Какие обязанности у компании при изменении данных по просьбе субъекта?

Когда субъект персональных данных обращается с требованием изменить (уточнить, дополнить или обновить) свои данные, компания обязана выполнить это в установленные законом сроки. Обязанность оператора заключается не только в техническом изменении записи, но и в документальном оформлении процесса, а также в информировании всех сторон, которым ранее были переданы неверные данные.

Что должна сделать компания:

1. Принять запрос от субъекта (в письменной форме или через электронный канал, позволяющий идентифицировать заявителя).
2. Проверить обоснованность требований (например, запрос должен сопровождаться подтверждающими документами).
3. Уточнить, обновить или дополнить данные в базе.
4. При необходимости — заблокировать данные на время проверки достоверности.
5. Сообщить субъекту о внесённых изменениях.
6. Уведомить всех третьих лиц, которым данные были переданы, об изменениях, чтобы они также корректировали свои записи.

Обоснование по законодательству

• Ст. 14, ч. 1 ФЗ-152 — субъект имеет право требовать уточнения своих данных.
• Ст. 14, ч. 3 ФЗ-152 — оператор обязан уточнять, блокировать или уничтожать недостоверные данные по запросу субъекта или уполномоченного органа.
• Ст. 21, ч. 1 ФЗ-152 — оператор обязан уничтожить или уточнить данные при достижении целей или при выявлении их недостоверности.
• Ст. 19 ФЗ-152 — оператор должен обеспечить организационные меры, включая порядок реагирования на такие запросы.
• Ст. 13.11 КоАП РФ — нарушение прав субъекта на уточнение ПДн влечёт штраф.

Практика и разъяснения Роскомнадзора

Роскомнадзор в методических материалах подчёркивает: оператор обязан не только исправить данные в своих системах, но и уведомить о корректировке все организации, которым данные были раскрыты. Например, если компания передавала сведения о сотруднике в бухгалтерскую аутсорсинговую фирму, она обязана сообщить туда об изменениях.

В одной из проверок клиент потребовал обновить номер телефона. Компания данные у себя изменила, но партнёрам (службе доставки) не передала актуальную информацию. РКН расценил это как нарушение прав субъекта.

Важный момент для компаний

Процесс изменения ПДн должен быть закреплён во внутренних документах. Рекомендуется вести журнал обращений субъектов и фиксировать все действия по корректировке данных. Это поможет доказать добросовестность компании при проверках.

Рекомендации и выводы

Компания обязана выполнять требования субъекта об изменении данных. Для этого нужно:

1. Организовать приём и регистрацию запросов субъектов.
2. Проверять и подтверждать корректность новых сведений.
3. Обновлять данные и документировать процесс (акт, запись в журнале).
4. Информировать субъектов и всех третьих лиц о внесённых изменениях.
5. Включить порядок изменения ПДн в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации выстроить регламент работы с обращениями субъектов, подготовить шаблоны уведомлений и встроить порядок изменения ПДн в пакет документов. Это позволит законно обрабатывать запросы и снизит риски претензий со стороны Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге