Рассказываем, какие требования могут быть предъявлены компаниям, обрабатывающим персональные данные граждан, и как их исполнить, чтобы избежать привлечения к административной ответственности.
Требование о раскрытии обрабатываемых персональных данных
Граждане вправе знать, какие их персональные сведения и в каком порядке собирает и обрабатывает та или иная компания. Также они вправе получать беспрепятственный доступ к своим персональным данным и правилам их обработки.
Граждане имеют право запросить у любой компании следующую информацию, касающуюся персональных данных (ч.7 ст.14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):
- подтверждение/опровержение и законные основания и цели факта обработки персональных данных;
- применяемые компанией способы обработки данных и наименование и место нахождения компании-оператора и сведения о лицах, которые имеют доступ к персональным данным;
- перечень обрабатываемых данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- ФИО и адрес лица, осуществляющего обработку персональных данных по поручению компании.
Все перечисленные сведения компании должны предоставить по запросу физлица в течение 10 рабочих дней с даты получения такого запроса. Если компания не успевает собрать и передать физлицу все перечисленные сведения за указанный срок, то она может продлить срок выполнения запроса еще на пять рабочих дней при условии направления физлицу соответствующего мотивированного уведомления (ч.1 ст.20 Федерального закона №152-ФЗ).
Отказ от раскрытия сведений об обрабатываемых персональных данных
В некоторых случаях компании должны отказать физлицу в раскрытии сведений об обработке его персональных данных. Данные случаи перечислены в ч.8 ст.14 Федерального закона №152-ФЗ. В частности, в раскрытии сведений должно быть отказано, если обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка, либо в соответствии с законодательством о противодействии легализации доходов, полученных преступным путем.
Но даже в этих ситуациях компания в ответ на поступивший от физлица запрос обязана дать ему мотивированный ответ, содержащий обоснование отказа в раскрытии сведений об обработке его персональных данных. Ответ составляется в произвольной письменной форме с указанием на положение ч.8 ст.14 Федерального закона №152-ФЗ. Срок направления письменного ответа – не позднее 10 рабочих дней со дня получения запроса от физлица (ч.1 ст.20 Федерального закона №152-ФЗ).
Исправление неточных персональных данных
Физлица вправе требовать от компаний уточнения и исправления их обрабатываемых персональных данных, размещаемых в открытом доступе и передаваемых третьим лицам. Для этого нужно направить в компанию, осуществляющую обработку, уточняющие сведения для корректировки личных данных.
Получив требование и уточняющие сведения от владельца персональных данных, компания должна временно заблокировать обработку и передачу его данных. Блокировка вводится на время проверки уточняющих сведений. Если в результате проверки выяснится, что персональные данные действительно неточные или неполные, компания обязана внести в них необходимые изменения и снять блокировку.
На уточнение и исправление обрабатываемых персональных данных компаниям отводится 7 рабочих дней со дня получения от физлица требования о корректировке его личных сведений (ч.2 ст.21 Федерального закона №152-ФЗ).
-
Отзыв согласия на обработку персональных данных: юридические последствия и санкции
- Новый порядок оформления согласий на обработку персональных данных с 1 сентября 2025 года
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
- Как обрабатывать персональные данные: новые рекомендации Роскомнадзора
- Как компании разработать политику обработки персональных данных в 2025 году
Пресечение неправомерной обработки персональных данных
Еще одно требование, которое владельцы персональных данных вправе направлять компаниям, заключается в пресечении неправомерной обработки их персональных сведений. Это возможно, например, при обработке персональных данных без письменного согласия физлица или при сборе излишних персональных данных, не соответствующих заявленным целям обработки.
В течение 3 рабочих дней после получения от физлица соответствующего требования компания должна прекратить неправомерную обработку его персональных данных (ч.3 ст.21 Федерального закона №152-ФЗ). В этом случае следует прекратить все действия с персональными сведениями, обрабатываемыми с нарушениями, включая их передачу третьим лицам и размещение в открытом доступе. Одновременно компания должна принять меры по устранению нарушений (получить письменное согласие физлица на обработку его данных, отказаться от запроса излишних сведений, удалить данные из открытого доступа и т.д.).
Если в течение 10 дней с момента получения требования физлица устранить нарушения не получается (в частности, по причине того, что физлицо отказывается давать согласие на обработку его данных), компания должна уничтожить все персональные данные, обрабатываемые с нарушениями, и уведомить об этом лицо, направившее требование.
Прекращение обработки персональных данных
Любой гражданин вправе потребовать от любой компании прекращения обработки его персональных данных. Получив такое требование, компания должна проверить, имеются ли у нее законные основания для обработки персональных данных обратившегося лица (обработка в целях исполнения заключенного с физлицом договора, наличие трудовых отношений и т.д.).
Если такие основания отсутствуют, компания обязана прекратить обработку персональных данных не позднее 10 рабочих дней со дня получения соответствующего требования (ч.5.1 ст.21 Федерального закона №152-ФЗ).
Также компания должна в этот же срок уничтожить персональные данные обратившегося физлица. Если в 10-дневный срок уничтожить персональные данные невозможно, то уничтожить их необходимо не позднее 6 месяцев со дня поступления требования. На указанный период компания должна обеспечить полную блокировку персональных данных физлица.
Штрафы за неисполнение требований владельцев персональных данных
Если компания не раскроет по требованию физлица сведения о его обрабатываемых персональных данных, ее привлекут к административной ответственности по ч.4 ст.13.11 КоАП РФ. В соответствии с данной нормой штрафы составляют:
- от 8 000 до 12 000 рублей – для должностных лиц организаций;
- от 20 000 до 30 000 рублей – для ИП;
- от 40 000 до 80 000 рублей – для организаций.
Игнорирование требований физлиц об исправлении их персональных сведений, устранении нарушений и прекращении обработки персональных данных грозит штрафами по ч.5 ст.13.11 КоАП РФ. Штрафы назначат в размере:
- от 8 000 до 20 000 – для должностных лиц организаций;
- от 20 000 до 40 000 рублей – для ИП;
- от 50 000 до 90 000 рублей – для организаций.
Повторное неисполнение перечисленных требований повлечет наложение штрафов в повышенном размере (ч.5.1 ст.13.11 КоАП РФ):
- от 30 000 до 50 000 – для должностных лиц организаций;
- от 50 000 до 100 000 рублей – для ИП;
- от 300 000 до 500 000 рублей – для организаций.
В материале использованы фото: thodonal88 / Shutterstock / Fotodom.
