Приложение N 4. Правила рассмотрения запросов субъектов персональных данных или их представителей. Приказ Министерства цифровых технологий и связи Калининградской области от 07.07.2021 N 265 "Об утверждении методических рекомендаций по организации обработки и обеспечению безопасности персональных данных" (с изменениями и дополнениями)

Приложение N 4
к Методическим рекомендациям

Правила
рассмотрения (Наименование Организации) запросов субъектов персональных данных или их представителей

1. Общие положения

1.1. Настоящие правила рассмотрения запросов субъектов персональных данных или их представителей (далее - Правила) определяют порядок рассмотрения запросов субъектов персональных данных или их представителей (Наименование Организации) в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных").

1.2. Настоящими Правилами рассматриваются порядок реагирования на следующие запросы субъектов персональных данных:

- получение информации, касающейся обработки персональных данных субъекта персональных данных;

- уточнение персональных данных субъекта персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;

- жалобы на неправомерную обработку (Наименование Организации) персональных данных субъекта персональных данных;

- отзыв согласия субъекта персональных данных на обработку персональных данных.

1.3. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных (далее - ПДн).

1.4. Правила обязательны для исполнения всеми работниками (Наименование Организации), организующими или непосредственно участвующими в процессе обработки запросов субъектов ПДн и их представителей.

2. Общий порядок рассмотрения запросов

2.1. Организация обработки обращений субъектов ПДн возлагается на Ответственного за организацию обработки ПДн.

2.2. Взаимодействие с работниками (Наименование Организации) осуществляется структурным подразделением, ответственным за кадровое делопроизводство (необходимо уточнить название подразделения).

2.3. Запрос субъекта ПДн (представителя субъекта ПДн) может быть направлен в (Наименование Организации):

- в письменной форме;

- в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

2.4. Все поступившие запросы субъектов ПДн (представителей субъекта ПДн) по вопросам обработки ПДн регистрируются в журнале учета обращений субъектов персональных данных и представителей субъектов персональных данных (Наименование Организации) (приложение 1 к настоящим Правилам).

Учет поступивших запросов субъектов ПДн возможно вести не в журнале учета обращений, а в системе электронного документооборота, других системах учета поступивших документов Организации.

2.5. Ответственным лицом за ведение журнала учета обращений субъектов ПДн и представителей субъектов ПДн (Наименование Организации) является Ответственный за организацию обработки ПДн.

2.6. После регистрации запрос передается на исполнение для подготовки мотивированного ответа. Перечень лиц, привлекаемых для подготовки ответа, определяется в зависимости от предмета обращения.

Документы, содержащие ПДн субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие ПДн, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое является информацией ограниченного доступа и за ее разглашение законодательством Российской Федерации предусмотрена ответственность. Далее конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

2.7. В (Наименование Организации) организовано хранение следующих документов в течение трех лет:

- запросы субъекта ПДн или его представителя;

- копии документов, являющихся основанием для уточнения или отказа в уточнении обрабатываемых ПДн, для прекращения неправомерной обработки ПДн или отказа в прекращении обработки ПДн, для отказа в прекращении обработки ПДн;

- копии уведомления субъекта ПДн или его представителя об уточнении или отказе в уточнении обрабатываемых ПДн;

- копии уведомления субъекта ПДн или его представителя о прекращении неправомерной обработки ПДн или отказе в прекращении обработки ПДн;

- копии уведомления субъекта ПДн или его представителя о прекращении обработки ПДн или отказе в прекращении обработки ПДн;

- иные документы и копии иных документов, непосредственно связанные с выполнением (Наименование Организации) своих обязанностей по рассмотрению запросов субъекта ПДн или его представителя.

2.8. Лица, задействованные в подготовке ответа, должны соблюдать порядок и сроки обработки запросов, установленные законодательством Российской Федерации в зависимости от их типов (приложение 2 к настоящим Правилам).

2.9. Ответственный за организацию обработки ПДн контролирует соблюдение указанных сроков в соответствии с законодательством Российской Федерации.

2.10. После подготовки и отправки ответа на запрос делается соответствующая отметка в журнале учета обращений субъектов ПДн и представителей субъектов ПДн (Наименование Организации) с указанием даты отправки.

3. Запросы на предоставление информации, касающейся обработки персональных данных

3.1. В случае поступления от субъекта ПДн (представителя субъекта ПДн) запроса о предоставлении сведений, касающихся обработки ПДн, (Наименование Организации) подготавливает согласно запросу необходимый ответ. Перечень сведений, которые может запрашивать субъект ПДн (представитель субъекта ПДн), установлен ст. 14 ФЗ "О персональных данных".

3.2. Запрос субъекта ПДн о предоставлении сведений, касающихся обработки его ПДн, должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ "О персональных данных".

3.3. В случае требования предоставления иных, не предусмотренных законодательством, сведений (Наименование Организации) подготавливает мотивированный отказ в предоставлении сведений со ссылкой на законодательство Российской Федерации.

