Как реагировать на претензии по персональным данным, что требует закон и как выстроить защиту организации — рассказывает юрист
В работе любой организации могут возникать ситуации, когда гражданин может предъявить претензии, что его персональные данные (ПДн) незаконно или неправильно обрабатываются. Работник может посчитать, что его фото без его согласия разместили на сайте организации в разделе «Наша команда». Клиент может забыть, что подписался на информационную рассылку. Гражданин узнал, что его ПДн обрабатываются организацией, которой, по его мнению, он точно не давал свое согласие.
В случае предъявления таких претензий, в организации должно быть понимание, как работать с такими обращениями, опираясь на нормы закона.
Федеральный закон от 27.07.2006 152-ФЗ «О персональных данных» закрепляет право субъекта персональных на получение информации об обработке его персональных данных и право требовать уточнения или прекращения обработки его ПДн, если он считает, что его права нарушаются.
Если персональные данные получены у третьей стороны
Законом закреплена обязанность оператора ПДн в случае, если он получает ПДн не от самого субъекта, а от какой-то третьей стороны, обратиться к субъекту и известить его о факте получения ПДн и источнике их получения, об операторе ПДн, о том для чего и на каком основании они получены, кто будет ими пользоваться, и какие права есть у субъекта.
Оператор ПДн освобождается от такой обязанности, если:
- субъект ПДн уже был уведомлен об осуществлении обработки его ПДн соответствующим оператором;
- ПДн получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
- распространение ПДн осуществляется с соблюдением запретов и условий, предусмотренных законом (например, только на тех ресурсах, на которых субъект разрешил распространение своих ПДн);
- оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
- предоставление субъекту ПДн этих сведений нарушает права и законные интересы третьих лиц (например, предоставление ему выдержек из баз данных, содержащих ПДн иных субъектов).
Что может потребовать субъект персональных данных?
Даже если ПДн когда-то были легально получены от самого субъекта, то законом ему все равно гарантировано право обратиться к оператору ПДн и запросить следующую информацию:
- подтверждение факта обработки ПДн оператором;
- правовые основания и цели обработки ПДн;
- цели и применяемые оператором способы обработки ПДн;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок обращения к оператору, сроки рассмотрения его обращений, что может потребовать и т.д.;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
- какие меры приняты оператором по обеспечению безопасности ПДн, назначено ли ответственное лицо в организации и т.д.;
- иные сведения, предусмотренные федеральными законами.
Проигнорировать такое обращение субъекта ПДн нельзя, поскольку за это предусмотрена административная ответственность — штраф для юридических лиц в размере от 40 000 до 80 000 рублей.
Срок ответа на такой запрос составляет 10 рабочих дней (может быть продлен на 5 дней с уведомлением субъекта).
Если подробный ответ был направлен, то субъект ПДн вправе повторно обратиться с тем же вопросом не ранее, чем через 30 дней.
В какие сроки нужно ответить субъекту персональных данных?
Если субъект обращается с требованием уточнения или уничтожения его ПДн, то срок ответа составляет 7 рабочих дней. При этом необходимо оценить, какие ПДн должны быть уничтожены, а какие должны и дальше храниться вне зависимости от желания субъекта ПДн, т.к. это прямо закреплено законом (установленные сроки хранения документов в соответствии с налоговым, бухгалтерским и архивным законодательством).
В случае, если после обращения субъекта, установлено, что ПДн обрабатываются с нарушением закона, например, при отсутствии оформленного согласия, то обработка таких ПДн должна быть прекращена в течение 3 рабочих дней, после чего они должны быть уничтожены в течение 10 рабочих дней.
Любая обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей, после чего они должны быть уничтожены или обезличены. Если цель обработки ПДн достигнута, и по закону или договору хранить их больше не нужно, то они должны быть уничтожены в течение 30 дней.
Сложившейся практикой выработан механизм ведения учета обращений субъектов ПДн. Для этого оператор ПДн в произвольной форме (утвержденной формы нет) ведет соответствующий журнал, в котором фиксируется дата и суть обращения, а также принятое по нему решение. Это позволяет при необходимости найти информацию о фактах обращений и подтвердить исполнение обязанности по их рассмотрению.
Подводя итог, закон в первую очередь защищает права субъекта ПДн, а на оператора ПДн возлагает целый ряд обязанностей, в т.ч. отвечать на обращения субъекта ПДн. В то же время, оператор ПДн, опираясь на требования закона, может мотивированно отвечать на обращения субъекта ПДн, в т.ч. пресекать необоснованные претензии к организации.
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: