или Архивного законодательства. Меня зовут Дмитрий, я IT-юрист. Сегодня мы разберем «анатомию» такого запроса и выстроим железобетонный алгоритм действий. Клиент, отправляя требование, уверен, что компания обязана стереть всю информацию о нем «под ноль». Но у любой коммерческой организации есть целый комплекс обязанностей, возложенных государством. Если вы удалите электронный чек или договор, подтверждающий сделку, к вам придет Федеральная налоговая служба (
Оглавление

В 2026 году потребители и клиенты стали исключительно юридически подкованными. Фраза «Я требую удалить мои персональные данные, согласно ст. 21 ФЗ-152» перестала быть редкой, превратившись в стандартный инструмент давления или реализации законного права на «забвение».

Для бизнеса это не просто нажатие кнопки «Delete» в панели управления CRM. Это сложнейшая юридическая процедура, где нужно соблюсти тонкий баланс: не получить штраф от Роскомнадзора за игнорирование требований субъекта и одновременно не нарушить требования Налогового или Архивного законодательства.

Меня зовут Дмитрий, я IT-юрист. Сегодня мы разберем «анатомию» такого запроса и выстроим железобетонный алгоритм действий.

В чем главная ловушка? Конфликт законов

Клиент, отправляя требование, уверен, что компания обязана стереть всю информацию о нем «под ноль». Но у любой коммерческой организации есть целый комплекс обязанностей, возложенных государством.

Если вы удалите электронный чек или договор, подтверждающий сделку, к вам придет Федеральная налоговая служба (ФНС) и выпишет штраф за уничтожение первичной учетной документации раньше положенного срока.

Главное правило юриста: Право на забвение не работает автоматически там, где обработка данных продолжается на основании федерального закона (например, для бухгалтерского, налогового учета или исполнения договора).

Шаг 1. Идентификация и фиксация запроса

Первая ошибка бизнеса — принимать устные требования (по телефону или в мессенджерах) к немедленному исполнению или, наоборот, игнорировать их.

  1. Форма обращения. Запрос должен быть оформлен письменно. Это может быть скан заявления с живой подписью, отправленный почтой, либо электронное письмо с адреса, который ранее был зафиксирован в договоре или вашей Политике конфиденциальности.
  2. Проверка полномочий. Убедитесь, что пишет именно тот человек, чьи данные вы обрабатываете (либо его законный представитель по доверенности).

Зафиксируйте точную дату получения документа — от нее пойдут отсчитывать сроки проверяющие инстанции.

Шаг 2. Аудит баз данных (Что делаем с информацией)

Получив запрос, ответственный за защиту персональных данных (или назначенный специалист) обязан провести ревизию всех информационных систем. Данные нужно разделить на три категории:

А. Данные, подлежащие безусловному уничтожению

Это информация, которую вы собирали исключительно по добровольному согласию (а не в рамках договора).

  • Что это: профиль на сайте, история просмотров, подписка на рекламные рассылки, файлы cookies, привязанные к профилю.
  • Срок: согласно ч. 5 ст. 21 152-ФЗ, при отзыве согласия оператор обязан прекратить обработку и уничтожить данные в срок, не превышающий 30 дней с момента поступления отзыва (если нет иных законных оснований).
  • Нюанс: если клиент требует просто прекратить обработку (например, рекламные звонки), это нужно сделать быстрее — в течение 10 рабочих дней (ч. 3 ст. 21).

Б. Данные, подлежащие обезличиванию

Если вам необходима статистика (например, сколько всего было покупок, какие категории товаров популярны у аудитории без привязки к конкретному лицу):

  • Вычленяются все маркеры идентификации (ФИО, номер телефона, email, точный адрес).
  • Оставляются лишь агрегированные цифровые показатели. Обезличенная аналитика перестает быть персональными данными и может храниться дальше.

В. Данные, которые запрещено удалять

Закон обязывает вас сохранить информацию, если она требуется для соблюдения фискальных, налоговых или договорных обязательств:

  • Бухгалтерия и налоги: первичные учетные документы (договоры, чеки, акты, товарные накладные). Согласно ст. 29 ФЗ «О бухгалтерском учете» и Налоговому кодексу, их нужно хранить минимум 5 лет после года, в котором они использовались для составления отчетности.
  • Специфические сферы (например, кредитные истории, архивное дело): там сроки хранения договоров и операций могут составлять десятки лет.

Если клиент требует удалить данные, но договор с ним еще действует или не истек срок хранения первички, вы имеете право отказать в удалении именно этой части сведений, обосновав это нормами закона.

Шаг 3. Техническая процедура удаления и блокировки

Уничтожение ПДн — это не просто стирание строки из базы. В 2026 году регулятор (Роскомнадзор) требует документального подтверждения.

  • Если вы не можете удалить данные сразу: Иногда архитектура CRM такова, что моментальное удаление технически невозможно без повреждения целостности всей базы. Закон (ч. 6 ст. 21) дает исключение: вы можете заблокировать (заморозить) данные, сделав их недоступными для использования сотрудниками, но выполнить полное физическое уничтожение в срок до 6 месяцев.
  • Акт об уничтожении: После того как физическое стирание или окончательная блокировка произведены, комиссия (в составе IT-инженера, юриста и руководителя) обязана подписать бумажный или электронный Акт об уничтожении персональных данных. В нем прописываются: ФИО/ID субъекта, причины, способы уничтожения и перечень удаленных категорий сведений.
  • Уведомление контрагентов: Если до момента удаления вы передавали эти данные третьим лицам (курьерской службе, облачной телефонии, сервисам email-рассылок по вашему поручению), вы обязаны направить им требование также уничтожить эти данные и проконтролировать процесс.

Чек-лист для внедрения регламента в компании:

  1. Регламент обработки запросов: разработан ли отдельный локальный нормативный акт, описывающий по шагам, кто принимает, кто проверяет и кто удаляет данные по требованию?
  2. Карта данных: знаете ли вы точно, в каких именно уголках инфраструктуры (1С, Битрикс24, почтовые сервисы, Telegram-боты, бумажные журналы) оседают следы клиента?
  3. Форма ответа: подготовлен ли юридически выверенный шаблон ответа клиенту (с обоснованием, почему часть данных удалена, а чеки/договоры — заблокированы, но сохранены для ФНС)?

Ответственность и риски

Игнорирование законных требований субъекта данных — прямой путь к внеплановой проверке РКН. Пристальное внимание регулятора чревато не только штрафом по ст. 13.11 КоАП РФ (до 500 000 рублей за системные нарушения), но и выявлением сопутствующих нарушений: отсутствия базовых согласий, неправильно составленных политик или незаконной трансграничной передачи.

Заключение

Реализация «права на забвение» и обработка запросов на уничтожение — это маркер зрелости компании. Четкая, регламентированная процедура показывает клиентам, что вы уважаете их приватность, а инспекторам — что вы ведете прозрачный и подконтрольный учет.

P.S. Получили неоднозначный запрос от потребителя или не уверены, как правильно отказать в удалении налоговой «первички», не нарвавшись на гнев клиента и РКН? Опишите вашу ситуацию на kartashovdmitriyi@yandex.ru — помогу составить юридически безупречный ответ и настроить регламент обработки подобных обращений.