В какой срок оператор обязан предоставить субъекту его персональные данные?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Федеральный закон № 152-ФЗ прямо устанавливает срок ответа оператора на запрос субъекта персональных данных. Оператор обязан предоставить субъекту всю запрашиваемую информацию об обработке его данных в течение 30 дней с даты получения обращения.

Этот срок является максимальным. При необходимости оператор вправе продлить его ещё на 30 дней, но только если требуется дополнительная проверка или большой объём информации. При этом субъект должен быть уведомлён о продлении и причинах задержки.

Что должно быть в ответе:

• факт обработки ПДн;
• цели и правовые основания обработки;
• список обрабатываемых данных;
• сведения о лицах, имеющих доступ или которым передавались данные;
• сроки обработки и порядок её прекращения;
• права субъекта в рамках ФЗ-152.

Обоснование по законодательству

• Ст. 14 ФЗ-152 — закрепляет право субъекта на доступ к своим ПДн.
• Ст. 20 ФЗ-152, ч. 1 — оператор обязан предоставить информацию субъекту или его представителю в течение 30 дней с даты обращения.
• Ст. 20 ФЗ-152, ч. 2 — допускается продление срока не более чем на 30 дней с обязательным уведомлением субъекта.

Практика и позиция Роскомнадзора

Роскомнадзор при проверках особое внимание уделяет срокам ответа субъектам. Даже если компания готовит ответ, но направляет его позже 30 дней без уведомления о продлении — это нарушение.

Пример: субъект направил интернет-магазину запрос о предоставлении информации о его ПДн. Ответ был дан через 45 дней, при этом клиент не был уведомлён о продлении. Роскомнадзор привлёк организацию к ответственности за нарушение ст. 20 ФЗ-152.

В другом случае банк уведомил клиента о том, что для подготовки ответа потребуется дополнительное время, и направил ответ через 50 дней. Нарушения не зафиксировали, так как уведомление было сделано своевременно и продление соответствовало закону.

Важный момент для организаций

Срок ответа фиксирован законом. Нарушение даже на несколько дней может привести к штрафу и предписанию. Поэтому важно назначить ответственного за обработку запросов и контролировать сроки.

Рекомендации и выводы

Да, оператор обязан предоставить субъекту ПДн информацию не позднее 30 дней. Чтобы действовать правильно:

1. Организуйте систему регистрации и учёта входящих запросов.
2. Установите внутренний срок обработки (например, 20 дней), чтобы был запас на форс-мажоры.
3. Если срок нужно продлить — уведомляйте субъекта письменно с обоснованием.
4. Закрепите порядок взаимодействия с субъектами в комплекте документов по ФЗ-152.

Компания ICTech поможет вашей организации выстроить процесс обработки запросов субъектов: подготовит регламент, шаблоны ответов и включит всё это в пакет документов, чтобы вы соответствовали ФЗ-152 и не нарушали сроки.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге