ПДн — персональные данные
В условиях строгих требований законодательства и повышенного внимания к защите персональных данных, эффективная обработка обращений (запросов, требований) субъектов персональных данных становится одним из важных элементов работы любой организации. Неправильная обработка запроса субъекта или непринятие мер реагирования по ним может повлечь привлечение оператора к административной ответственности по ч.ч. 4, 5, 5.1 ст. 13.11 КоАП. Соответственно, возникает необходимость в чёткой системе реагирования на такие запросы и требования.
В статье мы расскажем о различных видах обращений субъектов, правилах их рассмотрения, а также мерах реагирования, которые необходимо принимать операторам в связи с их поступлением. В первой части статьи речь пойдёт о видах обращений и общих правилах обработки запросов.
Виды обращений субъекта ПДн к операторам
Исходя из положений 152-ФЗ можно выделить основные виды обращений субъекта ПДн к операторам:
Отзыв согласия на обработку ПДн (ч. 2 ст. 9 152-ФЗ);
Запрос на получение информации, касающейся обработки ПДн (ч. 1 ст. 14 152-ФЗ);
Требование об уточнении, блокировании или уничтожении ПДн (ч. 1 ст. 14 152-ФЗ);
Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешённых субъектом персональных данных для распространения (ч. ч. 12, 14 ст. 10.1 152-ФЗ).
Запросы субъектов могут носить смешанный характер. Например, в своём обращении субъект персональных данных отзывает своё согласие на обработку ПДн и одновременно требует уничтожить отозванные ПДн.
Требования к содержанию запросов
К содержанию некоторых запросов законом о персональных данных установлены определённые требования.
Для запросов на получение информации, касающейся обработки ПДн, требовании об уточнении, блокировании или уничтожении ПДн, направляемых в рамках ч. 3 ст. 14 152-ФЗ, установлены требования по включению в них следующей информации:
Номер документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате его выдачи и выдавшем органе;
Сведения, подтверждающие участие субъекта ПДн в отношениях с оператором или факт обработки ПДн оператором;
Подпись субъекта ПДн или его представителя.
Требования о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешённых субъектом персональных данных для распространения, должны включать, согласно ч. 12 ст. 10.1 152-ФЗ:
Фамилию, имя, отчество (при наличии);
Контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных;
Перечень персональных данных, обработка которых подлежит прекращению.
В отношении других запросов и требований строгих условий закон не устанавливает, но однозначно, что запрос должен быть сформулирован таким образом, чтобы оператор мог понять, кто именно к нему обращается, каким образом данный субъект связан с компанией и какова цель обращения.
Способы обращения субъекта ПДн к оператору
Субъект может обратиться к оператору различными способами: лично, почтовым отправлением, в форме электронного документа на электронную почту оператора, предложенным оператором способом (например, через личный кабинет) или иным другим способом.
Закон не ограничивает субъекта ПДн в выборе способа направления обращения, следовательно, оператор тоже не может препятствовать субъекту выбрать способ обращения. Например, указать в политике, что обращения принимаются только через форму на сайте, а поступившие иным способом (почтой России, например) не будут рассматриваться.
Однако для более быстрого, удобного и эффективного решения возникших у субъекта вопросов в области ПДн оператор может предложить субъекту способы взаимодействия, указав их, например, в Политике обработки ПДн.
Что можно предложить:
Форму заявления, не противоречащую ч. 3 ст. 14 152-ФЗ. Не нужно требовать безосновательно больше данных, чем предусмотрено данной нормой.
Например, среди обязательных требований к запросу по ч. 3 ст. 14 152-ФЗ нет адреса регистрации. Для обратного ответа субъект может указать только электронную почту или фактический адрес проживания. Если же оператор в форму заявления включит адрес регистрации в качестве обязательного для заполнения поля, могут быть претензии со стороны субъекта.
Способы направления заявления (можно выделить приоритетный способ взаимодействия).
Например: «Субъект может отозвать согласие на обработку ПДн путём предоставления оператору по адресу его места нахождения подлинника такого отзыва или путём направления электронного документа (или скан-копии заявления) на адрес электронной почты…».
Указывая способ взаимодействия, нужно быть осторожными с формулировками и выстраивать их таким образом, чтобы они не были категоричными, бескомпромиссными и не могли быть расценены как ущемление прав субъектов ПДн.
Важно! Формулируйте запрос именно как предложение, а не требование!
Следует помнить, что если запрос субъекта поступил к вам не предложенным вами, а иным способом, это не может быть основанием для отказа в его рассмотрении.
Кто в компании занимается рассмотрением запросов субъектов
В соответствии с п. 3 ч. 4 ст. 22.1 152-ФЗ обязанность организовывать приём и обработку обращений и запросов субъектов и (или) осуществлять контроль за приёмом и обработкой таких обращений и запросов возложена на ответственного за организацию обработки ПДн. То есть без ответственного не обойтись, но рассматривать запрос и готовить на него ответ может любой сотрудник, которому ближе суть запроса и который располагает необходимой информацией: юрист, кадровик (если речь о запросах сотрудников по поводу обработки их ПДн), сотрудник клиентской службы (если запрос клиента касается конкретных аспектов, связанных с его деятельностью) и т. д.
В целях обеспечения эффективного реагирования на запросы субъектов ПДн, рекомендуется утвердить Правила (Инструкцию) рассмотрения запросов субъектов ПДн. Для формирования таких Правил удобно использовать шаблоны, предоставляемые сервисом 152DOC.
Правила рассмотрения запросов субъектов ПДн
Правила могут включать в себя:
процедуру регистрации и учёта запросов;
порядок рассмотрения запросов (определение ответственных лиц, сроков рассмотрения, уведомление субъекта ПДн о результатах рассмотрения) и т.д.
Эти правила необходимы для того, чтобы сотрудники имели чёткое представление о процессе работы с запросами, могли оперативно и грамотно реагировать на них, исключая возможные ошибки и задержки. Правила устанавливают прозрачные процедуры ответа на запросы, сроки реагирования и обеспечивают их своевременную обработку в соответствии с требованиями законодательства.
Подводя итог первой части статьи, хочется подчеркнуть, что понимание этих аспектов не только способствует эффективной работе операторов, но и является основой для соблюдения законодательных норм и предотвращения юридических последствий.
Ниже делимся примером Уведомления с отказом в отзыве ПДн, чтобы правильно работать с субъектами персональных данных.
Скачать форму Уведомления с отказом в отзыве ПДн.
Во второй части статьи мы более детально рассмотрим каждый тип запроса субъектов персональных данных и способы их обработки со стороны операторов.
Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8KFnvM
Начать дискуссию