Как правильно работать с запросами субъектов персональных данных. Часть 2

Во второй части разберём порядок ответа на запросы субъектов о предоставлении информации, связанной с обработкой персональных данных, а также порядок ответа на отзыв согласия на обработку персональных данных.

Порядок ответа на запрос субъекта ПДн о доступе к его персональным данным

Вначале рассмотрим порядок ответа на запросы о предоставлении информации, касающейся обработки персональных данных. Этот процесс регулируется ст. 14 152-ФЗ.

В таких запросах субъект может просить ознакомить его с документами, содержащими его ПДн, предоставить информацию о том, на каких правовых основаниях его данные обрабатываются, откуда они получены, как долго будут обрабатываться и т. д. При этом он не требует прекратить обработку, не отзывает согласие, а хочет получить сведения.

Как правило, в чистом виде такие запросы не встречаются, но если субъект что-то просит ему предоставить, сообщить, показать, касаемо его данных, то нужно руководствоваться следующим порядком.

Своевременный ответ на запрос

Не пропустите сроки реагирования: 10 рабочих дней с момента поступления запроса или личного обращения субъекта, его представителя (плюс 5 рабочих дней при наличии мотивированного уведомления субъекта с указанием причин).

Оценка особенностей запроса

Оцените, нужны ли дополнительные действия, направленные на идентификацию обратившегося субъекта ПДн. Каждый запрос субъекта оператору необходимо оценивать индивидуально. Важно обратить внимание:

• на соответствие запроса ч. 3 ст. 14 152-ФЗ. В нём должны содержаться:
  • паспортные данные;
  • сведения, подтверждающие участие субъекта в отношениях с оператором (или подтверждение факта обработки ПДн оператором);
  • подпись;
• на информацию о субъекте ПД, которая уже имеется в распоряжении оператора;
• на возможность сопоставить имеющиеся данные с данными из запроса.

При соответствии запроса требованиям закона и наличии у оператора соответствующих данных принятие дополнительных мер по идентификации субъекта ПД может быть расценено судом как не соответствующее закону.

Учитывая вышеизложенное, рекомендуем уточнять информацию и принимать меры по идентификации обратившегося лица только в тех случаях, когда по содержанию запроса и имеющимся у оператора сведениям невозможно установить личность субъекта и подтвердить факт обработки его данных.

В такой ситуации необходимо в установленные сроки подготовить ответ, подробно объяснив причины и указав, какие именно дополнительные сведения нужно предоставить для получения запрашиваемой информации.

Подготовка ответа на запрос

Если запрос соответствует ч. 3 ст. 14 152-ФЗ и информации в нём достаточно для подготовки ответа, то в установленные сроки подготовьте полноценный ответ и предоставьте субъекту (или его представителю) запрашиваемые сведения.

При этом важно:

• предоставить информацию по каждому вопросу заявителя. Будьте внимательны и не упустите ничего, иначе может последовать жалоба в уполномоченный орган или суд (административная ответственность по ч. 4 ст. 13.11 КоАП РФ может составить для ИП — от 20 до 30 тыс. руб.; для ЮЛ — от 40 до 80 тыс. руб.);
• сведения должны быть предоставлены в доступной форме;
• ваша позиция (даже в случае отказа) должна быть максимально обоснована со ссылками на конкретные положения НПА.

Отказать в предоставлении информации можно по основаниям, указанным в ч. 8 ст. 14 152-ФЗ:

• если это нарушает права и законные интересы третьих лиц;
• если речь идёт об обработке ПДн в случаях, предусмотренных законодательством РФ о транспортной безопасности, о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
• если данные получены в результате оперативно-разыскной, контрразведывательной деятельности;
• если обработка осуществляется органами, осуществившими задержание субъекта по подозрению в совершении преступления и т. д.

Предоставление ответа

Направьте ответ заявителю в той же форме, в которой был направлен запрос, если в нём не указано иное.

Порядок работы с отзывом согласия субъекта на обработку ПД

Далее рассмотрим особенности реагирования на отзыв согласия на обработку персональных данных. Алгоритм следующий.

1. Оцените наличие правовых оснований на продолжение обработки ПДн после отзыва согласия (пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ). Например, есть требование закона, обязывающее продолжить обработку, есть неисполненный договор с субъектом ПДн, данные обрабатываются в рамках судебного производства и т. д.
2. Если правовые основания отсутствуют – прекратите обработку и уничтожьте ПДн и при необходимости обеспечьте прекращение обработки и уничтожение ПДн лицом, действующим по вашему поручению. Уничтожение должно быть проведено в течение 30 дней с даты поступления отзыва, если договором/соглашением с субъектом не предусмотрено иное. Уведомьте субъекта о принятых мерах.
3. Если правовые основания отсутствуют только для части сведений, прекратите обработку в этой части, в остальной – проинформируйте субъекта о продолжении обработки ПДн с указанием конкретных правовых оснований. Например, в случае отзыва согласия клиентом банка, с которым заключён действующий кредитный договор, банк вправе продолжить обработку ПДн для исполнения данного договора, а также хранить документы клиента в течение установленных законом сроков. Но информационную и рекламную рассылку, если ранее она осуществлялась с согласия клиента, банк обязан будет прекратить и удалить контакты клиента из соответствующих баз данных рассылки.
4. Если установлены правовые основания для продолжения обработки – уведомьте об этом субъекта ПДн.

В третьей части этой серии статей вы найдёте информацию о процедуре ответа на запросы об уточнении, блокировании или уничтожении персональных данных.