Правила рассмотрения запросов субъектов персональных данных или их представителей
|
УТВЕРЖДАЮ
____________ (фамилия и инициалы) «___» ______________ 201_ г. |
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей в ___________________________________________________________________________________
- Общие положения
1.1. Настоящие правила рассмотрения запросов субъектов персональных данных или их представителей (далее – Правила) в _______________________________________________________________________ (далее – ___________________), обработка персональных данных (далее – ПДн) которых необходима для предоставлении государственных и муниципальных услуг и для обеспечения кадровой и бухгалтерской деятельности в ___________________, определяют порядок учета (регистрации) и рассмотрения запросов субъектов ПДн или их уполномоченных представителей (далее – запросы).
1.2. Настоящие Правила разработаны на основании Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона РФ от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федерального закона РФ от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.
1.3. Субъектами ПДн (далее – субъекты) являются сотрудники ___________________, обработка ПДн которых необходима для обеспечения кадровой и бухгалтерской деятельности в соответствии с Трудовым кодексом РФ, а также заявители – физические лица и уполномоченные представители физических или юридических лиц, обратившиеся в ___________________ с запросом о предоставлении государственных или муниципальных услуг в соответствии с ________________________________________________________, а также физические лица, обработка ПДн которых необходима для предоставления государственных или муниципальных услуг заявителям или их уполномоченным представителям.
1.4. Оператором ПДн (далее – оператор), организующим и осуществляющим обработку ПДн субъектов для предоставления государственных и муниципальных услуг заявителям или их уполномоченным представителям, а также для обеспечения кадровой и бухгалтерской деятельности, является ___________________.
- Права субъекта
2.1. Субъект имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
2.1.1 подтверждение факта обработки ПДн оператором;
2.1.2 правовые основания и цели обработки ПДн;
2.1.3 цели и применяемые оператором способы обработки ПДн;
2.1.4 наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
2.1.5 обрабатываемые ПДн, относящиеся к соответствующему субъекту; источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
2.1.6 сроки обработки ПДн, в том числе сроки их хранения;
2.1.7 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ___________________, если обработка поручена или будет поручена такому лицу.
2.2. Субъект вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими ПДн не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект.
2.3. Субъект имеет право требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Предоставление сведений субъекту
3.1. Сведения должны быть предоставлены субъекту оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
3.2. Сведения, указанные в пункте 2.1 настоящих Правил, предоставляются субъекту или его уполномоченному представителю оператором при обращении, либо при получении запроса субъекта или его уполномоченного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта или его уполномоченного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта или его уполномоченного представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.3. Рассмотрение запросов является служебной обязанностью директора, заместителя директора и уполномоченных должностных лиц, в чьи обязанности входит обработка ПДн.
- Права оператора
4.1. Оператор вправе отказать субъекту в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 2.2 и 3.2 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
4.2. Оператор в праве ограничить доступ субъекта к его ПДн в соответствии с федеральными законами, в том числе если:
4.2.1 обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
4.2.2 обработка ПДн осуществляется органами, осуществившими задержание субъекта по подозрению в совершении преступления, либо предъявившими субъекту обвинение по уголовному делу, либо применившими к субъекту меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
4.2.3 обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4.2.4 доступ субъекта к его ПДн нарушает права и законные интересы третьих лиц;
4.2.5 обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
- Обязанности оператора
Обязанности оператора при обращении к нему субъекта, либо при получении запроса субъекта или его уполномоченного представителя, а также уполномоченного органа по защите прав субъектов ПДн.
5.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», субъекту или его уполномоченному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими ПДн, при обращении субъекта или его уполномоченного представителя в течение 30 (тридцати) дней с даты получения запроса субъекта или его уполномоченного представителя.
5.2. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте, или отказа в предоставлении ПДн субъекту или его уполномоченному представителю, при их обращении, либо при получении запроса, оператор обязан дать мотивированный ответ в письменной форме, содержащий ссылку на положение части 8 статьи 14 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта или его уполномоченного представителя, либо с даты получения запроса субъекта или его уполномоченного представителя.
5.3. Оператор обязан предоставить безвозмездно субъекту или его уполномоченному представителю возможность ознакомления с ПДн, относящимися к этому субъекту.
5.4. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом или его уполномоченным представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
5.5. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом или его уполномоченным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн.
5.6. Оператор обязан уведомить субъекта или его уполномоченного представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
5.7. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
5.8. Типовые запросы субъектов ПДн, сроки их рассмотрения, а также типовые действий ___________________ указаны в таблице 1.
Таблица 1. Запросы субъектов ПДн
№ |
Запрос |
Действия |
Срок |
Ответ |
|
|
1. Запрос субъекта ПДн |
|
|||||
1.1. |
Обработка ПДн |
Подтверждение обработки ПДн |
30 дней (согласно п.1 ст.20 закона № 152-ФЗ) |
Подтверждение обработки ПДн |
||
Отказ подтверждения обработки ПДн |
30 дней (согласно п.2 ст. 20 закона № 152-ФЗ) |
Уведомление об отказе подтверждения обработки ПДн |
||||
1.2. |
Ознакомление с ПДн |
Предоставление информации по ПДн |
30 дней (согласно п. 1 ст. 20 закона № 152-ФЗ) |
1. Подтверждение обработки ПДн, а также правовые основания и цели такой обработки |
||
2. Способы обработки ПДн |
||||||
3. Сведения о лицах, которые имеют доступ к ПДн |
||||||
4. Перечень обрабатываемых ПДн и источник их получения |
||||||
5. Сроки обработки ПДн, в том числе сроки их хранения |
||||||
6. Информация об осуществленной или о предполагаемой трансграничной передаче |
||||||
Отказ предоставления информации по ПДн |
30 дней (согласно п. 2 ст. 20 закона № 152-ФЗ) |
Уведомление об отказе предоставления информации по ПДн |
||||
1.3. |
Уточнение ПДн |
Изменение ПДн |
7 рабочих дней со дня предоставления уточняющих сведений (согласно п. 3 ст. 20 закона № 152-ФЗ) |
Уведомление о внесенных изменениях |
||
Отказ изменения ПДн |
30 дней (согласно п. 2 ст. 20 закона № 152-ФЗ) |
Уведомление об отказе предоставления изменения ПДн |
||||
1.4. |
Уничтожение ПДн |
Уничтожение ПДн |
7 рабочих дней со дня предоставления сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно п. 3 ст. 20 закона № 152-ФЗ) |
Уведомление об уничтожении |
||
Отказ уничтожение ПДн |
30 дней (согласно п. 2 ст. 20 закона № 152-ФЗ) |
Уведомление об отказе уничтожения ПДн |
||||
1.5. |
Отзыв согласия на обработку ПДн |
Прекращение обработки и уничтожение ПДн |
30 рабочих дней (согласно п. 5 ст. 21 закона № 152-ФЗ) |
Уведомление о прекращении обработки и уничтожении ПДн |
||
Отказ прекращения обработки и уничтожения ПДн |
30 дней (согласно п. 2 ст. 20 закона № 152-ФЗ) |
Уведомление об отказе прекращения обработки и уничтожения ПДн |
||||
1.6. |
Недостоверность ПДн субъекта |
Блокировка ПДн |
С момента обращения субъекта ПДН о недостоверности или с момента получения запроса на период проверки (согласно п. 1ст. 21 закона № 152-ФЗ) |
Уведомление о внесенных изменениях |
||
Изменение ПДн |
7 рабочих дней со дня предоставления уточненных сведений (согласно п. 2 ст. 21 закона № 152-ФЗ) |
|||||
Снятие блокировки ПДн |
||||||
Отказ изменения ПДн |
30 дней (согласно п. 2 ст. 20 закона № 152-ФЗ) |
Уведомление об отказе изменения ПДн |
||||
1.7. |
Неправомерность |
Прекращение неправомерной обработки ПДн |
3 рабочих дня (согласно п. 3 ст. 21 закона № 152-ФЗ) |
Уведомление об устранении нарушений |
||
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней (согласно п. 3 ст. 21 закона № 152-ФЗ) |
Уведомление об уничтожении ПДн |
||||
1.8. |
Достижение целей |
Прекращение обработки ПДн, Уничтожение ПДн |
30 дней (согласно п. 4 ст. 21 закона № 152-ФЗ) |
Уведомление об уничтожении ПДн |
||
2. Запрос Уполномоченного органа по защите прав Субъекта ПДн |
||||||
2.1. |
Информация для осуществления деятельности уполномоченного органа |
Предоставление затребованной информации по ПДн |
30 дней (согласно п. 4 ст. 20 закона № 152-ФЗ) |
Предоставление затребованной информации по ПДн |
||
2.2. |
Недостоверность ПДн субъекта |
Блокировка ПДн |
С момента обращения Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно п. 1 ст. 21 закона № 152-ФЗ) |
Уведомление о внесенных изменениях |
||
Изменение ПДн |
7 рабочих дней со дня предоставления уточненных сведений (согласно п. 2 ст. 21 закона № 152-ФЗ) |
|||||
Снятие блокировки ПДн |
||||||
Отказ изменения ПДн |
30 дней (согласно п. 2 ст. 20 закона № 152-ФЗ) |
Уведомление об отказе изменения ПДн |
||||
2.3. |
Неправомерность действий с ПДн субъекта |
Прекращение неправомерной обработки ПДн |
3 рабочих дня (согласно п. 3 ст. 21 закона № 152-ФЗ) |
Уведомление об устранении нарушений |
||
Уничтожение ПДн в случае невозможности обеспечения правомерности обработки |
10 рабочих дней (согласно п. 3 ст. 21 закона № 152-ФЗ) |
Уведомление об уничтожении ПДн |
||||
2.4. |
Достижение целей обработки ПДн субъекта |
Блокировка ПДн |
30 дней (согласно п. 4 ст. 21 закона № 152-ФЗ) |
Уведомление об уничтожении ПДн |
||
Уничтожение ПДн |
30 дней (согласно п. 4 ст. 21 закона № 152-ФЗ) |
Уведомление об уничтожении ПДн |