Как субъект может узнать, какие персональные данные о нём обрабатываются?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Субъект имеет полное право запросить у оператора информацию о том, какие персональные данные собираются, хранятся и используются. Это один из ключевых механизмов защиты, закреплённых в ФЗ-152. Организация обязана бесплатно предоставить такую информацию по письменному запросу субъекта.

Что субъект может запросить:

• подтверждение факта обработки ПДн;
• перечень персональных данных, которые оператор хранит;
• цели и правовые основания обработки;
• способы обработки (сбор, хранение, передача, обезличивание и др.);
• сведения о сроках хранения;
• перечень лиц, которым передавались данные;
• сведения об источнике получения данных (если они не были предоставлены самим субъектом).

Как подаётся запрос:

• в письменной форме (письмом на адрес компании или вручением лично);
• в электронной форме (с усиленной электронной подписью или через личный кабинет/«Госуслуги», если реализовано).

Оператор обязан ответить в течение 30 дней с момента получения запроса.

Обоснование по законодательству

• Ст. 14 ФЗ-152 — закрепляет право субъекта на получение информации об обработке его ПДн.
• Ст. 15 ФЗ-152 — оператор обязан предоставить субъекту доступ к его персональным данным.
• Ст. 21 ФЗ-152 — оператор обязан организовать взаимодействие с субъектами.

Практика проверок Роскомнадзора

Клиент банка запросил сведения о том, какие его данные обрабатываются. Банк отказал. Проверка установила нарушение — по ст. 14 ФЗ-152 оператор обязан предоставлять такую информацию.

В образовательной организации студент запросил информацию о своих данных, и ему предоставили копию личного дела. Роскомнадзор подтвердил правильность исполнения закона.

Важный нюанс

Если субъект не может подтвердить личность, оператор вправе отказать в предоставлении данных, чтобы защитить информацию от третьих лиц. Информация предоставляется бесплатно, но оператор вправе требовать оплату за многократные запросы одного и того же лица (ч. 3 ст. 14 ФЗ-152).

Рекомендации и выводы

Субъект может узнать, какие данные о нём обрабатываются, направив запрос оператору. Организация обязана:

1. Разработать регламент рассмотрения запросов субъектов.
2. Назначить ответственного за приём и подготовку ответов.
3. Составлять письменные ответы в течение 30 дней.
4. Включить порядок работы с запросами в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент работы с обращениями субъектов ПДн и встроить их в пакет документов по 152-ФЗ. Это позволит избежать претензий Роскомнадзора и жалоб граждан.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге