Какие обязанности у компании при обращении субъекта персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Федеральный закон № 152-ФЗ закрепляет за субъектами персональных данных широкий круг прав, а на операторов (компании) возлагает обязанность обеспечивать их реализацию. Когда субъект обращается с запросом, оператор обязан действовать в установленные законом сроки и в полном объёме.

Основные обязанности компании при обращении субъекта ПДн:

1. Принять и зарегистрировать обращение
   • заявление может быть подано письменно, по почте, через интернет или личный кабинет (с подтверждением личности субъекта).
   • оператор должен вести журнал учёта обращений.
2. Предоставить информацию
   • подтвердить факт обработки ПДн;
   • сообщить цели, способы и сроки обработки;
   • указать, какие данные хранятся, откуда они получены и кому передаются (ст. 14 ФЗ-152).
3. Обеспечить доступ к данным
   • предоставить копии персональных данных субъекта (ст. 15 ФЗ-152).
4. Исправить, заблокировать или уничтожить данные
   • уточнить неточные сведения;
   • заблокировать незаконно обрабатываемые ПДн;
   • уничтожить данные, если согласие отозвано или цели обработки достигнуты (ст. 16 ФЗ-152).
5. Соблюдать сроки ответа
   • оператор обязан ответить субъекту в течение 30 дней;
   • при спорных данных — провести проверку и в течение 7 рабочих дней уточнить информацию.
6. Дать мотивированный отказ
   • если компания не может выполнить требование (например, документы должны храниться по закону), субъекту нужно дать письменное обоснование.

Обоснование по законодательству

• Ст. 14 ФЗ-152 — обязанность предоставить субъекту информацию о его данных.
• Ст. 15 ФЗ-152 — обязанность предоставить доступ к данным.
• Ст. 16 ФЗ-152 — обязанность блокировать и уточнять данные.
• Ст. 9 ФЗ-152, ч. 5 — обязанность прекратить обработку при отзыве согласия (если нет других оснований).
• Ст. 21 ФЗ-152 — обязанность организовать взаимодействие с субъектами.

Примеры из проверок Роскомнадзора

В страховой компании проигнорировали запрос клиента об удалении данных. Роскомнадзор назначил штраф за нарушение сроков и обязанностей оператора.

В банке предоставили клиенту неполный перечень его данных. Проверка установила нарушение ст. 14 ФЗ-152, так как оператор обязан раскрывать полный объём информации.

Важный нюанс

Ответ должен быть официальным и документально зафиксированным (письмо, электронное уведомление).

Все действия (исправление, блокировка, уничтожение) фиксируются актами и внутренними журналами.

Рекомендации и выводы

Компания при обращении субъекта ПДн обязана:

1. Принять и зарегистрировать запрос.
2. В течение 30 дней предоставить информацию или выполнить требуемые действия.
3. Исправить, заблокировать или уничтожить данные, если основания есть.
4. Оформить письменный ответ (выполнение или мотивированный отказ).
5. Включить порядок работы с обращениями в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент работы с обращениями субъектов, подготовить шаблоны ответов и актов, включив всё это в пакет документов по 152-ФЗ. Это обеспечит законность обработки и защиту от претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге