Может ли субъект потребовать список всех получателей его персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, субъект персональных данных вправе потребовать у оператора полный список всех лиц, которым его данные были переданы. Это право прямо закреплено в ФЗ-152. Оператор обязан не только подтвердить сам факт передачи, но и указать конкретные организации или органы власти, которым предоставлялись данные, а также основания и цели такой передачи.

Что субъект может требовать:

• список всех фактических получателей его ПДн (организации, госорганы, подрядчики);
• цели передачи (например, исполнение договора, выполнение требований закона);
• правовые основания (согласие субъекта, федеральный закон, условия договора).

Если данные никому не передавались, оператор обязан письменно сообщить об этом субъекту.

Обоснование по законодательству

• Ст. 14 ФЗ-152, ч. 7 — субъект имеет право требовать от оператора сведения о лицах, получивших его персональные данные.
• Ст. 14 ФЗ-152, ч. 9 — оператор обязан предоставить такие сведения в срок до 30 дней либо направить мотивированный отказ.
• Ст. 20 ФЗ-152 — регулирует порядок рассмотрения обращений субъектов и сроки ответа.

Практика и позиция Роскомнадзора

Роскомнадзор неоднократно разъяснял, что в ответе субъекту нужно указывать именно конкретные организации, а не абстрактные формулировки вроде «данные могли быть переданы третьим лицам».

Пример: субъект запросил у банка информацию о передаче его данных. В ответ банк указал ФНС, Бюро кредитных историй и страховую компанию, сославшись на соответствующие законы. Проверка РКН подтвердила, что такой ответ соответствует ФЗ-152.

В другом случае интернет-магазин ответил клиенту, что «данные передаются курьерским службам». Роскомнадзор признал это нарушением — требовалось указать конкретных подрядчиков.

Важный момент для организаций

Чтобы ответить субъекту корректно, оператору нужно вести внутренний учёт всех фактов передачи данных. Без такого учёта сложно будет подготовить полный список, и это приведёт к претензиям со стороны РКН.

Рекомендации и выводы

Да, субъект может требовать список всех получателей его данных, и оператор обязан его предоставить. Чтобы соответствовать закону:

1. Ведите журнал или реестр всех случаев передачи ПДн.
2. Указывайте цели и основания каждой передачи.
3. Подготовьте шаблон ответа субъекту с конкретизацией получателей.
4. Включите порядок документирования передач в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации наладить учёт всех передач ПДн, подготовить внутренние регламенты и шаблоны ответов субъектам, чтобы пройти проверки Роскомнадзора без нарушений.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге