Что делать, если субъект требует ограничить использование данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Компания обязана рассмотреть обращение субъекта и привести обработку персональных данных в соответствие с его требованиями, если они законны. Это означает, что оператор может:

- ограничить круг целей обработки (например, оставить только договорные обязательства, исключив маркетинг);
- приостановить отдельные способы использования (рассылки, звонки, публикации);
- заблокировать часть данных до уточнения обстоятельств.

Важный момент: требование субъекта должно исполняться в разумный срок, а результат — подтверждаться документально. Игнорирование запроса будет квалифицироваться как нарушение ФЗ-152.

Обоснование по законодательству

• Ст. 5, ч. 2 ФЗ-152 — обработка должна быть ограничена достижением конкретных целей.
• Ст. 9 ФЗ-152 — согласие субъекта определяет цели и способы обработки, и субъект вправе ограничить их.
• Ст. 14, ч. 1 ФЗ-152 — субъект имеет право требовать уточнения, блокирования или уничтожения своих данных, если они обрабатываются неправомерно.
• Ст. 21 ФЗ-152 — оператор обязан прекратить обработку ПДн при достижении целей или отзыве согласия.
• Ст. 13.11 КоАП РФ — нарушение прав субъекта ПДн влечёт штраф.

Позиция Роскомнадзора и примеры практики

Роскомнадзор неоднократно указывал, что оператор не вправе использовать ПДн шире, чем это определено согласиями субъектов. В одной из проверок организация получала согласие клиентов на договорные отношения, но использовала телефоны для рекламы. После жалоб клиентов Роскомнадзор квалифицировал это как нарушение прав субъекта и обязал исключить маркетинговую обработку.

Есть и обратные примеры: компания выстроила процедуру реагирования на запросы субъектов — все обращения фиксировались, данные блокировались или удалялись в установленные сроки. Такой подход Роскомнадзор признал корректным и рекомендовал в качестве практики.

На что обратить внимание компании

Если субъект требует ограничить использование данных, оператору нужно не просто «удалить часть информации», а действовать по процедуре. Важно задокументировать: какое обращение поступило, какие действия предприняты, кто ответственен. Это поможет подтвердить законность действий в случае проверки или спора.

Рекомендации и выводы

Если субъект требует ограничить использование его данных, компании необходимо:

1. Принять и зарегистрировать обращение.
2. Проверить законность требований (например, данные, которые хранятся по закону, удалять нельзя, но можно ограничить другие цели).
3. Блокировать или прекратить использование данных для целей, от которых субъект отказался.
4. Подтвердить субъекту факт выполнения его требования.
5. Включить порядок реагирования на такие запросы в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент обработки обращений субъектов ПДн, подготовить шаблоны ответов и встроить процедуры ограничения обработки в пакет документов по ФЗ-152. Это позволит действовать строго по закону и снизит риски претензий со стороны Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге