Как операторам правильно работать с запросами от субъектов персональных данных?

В эпоху цифровизации персональные данные стали одним из самых ценных активов, а операторы – их хранителями с огромной ответственностью. Согласно 152-ФЗ, субъекты персональных данных имеют неотъемлемое право обращаться с запросами на доступ, уточнение, блокирование или уничтожение своих данных. Правильная обработка таких запросов укрепляет доверие клиентов, минимизирует риски и повышает репутацию компании.

В этой статье мы разберемся, как операторам систематизировать работу с запросами: от фиксации и идентификации субъекта до сроков ответа и документирования. Мы опираемся на рекомендации Роскомнадзора и судебную практику, чтобы помочь вам повысить эффективность процессов и обеспечить полное соответствие 152-ФЗ.

Как оператору принимать запросы от субъектов персональных данных?

Закон не ограничивает субъекта ПДн в выборе способа направления обращения, следовательно, оператор тоже не может препятствовать субъекту выбрать способ обращения. Операторы обязаны принимать обращения субъектов в любой форме, в которой субъекту удобно будет обратиться. При этом, даже если в своей политике обработки персональных данных вы указали предпочтительные каналы связи, отказывать в обработке запроса субъекта, направленного иным способом, или указывать в политике, что обращения, отправленные иными способами, вами не будут рассматриваться, неправомерно. Указанные вами способы взаимодействия не должны быть расценены как ущемление прав субъектов ПДн.

Сроки обработки запросов субъектов персональных данных

152-ФЗ дает Оператору 10 рабочих дней с момента поступления запроса субъекта или его представителя (плюс 5 рабочих дней при наличии мотивированного уведомления субъекта с указанием причин) для ответа на запрос.

Виды запросов субъектов персональных данных

Далее мы подробнее разберем, как правильно работать с каждым из таких запросов.

152-ФЗ выделяет следующие виды запросов, которые могут поступить от субъектов персональных данных.

• Запрос на получение информации, касающейся обработки ПДн
• Отзыв согласия на обработку персональных данных
• Требование об уточнении, блокировании или уничтожении ПДн
• Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения.

Запрос на получение информации, касающейся обработки ПДн

В отличие от всех остальных запросов, к запросу на доступ к персональным данным (= получению информации об объеме персональных данных) 152-ФЗ устанавливает определенные требования.

Так, в соответствии с ч. 3 ст. 14 152-ФЗ запрос должен содержать:

• наименование и реквизиты документа, удостоверяющего личность (номер, дата выдачи, выдавший орган);
• сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
• подпись (в том числе ЭП)

Данное законодательное требование защищает обе стороны. Оператор должен удостовериться, что запрос направлен именно тем лицом, чьи персональные данные он обрабатывает. Без паспортных данных (или иного документа) невозможно отличить реального субъекта от мошенника, который пытается получить чужие конфиденциальные данные под чужим именем, а подпись лица является юридическим подтверждением того, что именно этот субъект лично сформировал и отправил запрос.

Направление полного объема данных позволяет Оператору избежать огромных трудозатрат на идентификацию именно этого субъекта в числе всех субъектов, чьи персональные данные он обрабатывает и минимизирует риск ошибочной идентификации при совпадении идентификаторов этого субъекта с идентификаторами других лиц (например, при совпадении ФИО).

Закон дает право на доступ к персональным данным не любому человеку, а именно субъекту ПДн, чьи данные обрабатываются – ему необходимо подтвердить, что между ним и Оператором действительно существуют или существовали правоотношения. Более того, недобросовестный субъект мог бы отправлять Оператору бесчисленные запросы «на всякий случай», чтобы проверить, нет ли его данных у какой-либо компании. Это было бы формой злоупотребления правом и создавало бы неоправданную нагрузку, отвлекая ресурсы от обработки реальных, обоснованных запросов.

В таком запросе субъект персональных данных имеет право запросить следующую информацию, в частности, но не ограничиваясь ею:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 152-ФЗ;
• иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.

Отзыв согласия на обработку персональных данных (СОПД)

При получении отзыва согласия на обработку персональных данных от субъекта персональных данных необходимо определить, присутствует ли у вас как у оператора иные правовые основания, предусмотренные п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 (специальные категории ПДн) и ч. 2 ст. 11 (биометрия) 152-ФЗ, в силу которых вы можете продолжить обрабатывать персональные данные этого субъекта. К примеру, вы можете продолжить обрабатывать персональные данные вашего клиента, если действие договора еще не истекло.

Далее ваш порядок действий такой:

Правовые основания отсутствуют – необходимо прекратить обработку и уничтожить ПДн (или обеспечить прекращение обработки ПДн лицом, которому вы поручили обработку персональных данных в соответствии с ч. 3 ст. 6 152-ФЗ) в течение 30 дней с даты поступления отзыва, если договором или соглашением с субъектом не предусмотрено иное; уведомьте субъекта о том, что вы уничтожили его ПДн.

Правовые основания присутствуют (в отношении всех сведений или их части) – проинформируйте субъекта о продолжении обработки ПДн с указанием конкретных правовых оснований.

При взаимодействии с субъектом по поводу отзыва согласия также рекомендуется руководствоваться десятидневным сроком ответа на запрос (10 рабочих дней плюс 5 рабочих дней при наличии оснований).

Требование об уточнении, блокировании или уничтожении персональных данных

С момента получения такого запроса заблокируйте персональные данные этого субъекта на период проверки.

Дальнейшие действия и сроки реагирования будут зависеть от того, что просит субъект, и от результатов проведенной проверки.

1. Требование об уточнении (обновлении или изменении) его персональных данных

Субъект может направить такое требование в случае изменения своих персональных данных. К примеру, когда у клиента изменились паспортные данные, телефон или он обнаружил ошибку / опечатку в своих данных, обработку которых вы осуществляете. В таком случае необходимо уточнить персональные данные в течение 7 рабочих дней с момента предоставления субъектом подтверждения того, что данные неполные, недостоверные, неточные, неактуальные.

2. Требование о блокировании или уничтожении персональных данных

Субъект может направить такое требование в случае, когда им было обнаружено, что его данные были получены незаконно или не являются необходимыми для заявленной цели обработки. Например, он обнаружил свои персональные данные на вашем сайте и утверждает, что не давал согласие на их распространение. Если обращение содержит подтверждение изложенных в нем доводов, необходимо произвести уничтожение незаконно полученных персональных данных или персональных данных, не являющихся необходимыми для цели обработки, в течение 7 рабочих дней с момента такого подтверждения.

Если обращение не содержит подтверждения изложенных в нем доводов, необходимо самостоятельно установить факт правомерности обработки его ПДн. Если неправомерная обработка подтвердилась – необходимо прекратить обработку ПДн в течение 3 рабочих дней или обеспечить ее правомерность (к примеру, получить согласие на обработку персональных данных от субъекта). Если обеспечить правомерность обработки невозможно, необходимо уничтожить персональные данные в течение 10 рабочих дней.

Субъект также может потребовать прекратить обработку его персональных данных по иным причинам, не зависящим от факта правомерной или неправомерной обработки – к примеру, отказаться от получения рекламной и информационной рассылки. По своей сути такое требование похоже на отзыв согласия на обработку персональных данных. Вам необходимо проверить наличие правовых оснований для продолжения обработки и в зависимости от их наличия или отсутствия принять необходимые меры.

Для всех обращений, результатом рассмотрения которых должно стать уничтожение ПДн, действует положение 152-ФЗ о том, что в случае отсутствия возможности уничтожения данных в установленные сроки допустимо их блокирование и обеспечение уничтожения в срок не более чем 6 месяцев, если иное не установлено законом.

Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения

В соответствии с ч. 12 ст. 10.1 152-ФЗ такое требование должно содержать следующие сведения:

• фамилию, имя, отчество (при наличии),
• контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных
• перечень персональных данных, обработка которых подлежит прекращению.

После получения такого требования необходимо прекратить обработку персональных данных и проверить наличие иных правовых оснований на распространение персональных данных (по аналогии с отзывом обычного согласия на обработку персональных данных). Из ответа Роскомнадзора 15.05.2024 № 08-166301 следует, что распространение персональных данных, помимо оснований, предусмотренных п. 2 ч. 1 ст. 6 и п. 11 ч. 1 ст. 6 152-ФЗ, может быть предусмотрено в иных случаях, установленных ч. 1 ст. 6 152-ФЗ. Подобная позиция подтверждается постановлением Арбитражного суда Московского округа от 30.03.2023 г. по делу № А40-139096/22: согласно пункту 3 статьи 3 Закона о персональных данных, понятие «обработка персональных данных» подразумевает, в том числе обработку способом «распространение», а статья 6 Закона о персональных данных устанавливает условия (основания) для «обработки персональных данных» в целом.

Подготовка ответа на запрос

Если запрос соответствует ч. 3 ст. 14 152-ФЗ и информации в нем достаточно для подготовки ответа, то в установленные сроки подготовьте полноценный ответ и предоставьте субъекту (или его представителю) запрашиваемые сведения. При этом важно:

• предоставить информацию по каждому вопросу заявителя
• предоставить информацию в доступной форме;
• позиция должна быть обоснована со ссылками на конкретные положения законодательства (особенно в случае отказа);
• предоставить информацию о предпринятых вами мерах по обращению субъекта;
• при необходимости предоставить субъекту копии документов (например, акт об уничтожении его персональных данных);
• направить ответ заявителю в той же форме, в которой был направлен запрос, если в нем не указано иное.

Ответственность за игнорирование или несвоевременную обработку запросов субъектов ПДн

Невыполнение оператором в установленные сроки требования субъекта об уточнении, блокировании или уничтожении персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет для оператора административную ответственность по ч. 5 ст. 13.11 КоАП.

• ИП — штраф от 20 до 40 тысяч рублей; при повторном нарушении — от 50 до 100 тысяч рублей.
• ЮЛ — от 50 до 90 тысяч рублей; при повторном нарушении — от 300 до 500 тысяч рублей.