В какой срок оператор обязан ответить субъекту персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Федеральный закон № 152-ФЗ устанавливает чёткие сроки, в которые оператор обязан реагировать на запросы субъектов персональных данных. Нарушение этих сроков — одно из самых распространённых оснований для штрафов при проверках Роскомнадзора.

Сроки ответа оператора:

• 30 календарных дней — общий срок для ответа на запрос субъекта о предоставлении информации, исправлении, блокировке или удалении данных (ст. 14 ФЗ-152).
• 7 рабочих дней — срок, в течение которого оператор обязан уточнить, обновить или уничтожить данные, если субъект предоставил документы, подтверждающие необходимость изменения (ст. 16 ФЗ-152).
• Если выполнить требование за 30 дней невозможно, оператор вправе продлить срок ещё на 30 дней, но обязан уведомить субъекта об этом заранее.

Форма ответа:
Ответ должен быть дан в письменной или электронной форме (по выбору субъекта) и содержать:

• сведения о факте обработки ПДн;
• цели и правовые основания;
• перечень обрабатываемых данных;
• действия, предпринятые по запросу субъекта (исправление, удаление, отказ с обоснованием).

Обоснование по законодательству

• Ст. 14 ФЗ-152, ч. 3 — оператор обязан предоставить информацию субъекту в течение 30 дней.
• Ст. 16 ФЗ-152, ч. 1 — уточнение или уничтожение данных производится в срок не более 7 рабочих дней.
• Ст. 21 ФЗ-152 — оператор обязан обеспечить соблюдение прав субъектов.

Практика проверок Роскомнадзора

В интернет-магазине клиент подал запрос об удалении данных. Ответ был дан спустя 45 дней. Роскомнадзор оштрафовал компанию за нарушение установленного срока.

В медицинском учреждении пациент потребовал исправить данные о себе. Изменения внесли на 10-й рабочий день, проверка выявила нарушение ст. 16 ФЗ-152.

Важный нюанс

Сроки начинают течь с момента регистрации обращения оператора. Если субъект не подтвердил личность, оператор вправе запросить уточняющие документы, и срок начнёт исчисляться с момента их получения.

Рекомендации и выводы

Оператор обязан:

1. Рассматривать обращения субъектов ПДн и давать ответ в течение 30 дней.
2. Вносить исправления или уничтожать данные в срок до 7 рабочих дней.
3. При невозможности уложиться в срок — уведомить субъекта о продлении (ещё максимум на 30 дней).
4. Все действия документально фиксировать (журнал обращений, акты, копии ответов).
5. Включить порядок работы с обращениями субъектов в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент обработки обращений субъектов и акты, включив их в пакет документов по 152-ФЗ. Это обеспечит законность работы и снизит риск штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге