Чтобы правильно реагировать на запросы субъектов персональных данных, организация должна иметь не только техническую возможность, но и документально оформленные процедуры. Это важно, так как ФЗ-152 обязывает операторов обеспечивать права субъектов, включая предоставление сведений об обработке, исправление или удаление данных.
Обоснование по законодательству
- Ст. 14 ФЗ-152 — субъект имеет право получить информацию об обработке его ПДн.
- Ст. 21 ФЗ-152 — оператор обязан предоставить субъекту ПДн сведения по его запросу в срок не более 30 дней.
- Ст. 22 ФЗ-152 — закрепляет обязанность оператора рассматривать обращения субъектов и предоставлять им доступ к данным.
- Ст. 19 ФЗ-152 — требует документально оформлять организационные меры по защите прав субъектов.
Документы, которые должны быть в организации
- Регламент обработки запросов субъектов ПДн — пошаговый порядок приёма, регистрации и рассмотрения обращений.
- Журнал регистрации запросов субъектов ПДн — фиксирует факт поступления обращения, дату, срок ответа, результат.
- Форма ответа субъекту — шаблон письма, включающий обязательные сведения (какие данные обрабатываются, в каких целях, кому передаются, срок хранения и т.д.).
- Приказ о назначении ответственного за работу с запросами субъектов — определяет сотрудника или подразделение, отвечающее за приём и обработку обращений.
- Инструкции для сотрудников — как действовать при получении запроса, в том числе по каналам e-mail, почтой, лично.
Практика проверок Роскомнадзора
В ходе проверок инспекторы часто просят предоставить журнал регистрации запросов субъектов. В одной из проверок у организации отсутствовал порядок обработки обращений, и сотрудники не могли подтвердить, как именно фиксируются и рассматриваются запросы. Это квалифицировали как нарушение ст. 19 ФЗ-152. Наличие внутреннего регламента и журналов помогает подтвердить прозрачность и законность работы компании.
Рекомендации и выводы
Для корректной работы с обращениями субъектов ПДн организация должна утвердить регламент, назначить ответственных лиц, вести журнал регистрации запросов и использовать шаблоны ответов. Это позволит:
- обеспечить права субъектов;
- снизить риски жалоб в Роскомнадзор;
- доказать, что компания соблюдает требования ФЗ-152.
Компания ICTech разработает для вашей организации полный комплект документов для работы с запросами субъектов — от регламента и приказов до журналов и шаблонов ответов. Это позволит быстро реагировать на обращения и избежать претензий со стороны регуляторов.
