Что должен сообщить оператор:
- список лиц (организаций или госорганов), которым передавались данные;
- цели передачи;
- правовое основание передачи (закон, договор, согласие субъекта).
Если оператор не передавал данные третьим лицам, он обязан письменно уведомить об этом субъекта.
Обоснование по законодательству
- Ст. 14 ФЗ-152, ч. 7 — субъект имеет право требовать сведения о лицах, которые получили его ПДн, или которым они могут быть раскрыты.
- Ст. 14 ФЗ-152, ч. 9 — оператор обязан предоставить такие сведения в течение 30 дней либо мотивированно отказать.
- Ст. 20 ФЗ-152 — регулирует порядок и сроки рассмотрения обращений субъектов.
Практика и позиция Роскомнадзора
Роскомнадзор подчёркивает: в ответе субъекту нельзя ограничиться формулировкой «данные передаются третьим лицам». Нужно указать конкретные организации и правовые основания.
Пример: субъект запросил у работодателя сведения, кому передавались его данные. В ответе указали ФНС, ПФР и страховую компанию с обоснованием по закону. Проверка признала это корректным.
В другом случае компания сообщила, что «данные могли передаваться подрядчикам», без уточнения названий организаций. РКН признал это нарушением, так как субъект не получил конкретной информации.
Важный момент для организаций
Компании должны заранее фиксировать в локальных актах, кому и на каком основании они передают ПДн. Это позволит при обращении субъектов подготовить корректный ответ и избежать претензий надзорных органов.
Рекомендации и выводы
Да, оператор обязан сообщать субъекту, кому передавались его данные. Чтобы действовать правильно:
- Ведите учёт всех случаев передачи ПДн третьим лицам.
- Фиксируйте основания передачи (согласие, договор, закон).
- Подготовьте шаблон ответа субъекту на такие запросы.
- Включите порядок информирования субъектов в комплект документов по ФЗ-152.
Компания ICTech поможет вашей организации выстроить процесс документирования передач ПДн и подготовить регламентированные ответы субъектам, что позволит пройти проверку РКН без нарушений.
