Может ли субъект потребовать полный отчёт о том, кто имел доступ к его данным?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, субъект персональных данных имеет право запросить у оператора информацию об обработке его данных, включая сведения о том, кому эти данные передавались. Однако закон не обязывает оператора предоставлять «полный технический отчёт» с детализацией действий конкретных сотрудников (например, кто и в какой день открыл файл). Оператор обязан предоставить именно юридически значимую информацию о фактах обработки и передаче.

Что субъект может запросить:

факт обработки его ПДн;
цели и правовые основания обработки;
список персональных данных, которыми владеет оператор;
источники получения данных;
срок хранения;
сведения о лицах, которые получили доступ к данным или которым данные были переданы (например, подрядчики, колл-центр, бухгалтерия на аутсорсе).

Что оператор не обязан предоставлять:

внутренние журналы аудита информационных систем;
детализацию действий сотрудников (открытие, просмотр, копирование файлов).

Обоснование по законодательству

• Ст. 14, ч. 7 ФЗ-152 — оператор обязан предоставить субъекту по его запросу информацию, включая:
  • подтверждение факта обработки;
  • цели и способы обработки;
  • сведения о лицах, имеющих доступ или которым данные раскрывались;
  • сроки обработки;
  • порядок осуществления прав субъекта.
• Ст. 20 ФЗ-152 — оператор обязан обеспечить доступ субъекта к информации об обработке данных.
• Ст. 13.11 КоАП РФ — нарушение прав субъектов ПДн влечёт штраф.

Позиция Роскомнадзора и примеры практики

Роскомнадзор в разъяснениях отмечает: субъект вправе знать, кому были раскрыты его ПДн, но это касается категорий получателей или конкретных организаций, а не сотрудников внутри компании. Например, оператор должен сообщить: «данные передавались курьерской службе ООО «Доставка»», но не обязан раскрывать, что Иванов И.И. из отдела логистики просмотрел заказ.

В одном из кейсов субъект запросил у компании все логи доступа к его данным. Организация предоставила сведения о целях обработки и контрагентах, но не детализировала доступ сотрудников. Роскомнадзор подтвердил, что этого достаточно для исполнения требований закона.

Важный аспект для операторов

Компании должны быть готовы к таким запросам: вся информация о передаче данных третьим лицам должна фиксироваться и храниться. Если организация не может показать, кому передавались данные, это будет считаться нарушением принципа прозрачности обработки.

Рекомендации и выводы

Да, субъект может требовать отчёт о том, кому были раскрыты его данные. Компании нужно:

1. Фиксировать все случаи передачи ПДн третьим лицам.
2. Быть готовыми предоставить субъекту сведения об организациях и целях передачи.
3. Не путать права субъекта с обязанностью раскрывать внутренние технические журналы доступа.
4. Закрепить порядок предоставления такой информации в комплекте документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать порядок реагирования на запросы субъектов, подготовить шаблоны ответов и встроить их в пакет документов по ФЗ-152. Это позволит корректно исполнять права субъектов и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге