Как правильно реагировать на запросы об уточнении, блокировании или уничтожении персональных данных
Отдел продаж:
8 (800) 600-36-51
moscow@astral.ru
Техподдержка
Отдел продаж
8 (800) 600-36-51
moscow@astral.ru
График работы
Автор Дарья Кочергина

Дарья Кочергина
1 октября 2024
403
0
Как правильно работать с запросами субъектов персональных данных. Часть 3
Лайфхак

Как правильно работать с запросами субъектов персональных данных. Часть 3

ПДн — персональные данные

Напомним, что в первой части этой серии статей мы рассмотрели различные типы обращений и общие принципы обработки запросов, а во второй — способы реагирования на запросы и требования субъектов в зависимости от их видов.

В этой статье детально разберём, какие действия необходимо предпринять в ответ на запрос об уточнении, блокировании или уничтожении персональных данных в соответствии с положениями ст. 20 и 21 Федерального закона 152-ФЗ.

Для обеспечения эффективного реагирования на запросы субъектов ПДн рекомендуем сервис 152DOC, разработанный специально для операторов персональных данных. Сервис обеспечивает строгое соответствие требованиям закона 152-ФЗ и позволяет автоматизировать все процессы, связанные с обработкой ПДн и оформлением сопутствующей документации.

Порядок действий при получении запросов субъектов ПДн

С момента получения обращения или запроса о неправомерной обработке либо об уточнении персональных данных заблокируйте данные на период проверки.

Дальнейшие действия и сроки реагирования будут зависеть от того, что просит субъект, и от результатов проведённой проверки.

Рассмотрим некоторые ситуации.

Субъект просит уточнить (обновить, изменить) его персональные данные

Причиной такого обращения, как правило, служит необходимость изменения каких-либо ПДн субъекта. Например, клиент уведомляет об изменении своего контактного номера телефона или просит исправить ошибку (опечатку), которую обнаружил в своих ПДн на сайте.

В таком случае уточните данные в течение 7 рабочих дней с момента предоставления субъектом (представителем) подтверждения того, что данные неполные, недостоверные, неточные, неактуальные (или с момента самостоятельного выявления данного факта).

Субъект утверждает, что его данные получены незаконно или не являются необходимыми для заявленной цели обработки

Например, гражданин обнаружил свои ПДн на сайте компании и заявляет, что не давал согласия на их распространение. Или же гражданин утверждает, что компания обрабатывает излишние сведения о нём (сотрудник сделал копию паспорта в ситуации, когда достаточно было простого предъявления данного документа).

Если материалы такого обращения содержат подтверждение изложенных в нём доводов, необходимо произвести уничтожение незаконно полученных или не являющихся необходимыми для цели обработки ПДн в течение 7 рабочих дней с момента такого подтверждения.

Однако, если подтверждающих материалов нет, это ещё не повод для отказа в рассмотрении заявления. Самостоятельно проверьте факт правомерности обработки ПДн заявителя. В случае подтверждения доводов обращения и выявления неправомерной обработки персональных данных прекратите обработку ПДн в течение 3 рабочих дней или обеспечьте её правомерность (например, получите согласие субъекта). Если обеспечить правомерность обработки невозможно, уничтожьте данные в течение 10 рабочих дней.

Такой же порядок действий и сроки реагирования будут в случае, если заявление гражданина не поступало, но в ходе проведённого вами внутреннего контроля или проверки Роскомнадзора выявлена неправомерная обработка персональных данных (например, вы обнаружили хранение резюме соискателей в отсутствие их согласия в течение более чем 30 дней).

Субъект требует прекратить обработку его персональных данных по каким-либо причинам

От предыдущего вида обращений такое требование отличается тем, что в данном случае субъект может и не обвинять оператора в незаконном получении его данных, но по каким-либо причинам хотеть, чтобы оператор прекратил ранее правомерную обработку его ПДн. Например, клиент больше не заинтересован в получении рекламной и информационной рассылки, которая ранее осуществлялась с его согласия.

Такая ситуация близка к отзыву согласия на обработку ПДн. Здесь оператору также нужно проверить наличие правовых оснований для продолжения обработки и исходя из этого принять надлежащие меры реагирования.

Прекратить обработку данных нужно в течение 10 рабочих дней (плюс 5 рабочих дней в случае мотивированного уведомления субъекта) с момента получения от субъекта требования о прекращении обработки, за исключением случаев, предусмотренных пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ (то есть при наличии правовых оснований для продолжения обработки).

Прекращение обработки — это фактически остановка процессов обработки и использования персональных данных (остановили рассылку, передачу данных и т. д.). Но физически данные продолжают оставаться у компании. Далее, в зависимости от ситуации, либо обеспечивается их правильная обработка, либо их уничтожают.

