Как правильно работать с запросами субъектов персональных данных, часть 2

ПДн – персональные данные

Во второй части разберём порядок ответа на запросы субъектов о предоставлении информации, связанной с обработкой персональных данных, а также порядок ответа на отзыв согласия на обработку персональных данных.

Вначале рассмотрим порядок ответа на запросы о предоставлении информации, касающейся обработки персональных данных. Этот процесс регулируется ст. 14 152-ФЗ.

В таких запросах субъект может просить ознакомить его с документами, содержащими его ПДн, предоставить информацию о том, на каких правовых основаниях его данные обрабатываются, откуда они получены, как долго будут обрабатываться и т. д. При этом он не требует прекратить обработку, не отзывает согласие, а хочет получить сведения. Как правило, в чистом виде такие запросы не встречаются, но если субъект что-то просит ему предоставить, сообщить, показать, касаемо его данных, то нужно руководствоваться следующим:

  1. Не пропустите сроки реагирования: 10 рабочих дней с момента поступления запроса или личного обращения субъекта, его представителя (плюс 5 рабочих дней при наличии мотивированного уведомления субъекта с указанием причин). Обратите внимание, что сроки предоставления информации считаются с момента получения запроса (или дня личного обращения), а не с момента подтверждения личности заявителя и иных обстоятельств.
  2. Оцените, нужны ли дополнительные действия, направленные на идентификацию обратившегося субъекта ПДн.

    Каждый запрос субъекта оператору необходимо оценивать индивидуально. Важно обратить внимание на:
    • соответствие запроса ч. 3 ст. 14 152-ФЗ. В нем должны содержаться: паспортные данные; сведения, подтверждающие участие субъекта в отношениях с оператором (или подтверждение факта обработки ПДн оператором); подпись.
    • информацию о субъекте ПД, которая уже имеется в распоряжении оператора;
    • возможность сопоставить имеющиеся данные с данными из запроса.

    При соответствии запроса требованиям закона и наличии у оператора соответствующих данных, принятие дополнительных мер по идентификации субъекта ПД может быть расценено судом, как несоответствующее закону.

    Например, недавно Клинцовским городским судом Брянской области было рассмотрено дело, когда оператор с целью идентификации субъекта ПДн предложил ему:
    • обратиться лично в офис с документами;
    • направить нотариально заверенную копию паспорта;
    • предоставить селфи с паспортом, составив заявку на сайте.

    По результатам рассмотрения дела суд пришел к выводу, что оператор незаконно отказал истцу в предоставлении запрашиваемых им сведений со ссылкой на невозможность идентификации личности заявителя, поскольку все необходимые данные о личности заявителя, перечисленные в ч. 3 ст. 14 152-ФЗ, были указаны в запросе (Решение Клинцовского городского суда Брянской области от 09.04.2024 по делу N 2-394/2024).

    Учитывая вышеизложенное, рекомендуем уточнять информацию и принимать меры по идентификации обратившегося лица только в тех случаях, когда по содержанию запроса и имеющимся у оператора сведениям невозможно установить личность субъекта и подтвердить факт обработки его данных. В такой ситуации необходимо в установленные сроки подготовить ответ, подробно объяснив причины и указав, какие именно дополнительные сведения нужно предоставить для получения запрашиваемой информации.
  3. Если запрос соответствует ч. 3 ст. 14 152-ФЗ и информации в нем достаточно для подготовки ответа, то в установленные сроки подготовьте полноценный ответ и предоставьте субъекту (или его представителю) запрашиваемые сведения.

    При этом важно:
    • предоставить информацию по каждому вопросу заявителя. Будьте внимательны и не упустите ничего, иначе может последовать жалоба в уполномоченный орган или суд (административная ответственность по ч. 4 ст. 13.11 КоАП РФ может составить для ИП – от 20 до 30 тыс. руб.; для ЮЛ – от 40 до 80 тыс. руб.);
    • сведения должны быть предоставлены в доступной форме;
    • ваша позиция (даже в случае отказа) должна быть максимально обоснована со ссылками на конкретные положения НПА.

    Отказать в предоставлении информации можно по основаниям, указанным в ч. 8 ст. 14 152-ФЗ:
    • если это нарушает права и законные интересы третьих лиц;
    • если речь идет об обработке ПДн в случаях, предусмотренных законодательством РФ о транспортной безопасности, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
    • если данные получены в результате оперативно-розыскной, контрразведывательной деятельности;
    • если обработка осуществляется органами, осуществившими задержание субъекта по подозрению в совершении преступления и т. д.
  4. Направьте ответ заявителю. Ответ дается в той же форме, в которой был направлен запрос, если в нем не указано иное. Пользователи сервиса 152DOC могут найти шаблоны уведомлений для ответа на запрос субъекта в документе «Правила рассмотрения запросов субъектов ПДн». В первой части мы поделились одним из таких шаблонов.

Далее рассмотрим особенности реагирования на отзыв согласия на обработку персональных данных.

  1. Оцените наличие правовых оснований на продолжение обработки ПДн после отзыва согласия (пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ).
    Например, есть требование закона, обязывающее продолжить обработку, есть неисполненный договор с субъектом ПДн, данные обрабатываются в рамках судебного производства и т. д.
  2. Если правовые основания отсутствуют – прекратите обработку и уничтожьте ПДн и при необходимости обеспечьте прекращение обработки и уничтожение ПДн лицом, действующим по вашему поручению. Уничтожение должно быть проведено в течение 30 дней с даты поступления отзыва, если договором/соглашением с субъектом не предусмотрено иное. Уведомьте субъекта о принятых мерах.
  3. Если правовые основания отсутствуют только для части сведений, прекратите обработку в этой части, в остальной – проинформируйте субъекта о продолжении обработки ПДн с указанием конкретных правовых оснований.
    Например, в случае отзыва согласия клиентом банка, с которым заключен действующий кредитный договор, банк вправе продолжить обработку ПДн для исполнения данного договора, а также хранить документы клиента в течение установленных законом сроков. Но информационную и рекламную рассылку, если ранее она осуществлялась с согласия клиента, банк обязан будет прекратить и удалить контакты клиента из соответствующих баз данных рассылки.
  4. Если установлены правовые основания для продолжения обработки – уведомьте об этом субъекта ПДн.

При взаимодействии с субъектом по поводу отзыва согласия также рекомендуется руководствоваться 10-ти дневным сроком ответа на запрос (10 рабочих дней плюс 5 рабочих дней при наличии оснований).

В третьей части этой серии статей, вы найдете информацию о процедуре ответа на запросы об уточнении, блокировании или уничтожении персональных данных.

Также бонусом для подписчиков нашего тг-канала будет «Памятка по рассмотрению запросов субъектов персональных данных».

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять