ПДн — персональные данные
Напомним, что в первой части этой серии статей мы рассмотрели различные типы обращений и общие принципы обработки запросов, а во второй — способы реагирования на запросы и требования субъектов в зависимости от их видов.
В этой статье детально разберем, какие действия необходимо предпринять в ответ на запрос об уточнении, блокировании или уничтожении персональных данных в соответствии с положениями ст. 20 и 21 закона 152-ФЗ.
Для обеспечения эффективного реагирования на запросы субъектов ПДн рекомендуем сервис 152DOC, разработанный специально для операторов персональных данных. Сервис обеспечивает строгое соответствие требованиям закона 152-ФЗ и позволяет автоматизировать все процессы, связанные с обработкой ПДн и оформлением сопутствующей документации.
Порядок действий при получении запросов субъектов ПДн
С момента получения обращения или запроса о неправомерной обработке либо об уточнении персональных данных заблокируйте данные на период проверки.
Дальнейшие действия и сроки реагирования будут зависеть от того, что просит субъект, и от результатов проведенной проверки.
Рассмотрим некоторые ситуации.
Субъект просит уточнить (обновить, изменить) его персональные данные
Причиной такого обращения, как правило, служит необходимость изменения каких-либо ПДн субъекта. Например, клиент уведомляет об изменении своего контактного номера телефона или просит исправить ошибку (опечатку), которую обнаружил в своих ПДн на сайте.
В таком случае уточните данные в течение 7 рабочих дней с момента предоставления субъектом (представителем) подтверждения того, что данные неполные, недостоверные, неточные, неактуальные (или с момента самостоятельного выявления данного факта).
Субъект утверждает, что его данные получены незаконно или не являются необходимыми для заявленной цели обработки
Например, гражданин обнаружил свои ПДн на сайте компании и заявляет, что не давал согласия на их распространение. Или же гражданин утверждает, что компания обрабатывает излишние сведения о нем (сотрудник сделал копию паспорта в ситуации, когда достаточно было простого предъявления данного документа).
Если материалы такого обращения содержат подтверждение изложенных в нем доводов, необходимо произвести уничтожение незаконно полученных или не являющихся необходимыми для цели обработки ПДн в течение 7 рабочих дней с момента такого подтверждения.
Однако, если подтверждающих материалов нет, это еще не повод для отказа в рассмотрении заявления. Самостоятельно проверьте факт правомерности обработки ПДн заявителя. В случае подтверждения доводов обращения и выявления неправомерной обработки персональных данных прекратите обработку ПДн в течение 3 рабочих дней или обеспечьте ее правомерность (например, получите согласие субъекта). Если обеспечить правомерность обработки невозможно, уничтожьте данные в течение 10 рабочих дней.
Такой же порядок действий и сроки реагирования будут в случае, если заявление гражданина не поступало, но в ходе проведенного вами внутреннего контроля или проверки Роскомнадзора выявлена неправомерная обработка персональных данных (например, вы обнаружили хранение резюме соискателей в отсутствие их согласия в течение более чем 30 дней).
Субъект требует прекратить обработку его персональных данных по каким-либо причинам
От предыдущего вида обращений такое требование отличается тем, что в данном случае субъект может и не обвинять оператора в незаконном получении его данных, но по каким-либо причинам хотеть, чтобы оператор прекратил ранее правомерную обработку его ПДн. Например, клиент больше не заинтересован в получении рекламной и информационной рассылки, которая ранее осуществлялась с его согласия.
Такая ситуация близка к отзыву согласия на обработку ПДн. Здесь оператору также нужно проверить наличие правовых оснований для продолжения обработки и, исходя из этого, принять надлежащие меры реагирования.
Прекратить обработку данных нужно в течение 10 рабочих дней (плюс 5 рабочих дней в случае мотивированного уведомления субъекта) с момента получения от субъекта требования о прекращении обработки, за исключением случаев, предусмотренных пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ (то есть при наличии правовых оснований для продолжения обработки).
Прекращение обработки — это фактически остановка процессов обработки и использования персональных данных (остановили рассылку, передачу данных и т. д.). Но физически данные продолжают оставаться у компании. Далее, в зависимости от ситуации, либо обеспечивается их правильная обработка, либо их уничтожают.
Для всех обращений, результатом рассмотрения которых должно стать уничтожение ПДн, действует положение 152-ФЗ о том, что в случае отсутствия возможности уничтожения данных в установленные сроки допустимо их блокирование и обеспечение уничтожения в срок не более чем 6 месяцев, если иное не установлено законом.
О чем важно помнить при реагировании на запрос
По результатам рассмотрения заявлений и требований субъектов оператор обязан обеспечить принятие необходимых мер со стороны лиц, действующих по его поручению. Например, если информационная рассылка осуществлялась сторонней организацией по поручению вашей компании, то вы не должны говорить субъекту о том, что по данному вопросу он должен обратиться к другому лицу.
Вы, как оператор, должны проинформировать тех, кто действует по вашему поручению, о необходимости принятия соответствующих мер (прекращении рассылки конкретному лицу, удалении номера телефона заявителя из базы рассылки и т. д.) и проконтролировать их выполнение.
Обо всех принятых мерах необходимо уведомлять заявителя, представителя или уполномоченный орган (в зависимости от того, кем направлено обращение или требование).
В случае необходимости направления отчета об уничтожении персональных данных субъекту направляется копия соответствующего документа (если одним актом уничтожены данные нескольких субъектов, чужие ПДн необходимо исключить из направляемых материалов).
Если вы пользователь сервиса 152DOC, обратите внимание: «Журнал учета запросов» и шаблоны ответов на некоторые виды запросов вы можете найти в документе «Правила рассмотрения запросов субъектов ПДн». Также не забудьте заполнить шаг «Комиссия по уничтожению», чтобы ваши документы сформировались правильно.
Ответственность за игнорирование или несвоевременную обработку запросов субъектов ПДн
Невыполнение оператором в установленные сроки требования субъекта об уточнении, блокировании или уничтожении персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет для оператора административную ответственность по ч. 5 ст. 13.11 КоАП.
ИП — штраф от 20 до 40 тысяч рублей; при повторном нарушении — от 50 до 100 тысяч рублей.
ЮЛ — от 50 до 90 тысяч рублей; при повторном нарушении — от 300 до 500 тысяч рублей.
Порядок реагирования на требование о прекращении передачи ПДн
Теперь разберемся, как реагировать на требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом ПДн для распространения.
С момента поступления такого требования оператору действие согласия на обработку персональных данных прекращается. Поэтому:
Проверьте наличие иных правовых оснований на распространение персональных данных и в случае их наличия сообщите об этом субъекту. Здесь можно отметить Решение Верховного суда, в котором указано, что согласие субъекта на распространение (ст. 10.1 152-ФЗ) — частный случай согласия на обработку ПДн, то есть данные можно распространять на основании других пунктов ч.1 ст. 6 152-ФЗ.
Если иные правовые основания отсутствуют, прекратите передачу (распространение, предоставление, доступ) персональных данных в течение 3 рабочих дней с момента получения требования субъекта (ч. 14 ст. 10.1 152-ФЗ) и проинформируйте об этом субъект персональных данных.
Процесс рассмотрения запросов субъектов персональных данных — это не только законное требование, но и важная составляющая стратегии обеспечения защиты персональных данных. Эффективная система реагирования на запросы субъектов способствует укреплению доверия клиентов и партнеров к организации и содействует соблюдению нормативных требований в сфере обработки персональных данных.
Бонус для подписчиков нашего тг-канала — «Памятка по рассмотрению запросов субъектов персональных данных». Переходите по ссылке и подписывайтесь, чтобы узнать еще больше о работе с персональными данными!
Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8KWZxk
Начать дискуссию