Приложение N 2. Правила рассмотрения запросов субъектов персональных данных или их представителей. Постановление Администрации города Тамбова от 22.04.2013 N 3536 "Об организации обработки персональных данных в администрации города Тамбова Тамбовской области" (с изменениями и дополнениями)

Информация об изменениях:

Постановлением администрации города Тамбова от 28 ноября 2016 г. N 7227 в заголовок внесены изменения

См. текст заголовка в предыдущей редакции

Приложение N 2

Правила
рассмотрения запросов субъектов персональных данных или их представителей
(утв. постановлением Администрации города Тамбова
от 22 апреля 2013 г. N 3536)

С изменениями и дополнениями от:

28 ноября 2016 г.

Информация об изменениях:

Постановлением администрации города Тамбова от 28 ноября 2016 г. N 7227 в пункт 1 внесены изменения

См. текст пункта в предыдущей редакции

1. Общие положения

Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей (далее - Правила) регулируют отношения, возникающие при выполнении администрацией города Тамбова (далее - Оператор) обязательств согласно требованиям статей 14, 20 и 21 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

Положения настоящих Правил распространяются на действия оператора при получении запроса от юридических или физических лиц и их законных представителей (далее - субъект ПДн) и уполномоченного органа по защите прав субъектов персональных данных.

Эти действия направлены на определение порядка учета (регистрации), рассмотрение запросов, а также на подтверждение наличия, ознакомления, уточнения, уничтожения персональных данных (далее - ПДн) или отзыв согласия на обработку ПДн, а также на устранение нарушений законодательства, допущенных при обработке ПДн.

Настоящие Правила разработаны в соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

Информация об изменениях:

Постановлением администрации города Тамбова от 28 ноября 2016 г. N 7227 в пункт 2 внесены изменения

См. текст пункта в предыдущей редакции

2. Организация и проведение работ Оператором по запросу ПДн

Субъект персональных данных имеет право на получение информации, касающейся обработки его ПДн в соответствии с частью 7 статьи 14 Федерального закона N 152-ФЗ.

Право субъекта персональных данных на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона N 152-ФЗ.

Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ, предоставляются субъекту ПДн Оператором при получении запроса от субъекта персональных данных.

Сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ, должны быть предоставлены субъекту ПДн в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Рассмотрение запросов является служебной обязанностью должностных лиц Оператора, в чьи обязанности входит обработка ПДн.

Должностные лица Оператора обеспечивают:

- объективное, всестороннее и своевременное рассмотрения запроса;

- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов ПДн;

- направление письменных ответов по существу запроса.

Все поступившие запросы регистрируются в день их поступления в журнале учета запросов граждан (субъектов персональных данных) по вопросам обработки ПДн.

В случае подачи субъектом ПДн повторного запроса, в целях получения сведений, указанных в части 7 статьи 14 Федерального закона N 152-ФЗ, необходимо руководствоваться частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ. Повторный запрос наряду со сведениями, указанными выше, должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ.

Такой отказ должен быть мотивированным.

При рассмотрении запроса Оператором принимаются необходимые законные, обоснованные и мотивированные решения для обеспечения своевременного принятия решения по данному запросу.

Субъекту ПДн в письменной форме в установленный срок сообщается о решениях по запросу, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъясняется также порядок обжалования принятого решения.

Оператор обязан сообщить субъекту ПДн информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при запросе субъекта ПДн либо в течение тридцати дней с даты получения запроса субъекта ПДн.

В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн при получении запроса субъекта ПДн Оператор обязан руководствоваться частью 2 статьи 20 Федерального закона N 152-ФЗ.

Оператор обязан:

- предоставить безвозмездно субъекту ПДн возможность ознакомления с ПДн, относящимися к этому субъекту ПДн;

- уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

Должностное лицо, назначенное главой администрации города Тамбова, осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.

3. Действия Оператора в ответ на запросы по ПДн

3.1. В случае поступления запроса субъекта ПДн по ПДн необходимо выполнить следующие действия:

а) при получении запроса субъекта ПДн на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона N 152-ФЗ) подтвердить обработку ПДн в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона N 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации о наличии ПДн.

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

- подтверждение факта обработки ПДн Оператором;

- правовые основания и цели обработки ПДн;

- цели и применяемые Оператором способы обработки ПДн;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона N 152-ФЗ;

- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом N 152-ФЗ;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом N 152-ФЗ;

- информацию о осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами;

б) при получении запроса субъекта ПДн или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, по предоставлению субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными (согласно части 3 статьи 20 Федерального закона N 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в осуществлении изменения ПДн;

в) при получении запроса субъекта ПДн на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона N 152-ФЗ), и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в уничтожении ПДн;

г) при получении запроса на отзыв согласия субъекта ПДн на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно части 5 статьи 21 Федерального закона N 152-ФЗ);

д) при выявлении недостоверности ПДн при обращении или по запросу субъекта персональных данных необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, необходимо уточнить ПДн в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн (согласно части 2 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе в изменении ПДн;

е) при выявлении неправомерных действий с ПДн Оператору по запросу субъекта персональных данных необходимо в срок, не превышающий 3 рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно части 3 статьи 21 Федерального закона N 152-ФЗ). В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн (согласно части 3 статьи 21 Федерального закона N 152-ФЗ), обязан уничтожить такие ПДн.

При достижении целей обработки ПДн Оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты достижения цели обработки ПДн (согласно части 4 статьи 21 Федерального закона N 152-ФЗ), если иное не предусмотрено договором, стороной которого или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством.

3.2. В случае поступления запроса уполномоченного органа по защите прав субъекта ПДн по ПДн необходимо выполнить следующие действия:

- при получении запроса необходимо в течение 30 дней (согласно части 4 статьи 20 Федерального закона N 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа;

- при выявлении недостоверных ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн, необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно части 2 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн;

- при выявлении неправомерных действий Оператора с ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо прекратить неправомерную обработку ПДн в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ). В случае невозможности обеспечения правомерности обработки Оператором ПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн.

4. Ответственность Оператора

ПДн не подлежат разглашению (распространению).

Прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению информации ограниченного доступа.

Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.