ПДн – персональные данные
Во второй части разберём порядок ответа на запросы субъектов о предоставлении информации, связанной с обработкой персональных данных, а также порядок ответа на отзыв согласия на обработку персональных данных.
Вначале рассмотрим порядок ответа на запросы о предоставлении информации, касающейся обработки персональных данных. Этот процесс регулируется ст. 14 152-ФЗ.
В таких запросах субъект может просить ознакомить его с документами, содержащими его ПДн, предоставить информацию о том, на каких правовых основаниях его данные обрабатываются, откуда они получены, как долго будут обрабатываться и т. д. При этом он не требует прекратить обработку, не отзывает согласие, а хочет получить сведения. Как правило, в чистом виде такие запросы не встречаются, но если субъект что-то просит ему предоставить, сообщить, показать, касаемо его данных, то нужно руководствоваться следующим:
- Не пропустите сроки реагирования: 10 рабочих дней с момента поступления запроса или личного обращения субъекта, его представителя (плюс 5 рабочих дней при наличии мотивированного уведомления субъекта с указанием причин). Обратите внимание, что сроки предоставления информации считаются с момента получения запроса (или дня личного обращения), а не с момента подтверждения личности заявителя и иных обстоятельств.
- Оцените, нужны ли дополнительные действия, направленные на идентификацию обратившегося субъекта ПДн.
Каждый запрос субъекта оператору необходимо оценивать индивидуально. Важно обратить внимание на:- соответствие запроса ч. 3 ст. 14 152-ФЗ. В нем должны содержаться: паспортные данные; сведения, подтверждающие участие субъекта в отношениях с оператором (или подтверждение факта обработки ПДн оператором); подпись.
- информацию о субъекте ПД, которая уже имеется в распоряжении оператора;
- возможность сопоставить имеющиеся данные с данными из запроса.
При соответствии запроса требованиям закона и наличии у оператора соответствующих данных, принятие дополнительных мер по идентификации субъекта ПД может быть расценено судом, как несоответствующее закону.
Например, недавно Клинцовским городским судом Брянской области было рассмотрено дело, когда оператор с целью идентификации субъекта ПДн предложил ему:- обратиться лично в офис с документами;
- направить нотариально заверенную копию паспорта;
- предоставить селфи с паспортом, составив заявку на сайте.
По результатам рассмотрения дела суд пришел к выводу, что оператор незаконно отказал истцу в предоставлении запрашиваемых им сведений со ссылкой на невозможность идентификации личности заявителя, поскольку все необходимые данные о личности заявителя, перечисленные в ч. 3 ст. 14 152-ФЗ, были указаны в запросе (Решение Клинцовского городского суда Брянской области от 09.04.2024 по делу N 2-394/2024).
Учитывая вышеизложенное, рекомендуем уточнять информацию и принимать меры по идентификации обратившегося лица только в тех случаях, когда по содержанию запроса и имеющимся у оператора сведениям невозможно установить личность субъекта и подтвердить факт обработки его данных. В такой ситуации необходимо в установленные сроки подготовить ответ, подробно объяснив причины и указав, какие именно дополнительные сведения нужно предоставить для получения запрашиваемой информации. - Если запрос соответствует ч. 3 ст. 14 152-ФЗ и информации в нем достаточно для подготовки ответа, то в установленные сроки подготовьте полноценный ответ и предоставьте субъекту (или его представителю) запрашиваемые сведения.
При этом важно:- предоставить информацию по каждому вопросу заявителя. Будьте внимательны и не упустите ничего, иначе может последовать жалоба в уполномоченный орган или суд (административная ответственность по ч. 4 ст. 13.11 КоАП РФ может составить для ИП – от 20 до 30 тыс. руб.; для ЮЛ – от 40 до 80 тыс. руб.);
- сведения должны быть предоставлены в доступной форме;
- ваша позиция (даже в случае отказа) должна быть максимально обоснована со ссылками на конкретные положения НПА.
Отказать в предоставлении информации можно по основаниям, указанным в ч. 8 ст. 14 152-ФЗ:- если это нарушает права и законные интересы третьих лиц;
- если речь идет об обработке ПДн в случаях, предусмотренных законодательством РФ о транспортной безопасности, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- если данные получены в результате оперативно-розыскной, контрразведывательной деятельности;
- если обработка осуществляется органами, осуществившими задержание субъекта по подозрению в совершении преступления и т. д.
- Направьте ответ заявителю. Ответ дается в той же форме, в которой был направлен запрос, если в нем не указано иное. Пользователи сервиса 152DOC могут найти шаблоны уведомлений для ответа на запрос субъекта в документе «Правила рассмотрения запросов субъектов ПДн». В первой части мы поделились одним из таких шаблонов.
Далее рассмотрим особенности реагирования на отзыв согласия на обработку персональных данных.
- Оцените наличие правовых оснований на продолжение обработки ПДн после отзыва согласия (пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ).
Например, есть требование закона, обязывающее продолжить обработку, есть неисполненный договор с субъектом ПДн, данные обрабатываются в рамках судебного производства и т. д. - Если правовые основания отсутствуют – прекратите обработку и уничтожьте ПДн и при необходимости обеспечьте прекращение обработки и уничтожение ПДн лицом, действующим по вашему поручению. Уничтожение должно быть проведено в течение 30 дней с даты поступления отзыва, если договором/соглашением с субъектом не предусмотрено иное. Уведомьте субъекта о принятых мерах.
- Если правовые основания отсутствуют только для части сведений, прекратите обработку в этой части, в остальной – проинформируйте субъекта о продолжении обработки ПДн с указанием конкретных правовых оснований.
Например, в случае отзыва согласия клиентом банка, с которым заключен действующий кредитный договор, банк вправе продолжить обработку ПДн для исполнения данного договора, а также хранить документы клиента в течение установленных законом сроков. Но информационную и рекламную рассылку, если ранее она осуществлялась с согласия клиента, банк обязан будет прекратить и удалить контакты клиента из соответствующих баз данных рассылки. - Если установлены правовые основания для продолжения обработки – уведомьте об этом субъекта ПДн.
При взаимодействии с субъектом по поводу отзыва согласия также рекомендуется руководствоваться 10-ти дневным сроком ответа на запрос (10 рабочих дней плюс 5 рабочих дней при наличии оснований).
В третьей части этой серии статей, вы найдете информацию о процедуре ответа на запросы об уточнении, блокировании или уничтожении персональных данных.
Также бонусом для подписчиков нашего тг-канала будет «Памятка по рассмотрению запросов субъектов персональных данных».