Алексей Ветров
Эксперт по защите данных IC-TECH
Ответы субъектам персональных данных на их запросы должны оформляться так, чтобы организация могла доказать не только сам факт ответа, но и его содержание, сроки и способ отправки. Это критично, так как Роскомнадзор проверяет именно полноту и своевременность исполнения обязанностей оператора.
Обоснование по законодательству
- ФЗ-152, ст. 14 — оператор обязан по запросу субъекта предоставить информацию о его данных, целях и правовых основаниях обработки.
- ФЗ-152, ст. 21 — субъект вправе требовать уточнения, блокировки или уничтожения данных, а оператор обязан подтвердить выполнение таких требований.
- ФЗ-152, ст. 18.1 — все организационные меры должны быть документированы.
- Методические рекомендации Роскомнадзора — фиксировать обращения субъектов и ответы на них необходимо для доказательства выполнения требований закона.
Какие документы оформлять
- Журнал регистрации обращений субъектов — фиксирует входящие запросы (дата, ФИО, содержание запроса, срок ответа, ответственное лицо).
- Копия ответа субъекту — хранится в бумажном или электронном виде, с реквизитами исходящего письма.
- Подтверждение отправки — почтовая квитанция, уведомление о вручении, электронные логи доставки или отметка о получении по e-mail.
- Акт/отчёт о выполнении требований — если запрос связан с изменением, блокировкой или удалением данных.
- Внутренний приказ (при необходимости) — если выполнение запроса требует действий от подразделений.
Практика проверок Роскомнадзора
- В одной организации запросы субъектов обрабатывались устно и не фиксировались документально. РКН указал на нарушение — доказательств исполнения обязанностей не было.
- Другая компания вела журнал запросов, хранила копии всех ответов и квитанции о вручении — проверка подтвердила соответствие требованиям ФЗ-152.
- РКН также отмечает, что ответы должны быть полными: нельзя ограничиваться общей формулировкой «ваши данные обрабатываются законно», необходимо указывать цели, основания, категорию ПДн, срок хранения и т. д.
Что важно учитывать
- Срок ответа по закону — 30 дней с момента получения запроса.
- Все действия (от регистрационного номера до подтверждения отправки) должны фиксироваться.
- В случае массовых запросов (например, при рассылке уведомлений об изменении политики) лучше составлять общий отчёт и прикладывать доказательства рассылки.
Рекомендации и выводы
Документирование ответов субъектам на их запросы — обязанность, которая позволяет организации:
- Избежать претензий со стороны Роскомнадзора.
- Подтвердить законность и прозрачность работы с ПДн.
- Систематизировать взаимодействие с субъектами.
Компания ICTech поможет вашей организации разработать регламент обработки запросов субъектов, шаблоны ответов и журнал учёта. Это позволит грамотно фиксировать все действия и успешно пройти проверку надзорных органов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
