Рассмотрение запросов субъектов персональных данных является для Оператора одной из обязанностей, возложенных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». Следует помнить, что игнорирование такого рода запросов со стороны субъекта может повлечь за собой привлечение к административной ответственности, но что зачастую более значимо, может быть поводом для внеплановой проверки со стороны Роскомнадзора.
По этой причине, следует детально рассмотреть вопрос о порядке ответа на запросы со стороны субъектов персональных данных, их представителей, а также подготовить типовые ответы, которые позволят сократить время для исполнения возложенной законодательством обязанности. Несмотря на то, что законодательством предусмотрен немалый срок для ответа Оператора, все же затягивать не стоит. Помимо этого, поступающие запросы со стороны субъектов персональных данных подлежат фиксации в специальном журнале. Отсутствие журнала может стать поводом для претензий со стороны надзорного органа, даже в том случае, если за весь период обработки персональных данных ни один из субъектов так и не воспользовался предусмотренным законодательством правом на обращение с запросом к Оператору.
Возможны следующие «типовые» запросы со стороны субъектов персональных данных:
Чтобы упростить задачу по ведению делопроизводства, связанного с обработкой запросов субъектов персональных данных, возможно воспользоваться предложенными здесь шаблонами.
(Полное наименование оператора) |
Приказ об утверждении Правил рассмотрения запросов субъектов персональных данных (их представителей)
№ |
ПРИКАЗЫВАЮ:
Утвердить прилагаемые «Правила рассмотрения запросов субъектов персональных данных (их представителей) », с приложением Форма журнала учета обращений субъектов персональных данных и их представителей (Приложение № 1).
Обязать сотрудников, ответственных за обработку персональных данных, в своей работе руководствоваться вышеназванными Правилами.
Руководитель | |||||
(должность) | (личная подпись) | (расшифровка подписи) |
УТВЕРЖДЕНЫ
приказом
от №
Правила
рассмотрения запросов
субъектов персональных данных
(их представителей) в
Правила рассмотрения запросов субъектов персональных данных или их представителей в устанавливают порядок учета (регистрации) и реагирования на запросы субъекта персональных данных или их представителей (далее по тексту – запросы).
Правила составлены в соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и другими нормативными правовыми актами.
В соответствии с ч.1 ст. 14 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных» субъект персональных данных вправе требовать от уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
Субъект персональных данных обладает правом получения информации, касающейся обработки его персональных данных, в том числе содержащей (ч.7 ст. 14 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных»):
- подтверждение факта обработки персональных данных в ;
- правовые основания и цели обработки персональных данных;
- цели и применяемые в способы обработки персональных данных;
- наименование и место нахождения , сведения о лицах (за исключением работников ), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании Федерального закона «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению руководителя, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 настоящего Федерального закона;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Сведения, предоставляемые в соответствии с частью 7 статьи 14 Федерального закона «О персональных данных», должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Ограничение права субъекта персональных данных на доступ к его персональным данным возможно в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных», в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ; подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Субъект персональных данных вправе обратиться повторно в или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона «О персональных данных», а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного выше, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 статьи 14 Федерального закона «О персональных данных», должен содержать обоснование направления повторного запроса.
Запросы субъектов персональных данных подлежат обязательному рассмотрению сотрудниками, в обязанности которых входит обработка персональных данных.
Сотрудники обеспечивают:
- объективное, всестороннее и своевременное рассмотрения запроса;
- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
- дают письменный ответ по существу поставленных в обращении вопросов.
Делопроизводство по запросам курирует ответственный за организацию обработки персональных данных .
Поступающие запросы от субъектов персональных данных и/или их представителей регистрируются в день их поступления в Журнале учета обращений субъектов персональных данных и их представителей в (Приложения №1). На запросе проставляется штамп, с входящим номером, датой регистрации и подписью принявшего запрос сотрудника.
После получения запроса производится проверка возможной его повторности, для этого при необходимости проводится сверка с предыдущей перепиской. В случае если сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», а также обрабатываемые персональные данные были предоставлены ранее для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона «О персональных данных». Такой отказ должен быть мотивированным.
О зарегистрированных запросах в тот же рабочий день докладывается Ответственному за организацию обработки персональных данных, который определяет порядок и сроки их рассмотрения, назначает по ним исполнителя.
Ответственный за организацию обработки персональных данных, и другие сотрудники при рассмотрении запроса:
- разбирают их по существу, истребуют дополнительные материалы или направляют сотрудников на места для проверки фактов, изложенных в запросах, принимают другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных, либо создающих угрозу нарушения;
- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти рабочих дней дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен при условии направления мотивированного уведомления с указанием причин, но не более чем на пять рабочих дней.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении (запросе), сотрудники обязаны дать мотивированный ответ в письменной форме, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.
обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимся к этому субъекту персональных данных.
В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, сотрудники обязаны внести в них необходимые изменения, и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (в случае факта такой передачи).
В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, сотрудники обязаны уничтожить такие персональные данные.
уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя, уполномоченного органа по защите прав субъектов персональных данных, сотрудники блокируют неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении (запросе) субъекта персональных данных или его представителя или по запросу уполномоченного органа по защите прав субъектов персональных данных, сотрудники обязаны осуществить блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных сотрудники на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
По фактам, изложенным в запросах, могут быть проведены служебные проверки в соответствии с законодательством Российской Федерации.
По итогу проведенной служебной проверки составляется мотивированное заключение с анализом собранных материалов. В случае выявления фактов совершения сотрудниками действий (бездействий), содержащих признаки административного правонарушения или состава преступления, информация подлежит немедленной передачи в правоохранительные органы. Результаты служебной проверки докладываются (падеж поставить) .
Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие письменные ответы заявителю.
Ответы на запросы регистрируются за теми же номерами, что и запросы.
Ответ на обращение должен быть аргументированным, содержать ссылки на нормы законодательства Российской Федерации, разъяснение всех затронутых в нем вопросов.
Ответственный за организацию обработки персональных данных осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.
При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов на запросы.
Приложение № 1 к Правилам рассмотрения запросов субъектов персональных данных в ,
утвержденных приказом от №
ЖУРНАЛ УЧЕТА ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПРЕДСТАВИТЕЛЕЙ В
Начат
Окончен « » __________________ 20____ г.
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА
Журнал ведется в рамках исполнения требований статей 14, 20 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
В случае поступления обращения (запроса) в Журнал вносится запись о данном факте, а также соответствующая запись вносится по факту завершения обработки обращения (запроса).
Внесению подлежат следующие сведения:
В графу «Дата поступления обращения (запроса)» вносится дата поступления обращения (запроса).
В графу «ФИО, адрес субъекта (его представителя)» вносятся соответствующие данные обратившегося субъекта персональных данных (его представителя).
В графу «Исполнитель», вносится ФИО и должность сотрудника, обрабатывающего обращение.
В графу «Исходящий номер, дата и способ отправки ответа» вносятся реквизиты письма с ответом субъекту персональных данных (его представителю).
№ п/п | Дата поступления запроса (обращения) | ФИО, адрес субъекта (его представителя) | Исполнитель | Исходящий номер, дата и способ отправки ответа | Примечание |
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
О НАЛИЧИИ И ОБРАБОТКЕ ПДн
Уважаемый(ая) !
По Вашему запросу от г. относительно обработки Ваших персональных данных могу сообщить следующее.
в период с г. по настоящее время обрабатывает следующие персональные данные на основании согласия на обработку персональных данных от . Цель обработки персональных данных - .
Трансграничная передача персональных данных осуществляется:
Обработкой Ваших персональных данных занимаются сотрудники , ознакомленные с обязанностями, возложенными на них в связи с обработкой Ваших персональных данных, и давшие подписку об их неразглашении.
Никто другой к обработке Ваших персональных данных не допускается. Ваши персональные данные будут обрабатываться .
Если остались вопросы по обработке Ваших персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
О НАЛИЧИИ И ОБРАБОТКЕ ПДн
Уважаемый !
По предмету Вашего обращения от г. относительно обработки Ваших персональных данных, сообщаем, что не осуществляет обработки Ваших персональных данных.
С уважением,
тел.
УВЕДОМЛЕНИЕ
ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ПДн
Уважаемый(ая) !
В связи с достижением целей обработки Ваших персональных данных, сообщаем, что
была прекращена обработка и уничтожены персональные данные:
Если остались вопросы по обработке персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
УВЕДОМЛЕНИЕ
ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ПДн
Уважаемый(ая) !
На Ваш запрос от г. о достижении целей обработки Ваших персональных данных могу сообщить следующее.
не имеет возможности прекратить обработку и уничтожить персональные данные, так как обработка осуществляется в соответствии с требованиям следующих нормативно-правовых актов:
.
Если остались вопросы по обработке персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБ УНИЧТОЖЕНИИ ПДн
Уважаемый(ая) !
По Вашему запросу от г. об уничтожении Ваших персональных данных сообщаем следующее.
были уничтожены Ваши персональные данные:
.
С уважением,
тел.
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБ УНИЧТОЖЕНИИ ПДн
Уважаемый(ая) !
По Вашему запросу от г. относительно уничтожения Ваших персональных данных сообщаем следующее.
осуществляет обработку Ваших персональных данных согласно требованиям следующих законодательных актов: .
Если остались вопросы по обработке Ваших персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБ УТОЧНЕНИИ ПДн
Уважаемый !
По предмету Вашего обращения от г. относительно внесения изменений в Ваших персональных данных, сообщаем следующее.
были внесены изменения в Ваши персональные данные:
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБ УТОЧНЕНИИ ПДн
Уважаемый(ая) !
По предмету Вашего обращения от г. относительно уточнения Ваших персональных данных, сообщаем следующее.
не может внести изменения в Ваши персональные данные, так как Вами не были предоставлены необходимые документы, подтверждающие запрашиваемые Вами изменения, а именно: .
С уважением,
тел.
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБ ОТЗЫВЕ СОГЛАСИЯ НА ОБРАБОТКУ ПДн
Уважаемый(ая) !
По Вашему запросу от г. об отзыве согласия на обработку Ваших персональных данных сообщаем следующее.
была прекращена обработка и уничтожены Ваши персональные данные:
Если остались вопросы по обработке Ваших персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
ОТВЕТ
НА ЗАПРОС СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОБ ОТЗЫВЕ СОГЛАСИЯ НА ОБРАБОТКУ ПДн
Уважаемый(ая) !
По Вашему запросу от г. об отзыве согласия на обработку Ваших персональных данных сообщаем следующее.
не может прекратить обработку и уничтожить Ваши персональные данные, по причине того, что необходимость обработки вытекает из требований нормативно-правовых актов:
Если остались вопросы по обработке Ваших персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
УВЕДОМЛЕНИЕ
ПРИ ВЫЯВЛЕНИИ НЕДОСТОВЕРНОСТИ ПДн
Уважаемый(ая) !
В связи с выявлением недостоверности Ваших персональных данных сообщаем следующее.
были внесены изменения в Ваши персональные данные:
Если остались вопросы по обработке персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
УВЕДОМЛЕНИЕ
ПРИ ВЫЯВЛЕНИИ НЕДОСТОВЕРНОСТИ ПДн
Уважаемый(ая) !
На Ваш запрос от г. относительно недостоверности Ваших персональных данных, можем сообщить следующее.
не может внести изменения в Ваши персональные данные по причине неподтвержденности факта их недостоверности и отсутствия документов, свидетельствующих о недостоверности персональных данных.
Если остались вопросы по обработке персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
УВЕДОМЛЕНИЕ
ПРИ ВЫЯВЛЕНИИ НЕПРАВОМЕРНОСТИ ДЕЙСТВИЙ С ПДн
Уважаемый(ая) !
В связи с выявлением неправомерности действий в отношении Ваших персональных данных, сообщаем следующее.
были уничтожены Ваши персональные данные:
Если остались вопросы по обработке персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.
УВЕДОМЛЕНИЕ
ПРИ ВЫЯВЛЕНИИ НЕПРАВОМЕРНОСТИ ДЕЙСТВИЙ С ПДн
Уважаемый(ая) !
На Ваш запрос от г. о возможной неправомерности действий с Вашими персональными данными могу сообщить следующее.
не может уничтожить Ваши персональные данные, поскольку факт неправомерности действий с Вашими персональными данными не нашел подтверждения и Вами не было предоставлено документов, подтверждающих неправомерность этих действий.
осуществляет обработку Ваших персональных данных согласно требованиям нормативно-правовых актов:
.
Если остались вопросы по обработке персональных данных, пожалуйста, обращайтесь.
С уважением,
тел.