Какие обязанности у оператора перед субъектами персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Федеральный закон № 152-ФЗ возлагает на оператора (организацию или ИП, которые собирают и используют ПДн) целый ряд обязанностей по отношению к субъектам данных. Эти обязанности направлены на то, чтобы у человека сохранялся контроль над своей информацией, а компания обеспечивала её защиту и законность обработки.

Основные обязанности оператора перед субъектами ПДн:

1. Информирование субъекта
   • сообщить, кто является оператором, для каких целей и какими способами обрабатываются данные;
   • предоставить сведения о сроках хранения и о том, кому передаются данные (ст. 18, 14 ФЗ-152).
2. Обеспечение доступа к своим данным
   • по запросу субъекта предоставить информацию о его персональных данных, об источнике получения, целях, способах обработки (ст. 14–15 ФЗ-152).
3. Уточнение, блокировка и уничтожение данных
   • исправить неточные или устаревшие данные по обращению субъекта;
   • блокировать или удалить данные, если они обрабатываются незаконно или больше не нужны (ст. 16 ФЗ-152).
4. Прекращение обработки по отзыву согласия
   • прекратить обработку данных, если субъект отозвал согласие и отсутствуют иные основания для хранения (ст. 9 ФЗ-152).
5. Защита данных
   • принимать организационные и технические меры для защиты ПДн от утечек, неправомерного доступа, уничтожения или изменения (ст. 19 ФЗ-152).
6. Ответ на обращения субъектов
   • оператор обязан рассмотреть запрос субъекта и дать письменный ответ в течение 30 дней (ст. 14 ФЗ-152).

Обоснование по законодательству

• Ст. 14 ФЗ-152 — право субъекта на информацию о своих данных и обязанность оператора её предоставить.
• Ст. 15–16 ФЗ-152 — обязанность уточнять, блокировать и уничтожать данные.
• Ст. 9 ФЗ-152 — обязанность прекратить обработку при отзыве согласия.
• Ст. 19 ФЗ-152 — обязанность обеспечить безопасность ПДн.
• Ст. 21 ФЗ-152 — оператор обязан организовать взаимодействие с субъектами и Роскомнадзором.

Практика проверок Роскомнадзора

Клиент обратился в компанию с требованием удалить его данные, но ответа не получил. Проверка установила нарушение — оператор обязан рассматривать обращения субъектов и давать официальный ответ.

В образовательной организации не обновляли данные студентов по их обращениям. Роскомнадзор квалифицировал это как нарушение ст. 16 ФЗ-152.

Важный нюанс

Даже если у оператора есть согласие субъекта, он обязан соблюдать все принципы обработки и права субъекта. Отсутствие регламента рассмотрения обращений — одна из частых причин штрафов.

Рекомендации и выводы

Оператор обязан обеспечить субъектам ПДн:

1. Прозрачность — раскрывать цели и способы обработки.
2. Доступ — предоставлять копии и сведения по запросу.
3. Контроль — исправлять, блокировать или уничтожать данные.
4. Защиту — применять меры безопасности.
5. Реакцию — отвечать на обращения в течение 30 дней.

Организация должна закрепить порядок исполнения этих обязанностей в комплекте документов по 152-ФЗ.

Компания ICTech поможет разработать регламенты взаимодействия с субъектами и включить их в пакет документов по ФЗ-152. Это позволит вашей компании безопасно и законно работать с персональными данными.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге