День 6. Получение запросов от субъектов персональных данных

Обработка запросов о персональных данныхОсталось всего 2 темы, которые стоит обсудить в рамках марафона. Сегодняшний вопрос касается одного из основных рисков для операторов – это обращения субъектов персональных данных. Уже неоднократно говорилось, что право субъектов на доступ к информации в области защиты персональных данных нужно ограничивать. Дело в том, что не соблюдается баланс интересов, которых обязан присутствовать в отношениях оператор ПДн – субъект ПДн. Если субъект делает запрос на доступ к своим персональным данным, то у него должны быть для этого  причины. Сейчас же никто не мешает субъектам через большое число запросов парализовать деятельность оператора, организуя «запросы на отказ» (некое подобие DDoS атаки), и вынудить оператора бросить все ресурсы на подготовку ответов субъектам.

Как это происходит?


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

Предположим, что организация получает письмо от субъекта персональных данных с просьбой предоставить ему информацию о том, какие его персональные данные обрабатываются, в каких целях, какими способами обрабатываются и какой срок хранятся. Оператор обязан дать ответ в течение 10 дней по существу и в полном объеме, либо дать ответ в течение 7 дней с обоснованием отказа в предоставлении сведении.

Если этого не произойдет, или ответ обоснованно не устроит субъекта, то субъект имеет право обратиться в Роскомнадзор.

Учитывая, что уполномоченный орган «встроен в существующую систему», ему необходимо отреагировать на запрос и защитить субъекта.

Возможны следующие «реакции»:

  • Проверка Роскомнадзора
  • Рассмотрение запроса без проверки

После чего материалы направляются в органы прокуратуры, правоохранительные органы или суд. И каждый, в свою очередь проводит свои процедуры.

Примерно каждое третье обращение в Уполномоченный орган по защите прав субъектов персональных данных заканчивается (а иногда и начинается) внеплановой проверкой оператора персональных данных с возможной ответственностью по статьям КоАП и УК (к сожалению, прецедент уголовной ответственность уже был).

Что делать?

Очевидно, что все эти неприятные последствия нельзя исключить полностью (проблема в самом законе), но постараться снизить риски вполне реально.

Для начала необходимо разработать процедуру ответа на обращения субъектов внутри оператора, в том числе:

  • Назначить ответственное лицо
  • Подготовить типовые бланки ответов
  • Предоставить права на доступ к необходимым сведениям ответственному лицу
  • Написать формальный регламент обработки запросов на доступ к персональным данным субъекта

и т.д.

После проведения такого рода мероприятия, получение запроса от субъекта не станет «громом среди ясного неба» и может гарантировать обработку запросов более-менее штатном режиме.

Тяжелая артиллерия

И еще один момент. Времена «повального рейдерства» (недружественный захват предприятий) закончились не так давно и не без помощи государства. Напомню, что одним из пунктов классического захвата было, например, направление пустых писем с уведомлением (таким образом, выполняется формальное требование на уведомление акционеров о грядущем собрании). Но суть  не в этом, а в том, что события начала 2000-х в памяти чиновников еще свежи, и все ответственные структуры внимательно следят за активностями, которые даже отдаленно напоминают попытки недружественного захвата. Поэтому, при получении большого количества запросов от субъектов персональных данных, можно обращаться в органы прокуратуры, органы безопасности или правоохранительные органы с указанием на возможность попытки рейдерского захвата. И, зная примеры государственного противодействия в этой области, могу сказать, что к вашему запросу отнесутся с должным вниманием.

С письмами — ситуация понятна. А как обстоят дела в случае e-mail — будет ли e-mail от субъекта персональных данных иметь какую-либо юридическую силу?

[Ответить]

  • to Alexander, конечно, если будет использован «аналог собственноручной подписи»

    [Ответить]

  • >После чего материалы направляются в органы прокуратуры, >правоохранительные органы или суд. И каждый, в свою очередь проводит >свои процедуры.
    Так сразу и направляются? Может сначала РСН выдает предписание на устранение, а уж в случае его невыполнения все вышеперечисленное может происходить?

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *