Может ли субъект требовать копию всех его персональных данных у компании?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, субъект персональных данных имеет право запросить у компании (оператора ПДн) информацию о том, какие именно его данные обрабатываются, в каких целях и каким образом. Более того, организация обязана предоставить субъекту подтверждение факта обработки ПДн, а также предоставить возможность ознакомиться с этими данными.

Однако требовать «копию всех документов», содержащих его персональные данные, субъект не может. Компания обязана выдать только информацию, предусмотренную законом: какие данные обрабатываются, откуда они получены, в каких целях используются, кому передаются и как долго будут храниться. Если субъект просит копию именно персональных данных (например, копию записи в базе, копию анкеты), организация должна предоставить эти сведения в разумных пределах. Но копии внутренних документов (например, приказы, акты, договоры с другими лицами), где фигурируют иные сведения, не обязаны передаваться субъекту.

Обоснование по законодательству

• 152-ФЗ «О персональных данных»:
  • Ст. 14 ч. 1 — субъект имеет право требовать от оператора подтверждения факта обработки его ПДн, а также получать информацию об обработке в доступной форме.
  • Ст. 14 ч. 2 — оператор обязан предоставить сведения:
    • подтверждение факта обработки;
    • правовые основания и цели обработки;
    • способы обработки;
    • сведения о лицах, имеющих доступ к данным;
    • перечень обрабатываемых ПДн;
    • сроки обработки;
    • сведения об осуществлённой или предполагаемой трансграничной передаче;
    • порядок реализации прав субъекта.
• Ст. 14 ч. 3 — субъект вправе требовать от оператора уточнения, блокирования или уничтожения его ПДн, если данные неполные, устаревшие, неточные, незаконно полученные.

Типичные ошибки организаций

• Игнорируют запросы субъектов на предоставление информации о ПДн.
• Предоставляют избыточные сведения, включая внутренние документы, что создаёт риски утечек и нарушения режима конфиденциальности.
• Не устанавливают внутри компании процедуру обработки запросов субъектов.

Особенности применения на практике

• Организация должна вести регламент обработки запросов субъектов.
• Ответ предоставляется в течение 30 дней с момента получения запроса.
• Форма предоставления — письменная или электронная, в зависимости от того, как обратился субъект.
• При предоставлении информации организация должна учитывать требования к защите конфиденциальных сведений (например, не раскрывать данные третьих лиц).

Рекомендации и выводы

1. Да, субъект имеет право запросить копию своих персональных данных и сведения об их обработке.
2. Организация обязана предоставить именно данные субъекта и информацию по ст. 14 152-ФЗ, но не обязана раскрывать все внутренние документы.
3. В компании должен быть утверждён порядок обработки таких запросов: назначено ответственное лицо, установлен срок и форма ответа.
4. Запросы необходимо документировать, чтобы при проверке Роскомнадзор организация могла подтвердить исполнение требований закона.

Если вы хотите быть уверены, что ваша организация правильно реагирует на запросы субъектов и у вас разработаны корректные процедуры и документы для защиты от претензий, — компания ICTech подготовит для вас полный пакет документов по обработке персональных данных. В него входят регламенты по работе с запросами субъектов, формы ответов и внутренние инструкции. Это поможет вам избежать ошибок, защитить бизнес от штрафов и выстроить доверительные отношения с клиентами.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге