Как субъект может потребовать доступ к своим персональным данным?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Субъект персональных данных имеет право запросить у оператора информацию о том, какие его данные обрабатываются, с какой целью, кому они передаются и как долго хранятся. Это право закреплено в ФЗ-152, и оператор обязан предоставить такую информацию в установленный срок.

Как субъект может обратиться:

• в письменной форме — направить заявление почтой или лично;
• в электронной форме — через официальный сайт, электронную почту или форму обратной связи (при условии возможности подтверждения личности);
• через представителя — при наличии нотариально заверенной доверенности.

Что субъект должен указать в заявлении:

• ФИО, реквизиты удостоверяющего документа (паспорт);
• сведения о подтверждении участия в отношениях с оператором (например, договор, номер заявки);
• подпись субъекта (или ЭП при электронном обращении).

Оператор обязан предоставить доступ в течение 30 дней с момента получения запроса.

Обоснование по законодательству

• Ст. 14 ФЗ-152 — субъект имеет право на получение информации об обработке его ПДн.
• Ст. 20 ФЗ-152 — оператор обязан рассматривать обращения субъектов в срок до 30 дней.
• Ст. 22 ФЗ-152 — предусматривает обязанность оператора фиксировать обработку ПДн и обеспечивать возможность контроля.

Практика и позиция Роскомнадзора

Роскомнадзор при проверках обращает внимание на порядок работы с запросами субъектов. В организациях должны быть утверждены правила приёма и обработки таких запросов.

Пример: клиент банка подал заявление о предоставлении сведений о своих ПДн. Банк направил ему полный перечень обрабатываемых данных и информацию о третьих лицах, которым данные передавались. Это соответствовало требованиям закона.

В другом случае интернет-магазин проигнорировал электронный запрос клиента. РКН признал это нарушением, так как форма обращения была допустимой, и обязал организовать порядок приёма запросов в электронном виде.

Важный момент для организаций

Право на доступ — одно из ключевых у субъекта. Игнорирование обращений или предоставление неполной информации расценивается как нарушение ФЗ-152. Поэтому компании необходимо закрепить процедуру обработки запросов в локальных актах и назначить ответственного.

Рекомендации и выводы

Да, субъект может требовать доступ к своим данным, и оператор обязан это обеспечить. Чтобы действовать законно:

1. Примите порядок рассмотрения запросов субъектов.
2. Установите канал приёма обращений (почта, e-mail, форма на сайте).
3. Подготовьте форму ответа, включающую все обязательные сведения.
4. Включите порядок обработки запросов в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации разработать порядок взаимодействия с субъектами ПДн, подготовить формы заявлений и ответы для проверки РКН, а также включить их в полный пакет документов по ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге