Приложение 3. Правила рассмотрения Департаментом торговли и услуг г. Москвы запросов субъектов персональных данных или их представителей. Приказ Департамента торговли и услуг г. Москвы от 24.12.2020 N 44 "Об обработке персональных данных в Департаменте торговли и услуг города Москвы и работе с персональными данными"

Приложение 3
к приказу Департамента
торговли и услуг города Москвы
от 24.12.2020 г. N 44

Правила
рассмотрения Департаментом торговли и услуг города Москвы запросов субъектов персональных данных или их представителей

1. Общие положения

1.1. Настоящие правила рассмотрения запросов субъектов персональных данных или их представителей (далее - Правила) определяют порядок рассмотрения запросов субъектов персональных данных или их представителей Департаментом торговли и услуг города Москвы (далее - Департамент) в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон "О персональных данных").

1.2. Настоящими Правилами устанавливается порядок реагирования на следующие запросы субъектов персональных данных:

- получение информации, касающейся обработки персональных данных субъекта персональных данных;

- уточнение персональных данных субъекта персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;

- жалобы на неправомерную обработку Департаментом персональных данных субъекта персональных данных;

- отзыв согласия субъекта персональных данных на обработку персональных данных.

1.3. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных (далее - ПДн).

1.4. Правила обязательны для исполнения всеми работниками Департамента, организующими или непосредственно участвующими в процессе обработки запросов субъектов ПДн и их представителей.

2. Общий порядок рассмотрения запросов

2.1. Организация обработки обращений субъектов ПДн возлагается на Ответственного за организацию обработки ПДн, который назначается руководителем Департамента.

2.2. Взаимодействие с работниками Департамента по вопросу рассмотрения Департаментом запросов субъектов персональных данных или их представителей осуществляется Отделом государственной службы и кадров.

2.3. Запрос субъекта ПДн (представителя субъекта ПДн) может быть направлен в Департамент:

- в письменной форме;

- в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

2.4. Все поступившие запросы субъектов ПДн (представителей субъекта ПДн) по вопросам обработки ПДн регистрируются в Журнале учета обращений субъектов персональных данных и представителей субъектов персональных данных Департамента (Приложение 1 к настоящим Правилам).

2.5. Ответственным лицом за ведение Журнала учета обращений субъектов ПДн и представителей субъектов ПДн Департамента является Ответственный за организацию обработки ПДн.

2.6. После регистрации запрос передается на исполнение для подготовки мотивированного ответа. Перечень лиц, привлекаемых для подготовки ответа, определяется в зависимости от предмета обращения.

2.7. В Департаменте организовано хранение следующих документов в течении трех лет:

- запросы субъекта ПДн или его представителя;

- копии документов, являющихся основанием для уточнения или отказа в уточнении обрабатываемых ПДн, для прекращения неправомерной обработки ПДн или отказа в прекращении обработки ПДн, для отказа в прекращении обработки ПДн;

- копии уведомления субъекта ПДн или его представителя об уточнении или отказе в уточнении обрабатываемых ПДн;

- копии уведомления субъекта ПДн или его представителя о прекращении неправомерной обработки ПДн или отказе в прекращении обработки ПДн;

- копии уведомления субъекта ПДн или его представителя о прекращении обработки ПДн или отказе в прекращении обработки ПДн;

- иные документы и копии иных документов, непосредственно связанные с выполнением Департаментом своих обязанностей по рассмотрению запросов субъекта ПДн или его представителя.

2.8. Лица, задействованные в подготовке ответа, должны соблюдать порядок и сроки обработки запросов, установленные законодательством Российской Федерации.

2.9. Ответственный за организацию обработки ПДн контролирует соблюдение указанных сроков в соответствии с законодательством Российской Федерации.

2.10. После подготовки и отправки ответа на запрос делается соответствующая отметка в Журнале учета обращений субъектов ПДн и представителей субъектов ПДн Департамента с указанием даты отправки.

3. Запросы на предоставление информации, касающейся обработки персональных данных

3.1. В случае поступления от субъекта ПДн (представителя субъекта ПДн) запроса о предоставлении сведений, касающихся обработки ПДн, Департамент подготавливает согласно запросу, необходимый ответ. Перечень сведений, которые может запрашивать субъект ПДн (представитель субъекта ПДн) установлен ст. 14 Закона "О персональных данных".

3.2. Запрос субъекта ПДн о предоставлении сведений, касающихся обработки его ПДн, должен содержать сведения, указанные в ч. 3 ст. 14 Закона "О персональных данных".

3.3. В случае требования о предоставлении иных, не предусмотренных законодательством сведений, Департамент подготавливает мотивированный отказ в предоставлении сведений со ссылкой на законодательство Российской Федерации.

3.4. Выдача работникам Департамента документов, связанных с их трудовой деятельностью (копий приказов о приеме на работу, переводах на другую работу, увольнении с работы; выписок из трудовой книжки, справок о месте работы, заработной плате, периоде работы в организации и др.) регулируется трудовым законодательством Российской Федерации и внутренними нормативными документами Департамента.

4. Отзыв согласия субъекта персональных данных на обработку персональных данных

4.1. При поступлении запроса (обращения), направленного на отзыв согласия на обработку ПДн, обращение (запрос) рассматривается на предмет возможности прекращения обработки ПДн этого субъекта в текущий момент.

4.2. В случае принятия решения о возможности прекращения обработки ПДн данные уничтожаются (либо обеспечивается их уничтожение) в соответствии с требованиями законодательства Российской Федерации в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, иным соглашением между Департаментом и субъектом ПДн либо если Департамент не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.

4.3. В случае если прекратить обработку ПДн не представляется возможным по требованиям законодательства, формируется ответ субъекту ПДн (его представителю) о том, что Департамент в соответствии с пп. 2-11 ч.1 ст. 6 Закона "О персональных данных" праве продолжить обработку ПДн без согласия субъекта ПДн.

5. Запросы субъектов ПДн на уточнение их персональных данных

5.1. При поступлении запроса (обращения) об уточнении ПДн, которые являются неполными, устаревшими или неточными, должна быть инициирована процедура блокирования ПДн этого субъекта (если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц). Далее запрос анализируется на предмет возможности уточнения указанных в запросе ПДн.

5.2. В случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн (его представителем) вносят необходимые изменения в ПДн. Далее инициируется процедура разблокирования ПДн и субъект ПДн (его представитель) информируется о произведенных изменениях.

В случае если факт неточности ПДн не подтвержден документально, инициируется процедура разблокирования ПДн, после чего формируют ответ субъект ПДн (его представитель) информируется об отсутствии возможности внесения изменений в ПДн.

5.3. При поступлении обращения (запроса) об уничтожении ПДн субъекта, которые были незаконно получены или не являлись необходимыми для заявленной цели обработки, инициируется процедура блокирования ПДн этого субъекта. Далее принимается решение по вопросу о правомерности обращения (запроса).

5.4. В случае принятия решения об отказе ¹ субъекту ПДн разблокируются и субъект ПДн (его представитель) уведомляется о причинах отказа. В случае принятия решения о правомерности обращения (запроса) осуществляется уничтожение ПДн, указанных в обращении (запросе) и субъекту ПДн (его представителю) направляется ответ об удовлетворении его требований.

5.5. В случае необходимости информирование уполномоченного органа по защите прав субъектов ПДн осуществляется по почте в адрес указанного органа.

6. Запросы субъектов персональных данных с жалобами на неправомерную обработку их персональных данных

6.1. После поступления запроса (обращения) с жалобами на неправомерную обработку инициируется процедура блокирования (или обеспечивается блокирование ПДн) ПДн субъекта, направившего обращение (запрос), и проводится проверка по данному факту. В ходе проверки рассматривается правомерность обращения (запроса) и принимается решение по дальнейшим действиям по обращению (запросу) - устранить нарушение, уничтожить ПДн в случае невозможности устранения, отказать субъекту ПДн.

6.2. В случае принятия положительного решения нарушения устраняются и субъект ПДн (его представитель) оповещается об устранении нарушений.

6.3. В случае невозможности устранить нарушения ПДн, указанные в обращении (запросе), данные уничтожаются, а субъект ПДн (его представитель) оповещается о данном факте.

6.4. В случае принятия решения об отказе субъекту инициируется процедура разблокирования ПДн и субъекту ПДн (его представителю) направляется ответ с обоснованием отказа.

6.5. В случае необходимости информирование уполномоченного органа по защите прав субъектов ПДн осуществляется по почте в адрес указанного органа.

------------------------------

¹_{Отказ устранения нарушений должен быть мотивированным в соответствии с требованиями законодательства Российской Федерации.}