Как операторам правильно работать с запросами от субъектов персональных данных?

Нормы законодательства не фиксируют закрытый перечень способов, которыми субъект персональных данных может направить обращение оператору. В связи с этим оператор обязан обеспечивать рассмотрение запросов вне зависимости от выбранного субъектом канала коммуникации.

Даже если в политике обработки персональных данных указаны предпочтительные каналы связи, нельзя отказывать в рассмотрении запроса субъекта только потому, что он направлен другим способом. Указанные вами способы взаимодействия не должны быть расценены как ущемление прав субъектов ПДн.

152‑ФЗ дает Оператору 10 рабочий дней с момента поступления запроса субъекта или его представителя (плюс 5 рабочих дней при наличии мотивированного уведомления субъекта с указанием причин) для ответа на запрос.

152‑ФЗ выделяет следующие виды запросов, которые могут поступить от субъектов персональных данных:

1. Запрос на получение информации, касающейся обработки ПДн.
2. Отзыв согласия на обработку персональных данных.
3. Требование об уточнении, блокировании или уничтожении ПДн.
4. Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения.

Далее мы подробнее разберем, как правильно работать с каждым из таких запросов.

В отличие от всех остальных запросов, к запросу на доступ к персональным данным (= получению информации об объеме персональных данных) 152‑ФЗ устанавливает определенные требования.

Так, в соответствии с ч. 3 ст. 14 152‑ФЗ запрос должен содержать:

• наименование и реквизиты документа, удостоверяющего личность (номер, дата выдачи, выдавший орган);
• сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
• подпись (в том числе ЭП).

Данное законодательное требование защищает обе стороны. Оператор должен удостовериться, что запрос направлен именно тем лицом, чьи персональные данные он обрабатывает. Без паспортных данных (или иного документа) невозможно отличить реального субъекта от мошенника, который пытается получить чужие конфиденциальные данные под чужим именем, а подпись лица является юридическим подтверждением того, что именно этот субъект лично сформировал и отправил запрос.

Направление полного объема данных позволяет Оператору избежать огромных трудозатрат на идентификацию именно этого субъекта в числе всех субъектов, чьи персональные данные он обрабатывает и минимизирует риск ошибочной идентификации при совпадении идентификаторов этого субъекта с идентификаторами других лиц (например, при совпадении ФИО). Закон дает право на доступ к персональным данным не любому человеку, а именно субъекту ПДн, чьи данные обрабатываются — ему необходимо подтвердить, что между ним и Оператором действительно существуют или существовали правоотношения.

Более того, недобросовестный субъект мог бы отправлять Оператору бесчисленные запросы «на всякий случай», чтобы проверить, нет ли его данных у какой-либо компании. Это было бы формой злоупотребления правом и создавало бы неоправданную нагрузку, отвлекая ресурсы от обработки реальных, обоснованных запросов.

В таком запросе субъект персональных данных имеет право запросить следующую информацию в частности, но не ограничиваясь:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных 152‑ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 152‑ФЗ;
• иные сведения, предусмотренные 152‑ФЗ или другими федеральными законами.

При получении отзыва согласия на обработку персональных данных от субъекта персональных данных необходимо определить, присутствует ли у вас как у оператора иные правовые основания, предусмотренные п. 2‑11 ч. 1 ст. 6, ч. 2 ст. 10 (специальные категории ПДн) и ч. 2 ст. 11 (биометрия) 152‑ФЗ, в силу которых вы можете продолжить обрабатывать персональные данные этого субъекта. К примеру, вы можете продолжить обрабатывать персональные данные вашего клиента, если действие договора еще не истекло.

Далее ваш порядок действий такой:

1. Правовые основания отсутствуют — необходимо прекратить обработку и уничтожить ПДн (или обеспечить прекращение обработки ПДн лицом, которому вы поручили обработку персональных данных в соответствии с ч. 3 ст. 6 152‑ФЗ) в течение 30 дней с даты поступления отзыва, если договором или соглашением с субъектом не предусмотрено иное; уведомьте субъекта о том, что вы уничтожили его ПДн.
2. Правовые основания присутствуют (в отношении всех сведений или их части) — проинформируйте субъекта о продолжении обработки ПДн с указанием конкретных правовых оснований.

При взаимодействии с субъектом по поводу отзыва согласия также рекомендуется руководствоваться десятидневным сроком ответа на запрос (10 рабочих дней плюс 5 рабочих дней при наличии оснований).

С момента получения такого запроса заблокируйте персональные данные этого субъекта на период проверки.

Дальнейшие действия и сроки реагирования будут зависеть от того, что просит субъект, и от результатов проведенной проверки.

Субъект может направить такое требование в случае изменения своих персональных данных. К примеру, когда у клиента изменились паспортные данные, телефон или он обнаружил ошибку / опечатку в своих данных, обработку которых вы осуществляете.

В таком случае необходимо уточнить персональные данные в течение 7 рабочих дней с момента предоставления субъектом подтверждения того, что данные неполные, недостоверные, неточные, неактуальные.

Субъект может направить такое требование в случае, когда им было обнаружено, что его данные были получены незаконно или не являются необходимыми для заявленной цели обработки.

Например, он обнаружил свои персональные данные на вашем сайте и утверждает, что не давал согласие на их распространение.

Если обращение содержит подтверждение изложенных в нем доводов, необходимо произвести уничтожение незаконно полученных или не являющихся необходимыми для цели обработки ПДн в течение 7 рабочих дней с момента такого подтверждения.

Если обращение не содержит подтверждение изложенных в нем доводов, необходимо самостоятельно провести факт правомерности обработки его ПДн.

Если неправомерная обработка подтвердилась — необходимо прекратить обработку ПДн в течение 3 рабочих дней или обеспечить ее правомерность (к примеру, получить согласие на обработку персональных данных от субъекта). Если обеспечить правомерность обработки невозможно, необходимо уничтожить персональные данные в течение 10 рабочих дней.

Субъект также может потребовать прекратить обработку его персональных данных по иным причинам, не зависящим от факта правомерной или неправомерной обработки — к примеру, отказаться от получения рекламной и информационной рассылки. По своей сути такое требование похоже на отзыв согласия на обработку персональных данных. Вам необходимо проверить наличие правовых оснований для продолжения обработки и в зависимости от их наличия или отсутствия принять необходимые меры.

Для всех обращений, результатом рассмотрения которых должно стать уничтожение ПДн, действует положение 152‑ФЗ о том, что в случае отсутствия возможности уничтожения данных в установленные сроки допустимо их блокирование и обеспечение уничтожения в срок не более чем 6 месяцев, если иное не установлено законом.

В соответствии с ч. 12 ст. 10.1 152‑ФЗ такое требование должно содержать следующие сведения:

• фамилию, имя, отчество (при наличии),
• контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных,
• перечень персональных данных, обработка которых подлежит прекращению.

После получения такого требования необходимо прекратить обработку персональных данных и проверить наличие иных правовых оснований на распространение персональных данных (по аналогии с отзывом обычного согласия на обработку персональных данных).

Из ответа Роскомнадзора 15.05.2024 № 08‑166 301 следует, что распространение персональных данных, помимо оснований, предусмотренных п. 2 ч. 1 ст. 6 и п. 11 ч. 1 ст. 6 152‑ФЗ, могут быть предусмотрены в иных случаях, установленных ч. 1 ст. 6 152‑ФЗ.

Подобная позиция подтверждается постановлением Арбитражного суда Московского округа от 30.03.2023 г. по делу № А40‑139 096/22: согласно пункту 3 статьи 3 Закона о персональных данных, понятие «обработка персональных данных» подразумевает, в том числе обработку способом «распространение», а статья 6 Закона о персональных данных устанавливает условия (основания) для «обработки персональных данных» в целом.

Если запрос соответствует ч. 3 ст. 14 152‑ФЗ и информации в нем достаточно для подготовки ответа, то в установленные сроки подготовьте полноценный ответ и предоставьте субъекту (или его представителю) запрашиваемые сведения. При этом важно:

• предоставить информацию по каждому вопросу заявителя;
• предоставить информацию в доступной форме;
• позиция должна быть обоснована со ссылками на конкретные положения законодательства (особенно в случае отказа);
• предоставить информацию о предпринятых вами мерах по обращению субъекта;
• при необходимости предоставить субъекта копии документов (например, акт об уничтожении его персональных данных);
• направить ответ заявителю в той же форме, в которой был направлен запрос, если в нем не указано иное.

Невыполнение оператором в установленные сроки требования субъекта об уточнении, блокировании или уничтожении персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет для оператора административную ответственность по ч. 5 ст. 13.11 КоАП.

ИП — штраф от 20 до 40 тысяч рублей; при повторном нарушении — от 50 до 100 тысяч рублей.

ЮЛ — от 50 до 90 тысяч рублей; при повторном нарушении — от 300 до 500 тысяч рублей.

1) Обязан ли оператор принимать запросы субъектов ПДн только по «официальным» каналам из политики?

Нет. Даже если в политике обработки персональных данных указаны предпочтительные каналы связи, отказывать в обработке запроса, направленного иным способом, неправомерно.

2) Какой общий срок ответа на запрос субъекта ПДн?

10 рабочих дней с момента поступления запроса субъекта или его представителя (плюс 5 рабочих дней при наличии мотивированного уведомления субъекта с указанием причин).

3) Какие реквизиты обязательны для запроса на доступ к персональным данным?

Запрос должен содержать наименование и реквизиты документа, удостоверяющего личность, сведения, подтверждающие участие субъекта в отношениях с оператором (или иные сведения, подтверждающие факт обработки), и подпись (в том числе ЭП).

4) Что делать при отзыве согласия на обработку ПДн?

Нужно определить, есть ли иные правовые основания (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152‑ФЗ). При отсутствии оснований прекратить обработку и уничтожить ПДн (или обеспечить прекращение обработки порученным лицом) в течение 30 дней; при наличии — проинформировать о продолжении обработки с указанием конкретных правовых оснований.

5) Что делать при требовании уточнить данные?

С момента получения запроса данные блокируются на период проверки. Уточнить персональные данные нужно в течение 7 рабочих дней с момента предоставления субъектом подтверждения того, что данные неполные, недостоверные, неточные, неактуальные.

6) Когда и в какие сроки уничтожаются незаконно полученные или не необходимые данные?

Если обращение содержит подтверждение изложенных доводов, уничтожение проводится в течение 7 рабочих дней с момента такого подтверждения.

7) Чем грозит игнорирование требований об уточнении/блокировании/уничтожении ПДн?

Административная ответственность по ч. 5 ст. 13.11 КоАП: ИП — штраф от 20 до 40 тысяч рублей (при повторном — от 50 до 100 тысяч), ЮЛ — от 50 до 90 тысяч рублей (при повторном — от 300 до 500 тысяч).