3.4. Выдача работникам (Наименование Организации) документов, связанных с их трудовой деятельностью (копий приказов о приеме на работу, переводах на другую работу, увольнении с работы; выписок из трудовой книжки, справок о месте работы, заработной плате, периоде работы в организации и др.) регулируется трудовым законодательством Российской Федерации и внутренними нормативными документами (Наименование Организации).

4. Отзыв согласия субъекта персональных данных на обработку персональных данных

4.1. При поступлении запроса (обращения), направленного на отзыв согласия на обработку ПДн, обращение (запрос) рассматривается на предмет возможности прекращения обработки ПДн этого субъекта в текущий момент.

Если запрос направлен на прекращение обработки ПДн в ИСПДн, в отношении которых (Наименование Организации) является оператором, то такой запрос передается в орган исполнительный власти Калининградской области (подведомственное учреждение), который является оператором ПДн, обрабатываемых в ИСПДн.

4.2. В случае принятия решения о возможности прекращения обработки ПДн данные уничтожаются (либо обеспечивается их уничтожение) в соответствии с требованиями законодательства Российской Федерации в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, иным соглашением между (Наименование Организации) и субъектом ПДн либо если (Наименование Организации) не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.

В случае если возможно прекратить обработку только части ПДн, уничтожается часть обрабатываемых Организацией ПДн субъекта. Далее подготавливается ответ об уничтожении части обрабатываемых Организацией ПДн субъекта и о том, что в соответствии с п.п. 2-11 ч. 1 ст. 6 ФЗ "О персональных данных" Организация вправе продолжить обработку оставшейся части ПДн субъекта без согласия субъекта ПДн до окончания сроков обработки ПДн.

4.3. В случае если прекратить обработку ПДн не представляется возможным по требованиям законодательства, формируется ответ субъекту ПДн (его представителю) о том, что (Наименование Организации) в соответствии с п.п. 2-11 ч. 1 ст. 6 ФЗ "О персональных данных" вправе продолжить обработку ПДн без согласия субъекта ПДн.

5. Запросы субъектов ПДн на уточнение их персональных данных

5.1. При поступлении запроса (обращения) об уточнении ПДн, которые являются неполными, устаревшими или неточными, должна быть инициирована процедура блокирования ПДн этого субъекта (если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц). Далее запрос анализируется на предмет возможности уточнения указанных в запросе ПДн.

5.2. В случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн (его представителем), вносят необходимые изменения в ПДн. Далее инициируется процедура разблокирования ПДн и субъект ПДн (его представитель) информируется о произведенных изменениях.

В случае если факт неточности ПДн не подтвержден документально, инициируется процедура разблокирования ПДн, после чего формируют ответ, субъект ПДн (его представитель) информируется об отсутствии возможности внесения изменений в ПДн.

5.3. При поступлении обращения (запроса) об уничтожении ПДн субъекта, которые были незаконно получены или не являлись необходимыми для заявленной цели обработки, инициируется процедура блокирования ПДн этого субъекта. Далее принимается решение по вопросу о правомерности обращения (запроса).

5.4. В случае принятия решения об отказе 1 субъекту ПДн разблокируются и субъект ПДн (его представитель) уведомляется о причинах отказа. В случае принятия решения о правомерности обращения (запроса) осуществляется уничтожение ПДн, указанных в обращении (запросе), и субъекту ПДн (его представителю) направляется ответ об удовлетворении его требований.

5.5. В случае необходимости информирование уполномоченного органа по защите прав субъектов ПДн осуществляется по почте в адрес указанного органа.

6. Запросы субъектов персональных данных с жалобами на неправомерную обработку их персональных данных

6.1. После поступления запроса (обращения) с жалобами на неправомерную обработку инициируется процедура блокирования (или обеспечивается блокирование ПДн) ПДн субъекта, направившего обращение (запрос), и проводится проверка по данному факту. В ходе проверки рассматривается правомерность обращения (запроса) и принимается решение по дальнейшим действиям по обращению (запросу) - устранить нарушение, уничтожить ПДн в случае невозможности устранения, отказать субъекту ПДн.

6.2. В случае принятия положительного решения нарушения устраняются и субъект ПДн (его представитель) оповещается об устранении нарушений.

6.3. В случае невозможности устранить нарушения ПДн, указанные в обращении (запросе), уничтожаются и субъект ПДн (его представитель) оповещаются о данном факте.

6.4. В случае принятия решения об отказе субъекту инициируется процедура разблокирования ПДн и субъекту ПДн (его представителю) направляется ответ с обоснованием отказа.

6.5. В случае необходимости информирование уполномоченного органа по защите прав субъектов ПДн осуществляется по почте в адрес указанного органа.

1 Отказ устранения нарушений должен быть мотивированным в соответствии с требованиями законодательства РФ.