Для всех обращений, результатом рассмотрения которых должно стать уничтожение ПДн, действует положение 152-ФЗ о том, что в случае отсутствия возможности уничтожения данных в установленные сроки допустимо их блокирование и обеспечение уничтожения в срок не более чем 6 месяцев, если иное не установлено законом.

О чём важно помнить при реагировании на запрос

По результатам рассмотрения заявлений и требований субъектов оператор обязан обеспечить принятие необходимых мер со стороны лиц, действующих по его поручению. Например, если информационная рассылка осуществлялась сторонней организацией по поручению вашей компании, то вы не должны говорить субъекту о том, что по данному вопросу он должен обратиться к другому лицу. Вы, как оператор, должны проинформировать тех, кто действует по вашему поручению, о необходимости принятия соответствующих мер (прекращении рассылки конкретному лицу, удалении номера телефона заявителя из базы рассылки и т. д.) и проконтролировать их выполнение.

Обо всех принятых мерах необходимо уведомлять заявителя, представителя или уполномоченный орган (в зависимости от того, кем направлено обращение или требование).

В случае необходимости направления отчёта об уничтожении персональных данных субъекту направляется копия соответствующего документа (если одним актом уничтожены данные нескольких субъектов, чужие ПДн необходимо исключить из направляемых материалов).

Если вы пользователь сервиса 152DOC, обратите внимание: «Журнал учёта запросов» и шаблоны ответов на некоторые виды запросов вы можете найти в документе «Правила рассмотрения запросов субъектов ПДн». Также не забудьте заполнить шаг «Комиссия по уничтожению», чтобы ваши документы сформировались правильно.

Ответственность за игнорирование или несвоевременную обработку запросов субъектов ПДн

Невыполнение оператором в установленные сроки требования субъекта об уточнении, блокировании или уничтожении персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечёт для оператора административную ответственность по ч. 5 ст. 13.11 КоАП РФ.

  • ИП — штраф от 20 до 40 тысяч рублей; при повторном нарушении — от 50 до 100 тысяч рублей.
  • ЮЛ — от 50 до 90 тысяч рублей; при повторном нарушении — от 300 до 500 тысяч рублей.

Порядок реагирования на требование о прекращении передачи ПДн

Теперь разберёмся, как реагировать на требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешённых субъектом ПДн для распространения.

С момента поступления такого требования оператору действие согласия на обработку персональных данных прекращается. Поэтому:

  1. Проверьте наличие иных правовых оснований на распространение персональных данных и в случае их наличия сообщите об этом субъекту. Здесь можно отметить Решение Верховного суда РФ, в котором указано, что согласие субъекта на распространение (ст. 10.1 152-ФЗ) — частный случай согласия на обработку ПДн, то есть данные можно распространять на основании других пунктов ч.1 ст. 6 152-ФЗ.
  2. Если иные правовые основания отсутствуют, прекратите передачу (распространение, предоставление, доступ) персональных данных в течение 3 рабочих дней с момента получения требования субъекта (ч. 14 ст. 10.1 152-ФЗ) и проинформируйте об этом субъект персональных данных.

Процесс рассмотрения запросов субъектов персональных данных — это не только законное требование, но и важная составляющая стратегии обеспечения защиты персональных данных. Эффективная система реагирования на запросы субъектов способствует укреплению доверия клиентов и партнёров к организации и содействует соблюдению нормативных требований в сфере обработки персональных данных.

Бонус для подписчиков нашего тг-канала — «Памятка по рассмотрению запросов субъектов персональных данных». Переходите по ссылке и подписывайтесь, чтобы узнать ещё больше о работе с персональными данными!
Автор Дарья Кочергина

Дарья Кочергина
1 октября 2024
403
0
Узнавайте самые интересные новости первыми
Комментарии для сайта Cackle
Другие направления
Электронная отчетность Электронная подпись Электронный документооборот Маркировка ОФД
Предыдущая статья
Следующая статья
Следующая статья
Создайте машиночитаемую доверенность (МЧД) за 2 минуты. Работайте с доверенностями эффективно!
Скачайте программу Астрал Помощник
для подготовки ПК к работе с электронной подписью
Никаких скрытых платежей!
Скачать
Подробнее

Хотите разобраться
в сервисах Астрал?

Подробные инструкции,
решения проблем
и ответы на вопросы
в Базе знаний
Зарегистрируйте бизнес онлайн за 15 минут
Зарегистрировать бизнес
Больше новостей в нашем telegram-канале
Больше новостей в нашем
telegram-канале
autohello-finger