Можно ли отказать субъекту в доступе к его персональным данным?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, закон допускает отказ субъекту в предоставлении доступа к его персональным данным, но только в строго определённых случаях. В общем порядке субъект всегда имеет право знать, какие его данные обрабатываются и с какой целью. Однако ФЗ-152 предусматривает исключения, когда оператор вправе отказать.

Случаи, когда возможен отказ:

• если предоставление данных нарушает права и законные интересы третьих лиц;
• если обработка осуществляется в рамках оперативно-розыскной, контрразведывательной или иной деятельности, связанной с обеспечением безопасности государства (и субъект был обоснованно ограничен в доступе);
• если данные уничтожены по достижении целей обработки;
• если запрос поступил от лица, не подтвердившего полномочия (например, представителя без нотариальной доверенности).

В любом случае отказ должен быть мотивированным и оформлен письменно, с указанием правовой нормы, на основании которой ограничен доступ.

Обоснование по законодательству

• Ст. 14 ФЗ-152, ч. 8 — оператор вправе отказать в предоставлении информации субъекту, если это нарушает права и свободы других лиц.
• Ст. 14 ФЗ-152, ч. 9 — оператор обязан сообщить субъекту об отказе, с указанием причин.
• Ст. 20 ФЗ-152 — регулирует порядок рассмотрения запросов и обязывает оператора отвечать в срок до 30 дней, включая случаи отказа.

Практика и позиция Роскомнадзора

Роскомнадзор подчёркивает: отказ не может быть «общим» или «по усмотрению». Например, недопустимо ссылаться на «коммерческую тайну» для отказа в предоставлении данных самому субъекту.

Пример: клиент запросил информацию о своих данных у страховой компании. Компания отказала, сославшись на внутренние правила. РКН признал отказ незаконным, так как закон не предусматривает такой причины.

В другом случае организация отказала в доступе, так как в запросе не было доказательства, что лицо действительно является представителем субъекта. Такой отказ признали законным.

Важный момент для организаций

Отказ — это исключение, а не правило. Каждое обращение субъекта должно рассматриваться индивидуально, и отказ возможен только при наличии прямого основания в законе.

Рекомендации и выводы

Да, отказ возможен, но только в случаях, предусмотренных ФЗ-152. Чтобы действовать правильно:

1. Рассматривайте каждый запрос субъекта и проверяйте его полномочия.
2. Если основания для отказа есть, оформляйте письменное уведомление с указанием нормы закона.
3. Фиксируйте все отказы во внутреннем журнале обращений.
4. Включите порядок отказа в комплект документов по ФЗ-152, чтобы быть готовыми к проверкам РКН.

Компания ICTech поможет вашей организации разработать регламенты по работе с запросами субъектов, подготовить шаблоны отказов и включить их в полный пакет документов для соблюдения ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге