Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Как отвечать на запросы субъектов ПДн без нервов и штрафов до того, как придет проверка
13.01.2023
23/06/26
Б-152
Запрос субъекта персональных данных — это не обращение в клиентскую поддержку, а формально регламентированная процедура, требующая от оператора соблюдения установленного порядка, сроков и объема раскрываемой информации. При этом источник проблем — не столько сама обработка данных, сколько отсутствие у компании управляемого и юридически корректного порядка работы с такими запросами.
Если у вас уже были обращения от субъектов, но внутри до сих пор нет понятного маршрута: кто принимает запрос, кто проверяет основания, кто готовит ответ и кто контролирует сроки, это лучше собрать в систему заранее.
Для первичной диагностики полезно пройти чек-лист самопроверки бизнес-процесса обработки ПДн: он помогает увидеть не только формальные пробелы в документах, но и слабые места в маршруте обработки данных. До проверки такие процессы проще выстроить спокойно, чем объяснять регулятору, почему компания отвечала на запросы хаотично. Если нужно понять, как вести себя при контакте с регулятором, пригодится разбор о том, что делать при профилактическом визите Роскомнадзора.
В такой ситуации можно оставить заявку на аудитпорядка работы с запросами субъектов ПДн.
Неправильный ответ или игнорирование может привести к штрафам по ч. 4, 5, 5.1 ст. 13.11 КоАП РФ: для юрлиц от 40−90 тыс. руб. за первый раз, от 300−500 тыс. руб. при повторном нарушении. Мы разберем алгоритм действий шаг за шагом, чтобы вы могли реагировать оперативно и без паники.
Какие виды запросов бывают
Анализируя положения 152‑ФЗ, можно выделить следующие виды запросов, поступающих от субъектов персональных данных:
Именно такие запросы чаще всего и вскрывают слабые места в процессах: нет журнала регистрации, не хватает реквизитов, непонятно, кто согласует ответ, а сроки начинают гореть уже в первый день. Мы регулярно разбираем подобные кейсы, типовые ошибки и рабочие алгоритмы ответа в нашем Telegram-канале — можно подписаться и следить за новыми разборами.
4. Запрос на уточнение, блокирование или уничтожение персональных данных (ч. 2 ст. 14 152‑ФЗ).
- Отзыв согласия на обработку персональных данных (ч. 2 ст. 9 152‑ФЗ);
- Требование о прекращении передачи персональных данных, разрешенных субъектом персональных данных для распространения (ч. ч. 12, 14 ст. 10.1 152‑ФЗ);
- Запрос на получение сведений, касающихся обработки персональных данных (ч. 1 ст. 14 152‑ФЗ);
Именно такие запросы чаще всего и вскрывают слабые места в процессах: нет журнала регистрации, не хватает реквизитов, непонятно, кто согласует ответ, а сроки начинают гореть уже в первый день. Мы регулярно разбираем подобные кейсы, типовые ошибки и рабочие алгоритмы ответа в нашем Telegram-канале — можно подписаться и следить за новыми разборами.
4. Запрос на уточнение, блокирование или уничтожение персональных данных (ч. 2 ст. 14 152‑ФЗ).
Матрица запросов: какие сроки и какая проверка нужна
Перед использованием кредитных отчетов и внешних сервисов проверки стоит проверить пять блоков.
Как реагировать на каждый вид запроса
1) Отзыв согласия на обработку персональных данных
Закон не предъявляет конкретных требований к форме и реквизитам отзыва согласия на обработку персональных данных. Чтобы не путать отзыв с оформлением исходного согласия, отдельно можно свериться с материалом про виды и формы согласий на обработку персональных данных. Субъект персональных данных может использовать образец заявления, размещенный на сайте Роскомнадзора, или же в свободной форме направить свой запрос на отзыв согласия.
И в том, и в другом случае оператор обязан принять такой отзыв, и не чинить препятствия в исполнении этого запроса, например, требовать от субъекта персональных данных отправить отзыв согласия в виде отдельного письма с указанием ряда реквизитов вроде паспортных данных.
Оператор имеет право прописать в политике обработки персональных данных порядок направления отзыва согласия, однако, в случае если порядок предусматривает направление отзыва согласия на юридический адрес оператора, а субъект персональных данных направил запрос на адрес электронной почты оператора, это не является препятствием для исполнения такого отзыва согласия со стороны оператора.
Действия оператора по порядку:
1) Зарегистрировать запрос в Журнале регистрации запросов и обращений субъектов ПДн и их представителей.
И в том, и в другом случае оператор обязан принять такой отзыв, и не чинить препятствия в исполнении этого запроса, например, требовать от субъекта персональных данных отправить отзыв согласия в виде отдельного письма с указанием ряда реквизитов вроде паспортных данных.
Оператор имеет право прописать в политике обработки персональных данных порядок направления отзыва согласия, однако, в случае если порядок предусматривает направление отзыва согласия на юридический адрес оператора, а субъект персональных данных направил запрос на адрес электронной почты оператора, это не является препятствием для исполнения такого отзыва согласия со стороны оператора.
Действия оператора по порядку:
1) Зарегистрировать запрос в Журнале регистрации запросов и обращений субъектов ПДн и их представителей.
Рисунок 1
2) Назначьте ответственного за ответ на запрос. Закон предусматривает, что ответственный за организацию обработки организовывает прием и обработку запросов субъектов персональных данных, однако исполнить отзыв согласия может и иное лицо, бизнес‑процессы которого затрагивает такой отзыв, при обязательном контроле со стороны ответственного за организацию обработки.
3) Определите предельные сроки для исполнения отзыва. Оператор обязан на основании отзыва согласия уничтожить или обеспечить уничтожение данных субъекта ПДн в течение 30 дней с момента поступления отзыва, если договором с субъектом ПДн не предусмотрено иное.
4) Убедитесь, что отсутствуют иные основания обработки данных субъекта ПДн. Оператор вправе продолжить обработку тех ПДн, по поводу которых субъект ПДн направляет отзыв согласия в случае наличия иного правового основания обработки, предусмотренных ст. 6 152‑ФЗ, в т. ч. требования закона, наличие договора, исполнение судебного акта и т. д.
5) Отработайте запрос. Рекомендуем как при уничтожении ПДн субъекта ПДн, так и при продолжении обработки ПДн субъекта ПДн в связи с наличие иных правовых оснований уведомить субъекта ПДн о результате проделанной работы.
2) Требование о прекращении передачи персональных данных, разрешенных субъектом персональных данных для распространения
При наличии персональных данных на сайте в сети Интернет субъект ПДн имеет право направить требование о немедленном прекращении передачи персональных данных, разрешенных субъектом персональных данных для распространения.
Действия оператора по порядку:
1) Зарегистрировать запрос в Журнале регистрации запросов и обращений субъектов ПДн и их представителей. (см. Рисунок 1)
2) Проверьте, чтобы требование содержало обязательные реквизиты субъекта ПДн:
В случае если запрос не содержит указанную выше информацию ответственный за обработку ПДн обязан запросить недостающую информацию. Если субъект ПДн отказывается предоставить запрашиваемую информацию ответственный за обработку ПДн в короткие сроки направляет такому субъекту мотивированный отказ в выполнении направленного требования.
3) Назначьте ответственного за ответ на запрос. См. п. 2 Отзыва согласия на обработку персональных данных.
4) Определите предельные сроки для исполнения отзыва. Закон не предусматривает конкретный срок для ответа на такое требование, лишь ограничиваясь формулировкой «в любое время». Это связано с крайне высоким распространением ПДн в сети Интернет, поэтому такое требование предполагает, что действия оператора будут незамедлительны и оперативны.
В этом случае мы рекомендуем операторам не затягивать с исполнением требованиям, однако придерживаться срока для ответа в три рабочих дня, который предусмотрен для ответа любым лицом, кому поступило требование от субъекта ПДн и которое обязано прекратить передачу персональных данных, разрешенных субъектом персональных данных для распространения.
5) Убедитесь, что отсутствуют иные основания обработки данных субъекта ПДн. Оператор вправе продолжить обработку тех ПДн, по поводу которых субъект ПДн направляет отзыв согласия в случае наличия иного правового основания обработки, предусмотренных ст. 6 152‑ФЗ, в т. ч. требования закона, наличие договора, исполнение судебного акта и т. д.
6) Отработайте запрос. Сообщите о результатах исполнения требования субъекту ПДн.
Действия оператора по порядку:
1) Зарегистрировать запрос в Журнале регистрации запросов и обращений субъектов ПДн и их представителей. (см. Рисунок 1)
2) Проверьте, чтобы требование содержало обязательные реквизиты субъекта ПДн:
- фамилию, имя, отчество (при наличии);
- контактную информацию (номер телефона, адрес электронной почты или почтовый адрес);
- перечень ПДн, обработка которых подлежит прекращению.
В случае если запрос не содержит указанную выше информацию ответственный за обработку ПДн обязан запросить недостающую информацию. Если субъект ПДн отказывается предоставить запрашиваемую информацию ответственный за обработку ПДн в короткие сроки направляет такому субъекту мотивированный отказ в выполнении направленного требования.
3) Назначьте ответственного за ответ на запрос. См. п. 2 Отзыва согласия на обработку персональных данных.
4) Определите предельные сроки для исполнения отзыва. Закон не предусматривает конкретный срок для ответа на такое требование, лишь ограничиваясь формулировкой «в любое время». Это связано с крайне высоким распространением ПДн в сети Интернет, поэтому такое требование предполагает, что действия оператора будут незамедлительны и оперативны.
В этом случае мы рекомендуем операторам не затягивать с исполнением требованиям, однако придерживаться срока для ответа в три рабочих дня, который предусмотрен для ответа любым лицом, кому поступило требование от субъекта ПДн и которое обязано прекратить передачу персональных данных, разрешенных субъектом персональных данных для распространения.
5) Убедитесь, что отсутствуют иные основания обработки данных субъекта ПДн. Оператор вправе продолжить обработку тех ПДн, по поводу которых субъект ПДн направляет отзыв согласия в случае наличия иного правового основания обработки, предусмотренных ст. 6 152‑ФЗ, в т. ч. требования закона, наличие договора, исполнение судебного акта и т. д.
6) Отработайте запрос. Сообщите о результатах исполнения требования субъекту ПДн.
3) Запрос на получение сведений, касающихся обработки персональных данных
Это самый формализованный и опасный вид запроса. Субъект ПДн вправе запросить у оператора не просто подтверждение обработки, а полный объем юридически значимой информации о том, как именно обрабатываются его данные.
Действия оператора по порядку:
1) Зарегистрировать запрос в Журнале регистрации запросов и обращений субъектов ПДн и их представителей. См. Рисунок 1.
2) Проверьте, чтобы требование содержало обязательные реквизиты субъекта ПДн:
В случае если запрос не содержит указанную выше информацию ответственный за обработку ПДн обязан запросить недостающую информацию. Если субъект ПДн или его представитель отказывается предоставить запрашиваемую информацию ответственный за обработку ПДн в короткие сроки направляет такому субъекту мотивированный отказ в предоставлении сведений.
3) Назначьте ответственного за ответ на запрос. См. п. 2 Отзыва согласия на обработку персональных данных.
4) Определите предельные сроки для исполнения отзыва. Оператор обязан ответить субъекту ПДн в течение 10 рабочих дней с момента получения обращения субъекта ПДн. Срок может быть продлен на 5 рабочих дней, но только при условии мотивированного уведомления о таком продлении субъекта ПДн.
5) Проверьте, нет ли оснований для ограничения доступа субъекту ПДн к его ПДн (ч. 8 ст. 14 152‑ФЗ), например, если доступ субъекта ПДн нарушает права третьих лиц.
6) Предоставить субъекту ПДн следующую информацию в пределах срока:
Действия оператора по порядку:
1) Зарегистрировать запрос в Журнале регистрации запросов и обращений субъектов ПДн и их представителей. См. Рисунок 1.
2) Проверьте, чтобы требование содержало обязательные реквизиты субъекта ПДн:
- номер документа, удостоверяющего личность;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- информация, которая подтверждает участие оператора в обработке ПДн субъекта ПДн.
В случае если запрос не содержит указанную выше информацию ответственный за обработку ПДн обязан запросить недостающую информацию. Если субъект ПДн или его представитель отказывается предоставить запрашиваемую информацию ответственный за обработку ПДн в короткие сроки направляет такому субъекту мотивированный отказ в предоставлении сведений.
3) Назначьте ответственного за ответ на запрос. См. п. 2 Отзыва согласия на обработку персональных данных.
4) Определите предельные сроки для исполнения отзыва. Оператор обязан ответить субъекту ПДн в течение 10 рабочих дней с момента получения обращения субъекта ПДн. Срок может быть продлен на 5 рабочих дней, но только при условии мотивированного уведомления о таком продлении субъекта ПДн.
5) Проверьте, нет ли оснований для ограничения доступа субъекту ПДн к его ПДн (ч. 8 ст. 14 152‑ФЗ), например, если доступ субъекта ПДн нарушает права третьих лиц.
6) Предоставить субъекту ПДн следующую информацию в пределах срока:
- подтверждение факта обработки ПДн;
- правовые основания обработки;
- цели обработки;
- наименование и местонахождение оператора, сведения о третьих лицах, кто имеет доступ к ПДн субъекта ПДн;
- перечень обрабатываемых ПДн;
- источники получения ПДн;
- сроки обработки и хранения;
- сведения о трансграничной передаче (если есть);
- сведения о третьих лицах, которым раскрывались ПДн;
- описание применяемых мер защиты.
Важно: Запрос может быть также направлен в форме электронного документа. Оператор отвечает на запрос в той же форме, что и направлен запрос: пришел запрос на бумаге – отвечаем в бумажном виде, если был направлен в электронном виде, и ответ должен быть предоставлен в такой же форме. Иной вид ответа может быть предусмотрен в запросе субъекта ПДн.
4) Запрос на уточнение, блокирование или уничтожение персональных данных
Как только оператор получает обращение, в котором субъект персональных данных ставит под сомнение корректность, законность или необходимость обработки своих данных, такие сведения должны быть временно выведены из оборота — то есть заблокированы на период проверки.
Дальнейшие шаги зависят от того, что именно указывает субъект и что покажет внутренняя проверка.
I. Если субъект ПДн просит обновить или исправить свои данные
Если субъект подтвердил, что данные являются неточными, устаревшими или неполными (либо оператор сам это выявил), оператор обязан привести такие сведения в актуальное состояние не позднее 7 рабочих дней.
II. Если субъект ПДн считает, что данные получены или используются неправомерно
Речь идет о случаях, когда человек обнаруживает свои данные там, где, по его мнению, им не место. Если из материалов обращения видно, что данные действительно: собраны без законного основания, или явно избыточны для заявленной цели, оператор обязан удалить такие сведения в течение 7 рабочих дней.
Если же ситуация неочевидна и субъект не представил достаточных доказательств, оператор все равно должен провести собственную проверку. По ее итогам возможны два варианта:
Аналогичный алгоритм применяется и тогда, когда неправомерная обработка выявляется не по жалобе субъекта, а в ходе внутреннего контроля или проверки регулятора (например, Роскомнадзора).
III. Если субъект требует просто прекратить обработку
Иногда субъект не спорит с тем, что данные изначально собирались законно, но больше не хочет, чтобы компания продолжала их использовать — например, для рассылок или аналитики.
В такой ситуации оператору необходимо проверить, существуют ли иные правовые основания для обработки (договор, требования закона и т. п.). Если таких оснований нет, обработка должна быть остановлена в течение 10 рабочих дней (с возможным продлением еще на 5 дней при мотивированном уведомлении субъекта).
Дальнейшие шаги зависят от того, что именно указывает субъект и что покажет внутренняя проверка.
I. Если субъект ПДн просит обновить или исправить свои данные
Если субъект подтвердил, что данные являются неточными, устаревшими или неполными (либо оператор сам это выявил), оператор обязан привести такие сведения в актуальное состояние не позднее 7 рабочих дней.
II. Если субъект ПДн считает, что данные получены или используются неправомерно
Речь идет о случаях, когда человек обнаруживает свои данные там, где, по его мнению, им не место. Если из материалов обращения видно, что данные действительно: собраны без законного основания, или явно избыточны для заявленной цели, оператор обязан удалить такие сведения в течение 7 рабочих дней.
Если же ситуация неочевидна и субъект не представил достаточных доказательств, оператор все равно должен провести собственную проверку. По ее итогам возможны два варианта:
- если выяснится, что обработка нарушает закон, ее нужно прекратить в течение 3 рабочих дней или легализовать (например, получить согласие);
- если легализовать обработку невозможно, данные подлежат уничтожению в срок до 10 рабочих дней.
Аналогичный алгоритм применяется и тогда, когда неправомерная обработка выявляется не по жалобе субъекта, а в ходе внутреннего контроля или проверки регулятора (например, Роскомнадзора).
III. Если субъект требует просто прекратить обработку
Иногда субъект не спорит с тем, что данные изначально собирались законно, но больше не хочет, чтобы компания продолжала их использовать — например, для рассылок или аналитики.
В такой ситуации оператору необходимо проверить, существуют ли иные правовые основания для обработки (договор, требования закона и т. п.). Если таких оснований нет, обработка должна быть остановлена в течение 10 рабочих дней (с возможным продлением еще на 5 дней при мотивированном уведомлении субъекта).
Если вы хотите понять, что уже происходит в DNS-трафике вашей компании, где могут быть C2-коммуникации, фишинговые домены или признаки туннелирования, можно начать с внешней оценки текущей DNS-защиты.
Компания Б-152 помогает проверить архитектуру, логику фильтрации, мониторинг DNS-запросов и риски для ИСПДн и корпоративной инфраструктуры. Для такой проверки можно оставить заявку.
Типичные ошибки при ответах на запросы субъектов персональных данных
- Пропуск сроков: ставьте напоминания в календаре/CRM.
- Неполный ответ: отвечайте по каждому пункту запроса, ссылайтесь на НПА.
- Игнор «неформальных» запросов: даже email без подписи — проверяйте.
- Нет фиксации: храните журнал, копии ответов, акты уничтожения — для проверок РКН.
Заключение
Процедура предоставления ответов на запросы и требования субъектов ПДн устанавливается на локальном уровне, оператором. Учитывая, что организует прием и обработку обращений ответственный за организацию обработки, то операторам необходимо в первую очередь прописать процедуру в инструкции ответственного за организацию обработки ПДн.
За помощью в составлении инструкции, организации процесса предоставления ответов, обучении сотрудников предоставлять ответы субъектам ПДн Вы можете обращаться к нам.
За помощью в составлении инструкции, организации процесса предоставления ответов, обучении сотрудников предоставлять ответы субъектам ПДн Вы можете обращаться к нам.
Популярные вопросы
1) Можно ли требовать у субъекта паспортные данные при отзыве согласия?
Закон не предъявляет конкретных требований к форме и реквизитам отзыва согласия; оператор обязан принять отзыв и не чинить препятствия, например, требовать отправить отзыв согласия в виде отдельного письма с указанием ряда реквизитов вроде паспортных данных.
Закон не предъявляет конкретных требований к форме и реквизитам отзыва согласия; оператор обязан принять отзыв и не чинить препятствия, например, требовать отправить отзыв согласия в виде отдельного письма с указанием ряда реквизитов вроде паспортных данных.
2) Если в политике указан юридический адрес, а отзыв пришел на email, можно не исполнять?
Это не является препятствием для исполнения такого отзыва согласия со стороны оператора.
Это не является препятствием для исполнения такого отзыва согласия со стороны оператора.
3) Какие реквизиты обязательны для требования о прекращении передачи ПДн, разрешенных для распространения?
ФИО (при наличии отчества — отчество), контактная информация и перечень ПДн, обработка которых подлежит прекращению.
ФИО (при наличии отчества — отчество), контактная информация и перечень ПДн, обработка которых подлежит прекращению.
4) В какие сроки нужно отвечать на запрос о сведениях об обработке ПДн?
Оператор обязан ответить в течение 10 рабочих дней; срок может быть продлен на 5 рабочих дней при мотивированном уведомлении.
Оператор обязан ответить в течение 10 рабочих дней; срок может быть продлен на 5 рабочих дней при мотивированном уведомлении.
5) Что делать, если запрос о сведениях об обработке не содержит обязательных реквизитов?
Ответственный обязан запросить недостающую информацию; при отказе субъекта или его представителя предоставить запрашиваемую информацию направляется мотивированный отказ в предоставлении сведений.
Ответственный обязан запросить недостающую информацию; при отказе субъекта или его представителя предоставить запрашиваемую информацию направляется мотивированный отказ в предоставлении сведений.
6) Что обязан сделать оператор при сомнениях в законности/необходимости обработки данных?
Сведения должны быть заблокированы на период проверки; дальше действия зависят от обстоятельств и результатов проверки.
Сведения должны быть заблокированы на период проверки; дальше действия зависят от обстоятельств и результатов проверки.
7) Какие штрафы указаны в статье за неправильный ответ или игнорирование?
Штрафы по ч. 4, 5, 5.1 ст. 13.11 КоАП РФ: для юрлиц от 40−90 тыс. руб. за первый раз, от 300−500 тыс. руб. при повторном нарушении.
Штрафы по ч. 4, 5, 5.1 ст. 13.11 КоАП РФ: для юрлиц от 40−90 тыс. руб. за первый раз, от 300−500 тыс. руб. при повторном нарушении.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Больше практических разборов по DNS Security, фишингу, защите учетных данных, утечкам и ошибкам в ИБ-процессах публикуем в Telegram-канале компании Б-152.
Материалы по теме