Как правильно работать с запросами субъектов персональных данных, часть 3

ПДн – персональные данные

Напомним, что в первой части этой серии статей мы рассмотрели различные типы обращений и общие принципы обработки запросов, а во второй — способы реагирования на запросы и требования субъектов в зависимости от их видов.

В этой статье детально разберем какие действия необходимо предпринять в ответ на запрос об уточнении, блокировании или уничтожении персональных данных в соответствии с положениями ст. 20 и 21 152-ФЗ.

С момента получения обращения или запроса о неправомерной обработке, либо уточнении персональных данных, заблокируйте данные на период проверки.

Дальнейшие действия и сроки реагирования будут зависеть от того, что просит субъект и от результатов проведенной проверки.

Рассмотрим некоторые ситуации:

1. Субъект просит уточнить (обновить, изменить) его персональные данные.

Причиной такого обращения, как правило, служит необходимость изменения каких-либо ПДн субъекта.

Например, клиент уведомляет об изменении своего контактного номера телефона или обнаружил ошибку (опечаток) в его ПДн на сайте, и он просит это исправить. В таком случае, уточните данные в течение 7 рабочих дней с момента предоставления субъектом (представителем) подтверждения того, что данные неполные, недостоверные, неточные, неактуальные (или с момента самостоятельного выявления данного факта).

2. Субъект утверждает, что его данные получены вами незаконно или не являются необходимыми для заявленной цели обработки.

Например, гражданин обнаружил свои ПДн на сайте компании и заявляет, что не давал согласия на распространение своих персональных данных. Или гражданин утверждает, что компания обрабатывает излишние сведения о нем (сотрудник сделал копию паспорта в ситуации, когда достаточно было бы простого предъявления данного документа).

Если материалы такого обращения содержат подтверждение изложенных в нем доводов, необходимо произвести уничтожение незаконно полученных или не являющихся необходимыми для цели обработки ПДн в течение 7 рабочих дней с момента такого подтверждения.

Однако, если подтверждающих материалов нет – это еще не повод для отказа в рассмотрении заявления. Самостоятельно проверьте факт правомерности обработки ПДн заявителя.

В случае подтверждения доводов обращения и выявления неправомерной обработки персональных данных прекратите обработку ПДн в течение 3 рабочих дней или обеспечьте ее правомерность (например, получите согласие субъекта). Если обеспечить правомерность обработки невозможно – уничтожьте данные в течение 10 рабочих дней.

Такой же порядок действий и сроки реагирования в случае, если заявление гражданина не поступало, но в ходе проведенного вами внутреннего контроля или проверки Роскомнадзора выявлена неправомерная обработка персональных данных (например, вы обнаружили хранение резюме соискателей в отсутствие их согласия в течение более, чем 30 дней).

3. Субъект требует прекратить обработку его персональных данных по каким-либо причинам.

От предыдущего вида обращений такое требование отличается тем, что в данном случае субъект может и не обвинять оператора в незаконном получении его данных, но по каким-либо причинам хочет, чтобы оператор прекратил ранее правомерную обработку его ПДн.

Например, клиент больше не заинтересован в получении рекламной и информационной рассылки с предложениями компании, которая ранее осуществлялась с его согласия. Такая ситуация близка к отзыву согласия на обработку ПДн. Здесь оператору также нужно проверить наличие правовых оснований для продолжения обработки и исходя из этого принять надлежащие меры реагирования.

Прекратить обработку данных нужно в течение 10 рабочих дней (плюс 5 рабочих дней в случае мотивированного уведомления субъекта) с момента получения от субъекта требования о прекращении обработки, за исключением случаев, предусмотренных пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ (то есть при наличии правовых оснований для продолжения обработки).

Прекращение обработки – это, фактически, остановка процессов обработки и использования персональных данных (остановили рассылку, передачу данных и т. д.), но физически данные имеются в компании и далее, в зависимости от ситуации, либо обеспечивается их правильная обработка, либо их уничтожают.

Для всех обращений, результатом рассмотрения которых должно стать уничтожение ПДн, действует положение 152-ФЗ о том, что в случае отсутствия возможности уничтожения данных в установленные сроки, допустимо их блокирование и обеспечение уничтожения в срок не более чем 6 месяцев, если иное не установлено законом.

4. По результатам рассмотрения заявлений/требований субъектов оператор обязан обеспечить принятие необходимых мер со стороны лиц, действующих по его поручению.

Например, если информационная рассылка осуществлялась сторонней организацией по поручению вашей компании, то вы не должны в ответе субъекту говорить о том, что ему необходимо по данному вопросу обратится к другому лицу. Вы, как оператор, должны проинформировать третье лицо, действующее по вашему поручению, о необходимости принятия соответствующих мер (прекращении рассылки конкретному лицу, удалении номера телефона заявителя из базы рассылки и т. д.) и проконтролировать принятие этих мер. 

Обо всех принятых мерах необходимо уведомлять заявителя/представителя/уполномоченный орган (в зависимости от того, кем направлено обращение/требование).

В случае необходимости направления отчета об уничтожении персональных данных, субъекту направляется копия соответствующего документа (если одним актом уничтожены данные нескольких субъектов, чужие ПДн необходимо исключить из направляемых материалов).

Например, если вы пользователь сервиса 152DOC,  то обратите внимание: «Журнал учёта запросов» и шаблоны ответов на некоторые виды запросов, вы можете найти в документе «Правила рассмотрения запросов субъектов ПДн». Также, не забудьте заполнить шаг «Комиссии по уничтожению», чтобы ваши документы сформировались правильно.

Невыполнение оператором в установленные сроки требования субъекта об уточнении, блокировании или уничтожении ПДн в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет для оператора административную ответственность по ч. 5 ст. 13.11 КоАП РФ:

ИП – от 20 до 40 тыс. руб.; при повторном нарушении – от 50 до 100 тыс. руб.

ЮЛ – от 50 до 90 тыс. руб.; при повторном нарушении – от 300 до 500 тыс. руб.

Как реагировать на требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения.

С момента поступления такого требования оператору, действие согласия на обработку персональных данных, разрешенных субъектом для распространения, прекращается. Поэтому:

  1. Проверьте наличие иных правовых оснований на распространение персональных данных, и в случае их наличия сообщите об этом субъекту. Здесь можно отметить Решение Верховного суда РФ, в котором указано, что согласие субъекта на распространение (ст.10.1 152-ФЗ) – частный случай согласия на обработку ПДн, то есть данные можно распространять на основании других пунктов ч.1 ст.6 152-ФЗ.
  2. Если иные правовые основания отсутствуют – прекратите передачу (распространение, предоставление, доступ) персональных данных в течение 3 рабочих дней с момента получения требования субъекта (ч. 14 ст. 10.1 152-ФЗ) и проинформируйте об этом субъекта персональных данных.

Процесс рассмотрения запросов субъектов персональных данных – это не только законное требование, но и важная составляющая стратегии обеспечения защиты персональных данных. Эффективная система реагирования на запросы субъектов способствует укреплению доверия клиентов и партнеров организации и содействует соблюдению нормативных требований в сфере обработки персональных данных.

Бонус для подписчиков нашего тг-канала  «Памятка по рассмотрению запросов субъектов персональных данных». 

Переходите по ссылке и подписывайтесь, чтобы узнать еще больше о работе с персональными данными!

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять