Права субъекта персональных данных и как оператору на них отвечать
Какие права 152-ФЗ даёт субъекту персональных данных (доступ к своим данным, уточнение, блокирование и уничтожение, отзыв согласия, возражение против рекламной рассылки, обжалование) и как оператору правильно и вовремя на них отвечать: в какие сроки (10 и 5 рабочих дней, 30 дней на уничтожение), что должно быть в запросе, когда можно отказать и как выстроить процесс обработки обращений.
152-ФЗ даёт гражданину (субъекту персональных данных) набор прав, а оператору — обязанность реагировать на обращения в сжатые сроки. Неправильный или несвоевременный ответ — одна из частых причин жалоб в Роскомнадзор и штрафов. Разберём, какие права есть у субъекта и как оператору отвечать правильно и вовремя.
Какие права есть у субъекта ПДн
- Доступ к своим данным и сведениям об обработке (статья 14 152-ФЗ): в частности, подтверждение факта обработки, её правовые основания и цели, состав обрабатываемых данных и источники, сроки обработки и хранения, наименование и адрес оператора, сведения о лицах, которым данные могут передаваться, и о трансграничной передаче.
- Уточнение, блокирование или уничтожение данных, если они неполные, неточные, устаревшие, незаконно полученные или не нужны для заявленной цели (статьи 14 и 21).
- Отзыв согласия на обработку (статья 9): оператор прекращает обработку, если нет иного законного основания, и уничтожает данные.
- Возражение против обработки в целях продвижения товаров и услуг (рекламные рассылки, статья 15): по требованию субъекта оператор обязан немедленно прекратить такую обработку.
- Защита при автоматизированном принятии решений (статья 16): решение, порождающее юридические последствия, не может приниматься только на основе автоматизированной обработки без согласия субъекта; субъект вправе заявить возражение.
- Обжалование действий или бездействия оператора в Роскомнадзор или в суд, а также право на возмещение убытков и компенсацию морального вреда (статья 17).
Каким должен быть запрос субъекта
Чтобы не раскрыть данные постороннему, оператор должен убедиться, что обращение исходит именно от субъекта или его представителя. По статье 14 запрос содержит: номер основного документа, удостоверяющего личность субъекта (или представителя), сведения о дате его выдачи и выдавшем органе, сведения, подтверждающие участие субъекта в отношениях с оператором (например, номер договора) либо иным образом подтверждающие факт обработки, а также подпись субъекта или представителя. Запрос можно направить и в электронной форме, подписав в соответствии с законодательством.
Сроки ответа — самое важное
- Запрос о доступе к данным — оператор предоставляет сведения в течение 10 рабочих дней с даты получения запроса. Срок можно продлить не более чем на 5 рабочих дней, направив субъекту мотивированное уведомление (статья 20).
- Отзыв согласия или достижение цели — прекратить обработку и уничтожить данные в срок, не превышающий 30 дней, если иное не предусмотрено законом и нет другого основания обработки (статья 21).
- Выявлена неправомерная обработка или неточные данные — оператор блокирует данные и устраняет нарушение либо уточняет данные в установленные статьёй 21 сроки.
- Возражение против рекламной рассылки — прекратить обработку для этих целей немедленно (статья 15).
Когда оператор вправе отказать
- Право на доступ может быть ограничено в случаях, перечисленных в статье 14 (в частности, если обработка ведётся в целях обороны и безопасности, оперативно-розыскной деятельности, или если доступ нарушит права третьих лиц). Отказ должен быть мотивированным.
- Повторный запрос о доступе субъект обычно направляет не ранее чем через 30 дней после первого; раньше — только если в первый раз сведения не были предоставлены в полном объёме, и с обоснованием причины повторного обращения. Не отвечающий этим условиям повторный запрос оператор вправе отклонить (статья 14).
- Сведения предоставляются в доступной форме и без раскрытия персональных данных третьих лиц.
Как выстроить процесс ответа
- назначить ответственного и утвердить регламент (порядок) рассмотрения обращений субъектов с контролем сроков;
- вести журнал учёта обращений субъектов: дата получения, суть, срок, результат (см. какие журналы проверяет РКН);
- подготовить шаблоны ответов: предоставление сведений, уточнение, прекращение обработки и уничтожение, мотивированный отказ;
- описать порядок реализации прав субъектов и контакты для обращений в политике обработки ПДн;
- держать под контролем сроки 10, 5 и 30 — просрочка ответа сама по себе становится нарушением и поводом для жалобы.
Порядок отзыва согласия и виды согласий разобраны в статье «Согласие на обработку ПДн», а действия при утечке — в статье «Утечка ПДн: алгоритм действий».
Главное
Субъект персональных данных вправе получить доступ к своим данным и сведениям об обработке, потребовать их уточнения, блокирования или уничтожения, отозвать согласие, возразить против рекламной рассылки и обжаловать действия оператора. Оператор обязан отвечать в сроки: 10 рабочих дней на запрос о доступе (с продлением не более чем на 5), 30 дней на уничтожение при отзыве согласия или достижении цели, немедленно — на возражение против рекламы. Отказать можно лишь в установленных законом случаях и мотивированно, не раскрывая данные третьих лиц. Чтобы укладываться в сроки, заранее выстройте процесс: ответственный, регламент, журнал обращений, шаблоны ответов и порядок в политике.