Алексей Ветров
Эксперт по защите данных IC-TECH
Отказать субъекту в предоставлении информации о его персональных данных можно только в случаях, прямо предусмотренных законом. По общему правилу организация (оператор ПДн) обязана предоставить субъекту сведения об обработке его персональных данных в течение 30 дней с момента получения запроса.
Но есть исключения. В предоставлении информации можно отказать, если:
сведения относятся к государственным тайнам;
доступ субъекта к данным нарушает права и законные интересы третьих лиц;
обработка ПДн ведётся в рамках оперативно-розыскной деятельности, обороны, безопасности и т.д.;
субъект обращается неоднократно в течение короткого периода, а данные уже были предоставлены и с тех пор изменений не произошло.
При этом отказ должен быть обоснованным и оформленным письменно со ссылкой на соответствующую норму закона. Просто проигнорировать запрос или отказать без объяснения организация не имеет права.
Но есть исключения. В предоставлении информации можно отказать, если:
сведения относятся к государственным тайнам;
доступ субъекта к данным нарушает права и законные интересы третьих лиц;
обработка ПДн ведётся в рамках оперативно-розыскной деятельности, обороны, безопасности и т.д.;
субъект обращается неоднократно в течение короткого периода, а данные уже были предоставлены и с тех пор изменений не произошло.
При этом отказ должен быть обоснованным и оформленным письменно со ссылкой на соответствующую норму закона. Просто проигнорировать запрос или отказать без объяснения организация не имеет права.
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 14 ч. 1 — субъект имеет право требовать от оператора подтверждения факта обработки его ПДн и получать сведения в доступной форме.
- Ст. 14 ч. 8 — оператор обязан предоставить информацию или обоснованный отказ.
- Ст. 14 ч. 9 — оператор вправе отказать в предоставлении информации, если:
- обработка ПДн осуществляется в целях обороны, безопасности государства, охраны правопорядка;
- доступ субъекта нарушает права и законные интересы третьих лиц.
Типичные ошибки организаций
- Полностью игнорируют запросы субъектов, что сразу фиксируется как нарушение.
- Формулируют отказы без ссылок на закон, что приводит к жалобам в Роскомнадзор.
- Не разграничивают ситуации, когда отказ правомерен (например, защита прав третьих лиц), и когда это нарушение.
Особенности применения на практике
- При получении запроса организация должна проверить, не попадает ли ситуация под исключения, и только в этом случае подготовить письменный отказ.
- Если оснований для отказа нет, организация обязана предоставить субъекту все сведения, предусмотренные ст. 14 152-ФЗ.
- Даже при отказе оператор обязан ответить субъекту в срок (30 дней), указав конкретное основание.
Рекомендации и выводы
- По общему правилу субъекту нельзя отказать в предоставлении информации о его ПДн.
- Отказ возможен только в случаях, установленных законом (гос. тайна, права третьих лиц и т.п.).
- Отказ всегда должен быть оформлен письменно и содержать ссылку на конкретные нормы закона.
- Организация должна разработать внутренний регламент обработки запросов субъектов, чтобы сотрудники знали, как действовать в каждой ситуации.
Если вы хотите быть уверены, что ваши ответы субъектам на запросы о персональных данных соответствуют требованиям закона и исключают риск штрафов и жалоб в Роскомнадзор, — компания ICTech подготовит для вас полный пакет документов по обработке персональных данных. В нём будут готовые регламенты, шаблоны ответов и порядок действий при получении запросов. Это защитит вашу организацию от нарушений и позволит сосредоточиться на работе с клиентами.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
