Подготовка ответов на запросы субъектов персональных данных

Подготовка ответов на запросы субъектов персональных данных
Запросов от субъектов ПДн все больше и больше
152-ФЗ наделяет субъектов ПДн правом запрашивать у операторов ПДн информацию об обработке своих ПДн. Так же 152-ФЗ определяет обязанность операторов ПДн на такие запросы отвечать.
Иные граждане все чаще начинают пользоваться этим правом, доставляя определенную нагрузку ответственным за обработку ПДн в организациях - операторах ПДн.

Что делать оператору ПДн при поступлении подобных запросов? Как минимизировать усилия по подготовке ответов субъектам ПДн?
name='more'>

Погрузившись в вопрос на практике оказывается, что не все так страшно и появление подобного "запроса" от гражданина не всегда означает большую нагрузку по подготовке ответа.
Часть 7 статьи 14 152-ФЗ определяет внушительный перечень позиций, по которым субъект имеет право запросить у оператора информацию. Но условно список можно разделить на 2 части:
  1. Подтверждение факта обработки ПДн субъекта и описание этих ПДн;
  2. Сведения о процессе обработки ПДн оператором в целом.

Подтверждение факта обработки


Прежде чем бросаться на поиски сведений о субъекте в ИСПДн оператора следует ответить на вопрос - верно ли составлен запрос субъекта, т.е. соответствует ли он требованиям п.3 статьи 14 152-ФЗ.

О чем речь? В соответствии с п.3 статьи 14 152-ФЗ запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором.

Значит, субъект ПДн в запросе должен явно указать информацию, помогающую оператору найти его ПДн. Часто субъект этой информации не предоставляет.
И тогда, если требуемых сведений в запросе субъекта нет, оператор имеет право вместо изнурительных поисков дать субъекту типовой ответ о том, что для подтверждения факта обработки ПДн субъекта оператором тот должен предоставить сведения в соответствии со статьей 14 152-ФЗ.

Конечно данный подход можно объявить формальным, но тут уже каждый оператор определяет свой подход исходя из адекватности запроса субъекта.

Сведения об обработке ПДн оператором


Следует подготовить и разместить (во исполнение п.2 Статьи 18.1 152-ФЗ) на официальном сайте оператора либо нормативные акты, определяющие обработку ПДн, либо единый документ, включающий все необходимые выжимки из них (например "Политику обработки ПДн оператором"). Далее в типовом ответе субъектам не расписывать информацию по каждому пункту запроса, а предоставлять ссылку на сайт оператора.

В итоге, отметая часть запросов как несоответствующих требованиям 152-ФЗ и имея типовой ответ субъектам, отсылающий к опубликованной в Интернет информации об операторе, можно не нарушая законодательства экономить временные (считай денежные) затраты на подготовку ответов субъектам.
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Николай Казанцев

Об информационной безопасности в Северной столице