Статья 20.
Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Комментарий к статье 20
1. Нормы комментируемой статьи во многом определяют процедуру реализации права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, закрепленного ст.14 настоящего Закона. Правом на получение информации о наличии персональных данных должны обладать только лица, имеющие законную и настоящую потребность в получении соответствующих сведений. Практическому воплощению представленного принципа способствует законодательное определение оснований, объема и условий предоставления конфиденциальных сведений, а равно круга лиц, обладающих правом на их получение.
По смыслу комментируемой статьи реализации оператором возложенной на него обязанности по предоставлению информации об обрабатываемых персональных данных, а равно их самих для ознакомления, должно предшествовать обращение или запрос субъекта на доступ к своим персональным данным, оформленное в порядке и на условиях, оговоренных настоящим Законом (см. ст.14 Закона и комментарий к ней).
Законодатель приводит исчерпывающий перечень получателей, равно как и оснований получения конфиденциальной информации, сведений о ее обработке. Такого рода перечень не подлежит расширительному толкованию и не может быть самопроизвольно увеличен, любые изменения в субъектном составе получателей могут происходить только на законодательном уровне и напрямую связаны с изменением рассматриваемого нормативного документа.
Юридическими основаниями исполнения оператором соответствующей обязанности являются:
наличие в его временном обладании персональных данных;
относимость персональных данных к личности конкретного субъекта;
необходимость получения информации в целях осуществления прав обратившегося лица;
законность и обоснованность требований субъекта или его законного представителя.
Существенным концептуальным моментом закона является круг лиц, имеющих право на получение персональных данных из информационных массивов оператора. По смыслу комментируемой статьи информация о наличии персональных данных может быть предоставлена:
субъекту персональных данных;
законному представителю последнего;
уполномоченному органу по защите прав субъектов персональных данных.
Предоставление информации о персональных данных в распоряжение указанных лиц осуществляется при условии поступления в адрес оператора обращения или запроса субъекта персональных данных (уполномоченного органа по защите прав субъектов персональных данных) о предоставлении возможности ознакомления с конфиденциальной информацией. Предоставление соответствующей информации осуществляется в части, касающейся субъекта персональных данных или необходимой уполномоченному органу по защите прав субъектов персональных данных в связи с осуществлением собственной деятельности и в пределах полученного запроса или обращения. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Законодатель предусматривает, что оператор обязан немедленно сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, а также предоставить возможность ознакомления с ними. При поступлении в адрес оператора соответствующего запроса последний подлежит исполнению в течение 10 рабочих дней с даты его получения. Дата получения запроса определяется моментом его регистрации. Регистрация документов производится в соответствии с установленным на предприятии порядком. Регистрация включает проставление на документах регистрационных штампов, а также заполнение регистрационных форм (карточек, книг, журналов, входящей корреспонденции). Нерабочими днями являются выходные дни (суббота и воскресенье при пятидневной рабочей неделе, воскресенье при шестидневной), в том числе перенесенные Правительством РФ выходные и праздничные дни.
Информация об обрабатываемых персональных данных, возможность ознакомления с ними предоставляются операторам субъекту персональных данных безвозмездно (см. п.3 ст.20 настоящего Закона) и в доступной для него форме, не содержащей персональные данные, относящиеся к другим субъектам.
2. Законодатель допускает возможность отказа оператора в предоставлении информации о наличии в его распоряжении персональных данных о соответствующем субъекте в случае обращения или запроса последнего. Доступ субъекту персональных данных может быть к ним ограничен в случаях, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц;
4) в иных случаях, предусмотренных федеральным законом в целях защиты основ конституционного строя, нравственности, здоровья других лиц.
Отказ в предоставлении субъекту персональных данных информации о наличии персональных данных о соответствующем субъекте персональных данных должен быть оформлен в письменном виде и заверен подписью руководителя оператора — юридического лица и скреплен его гербовой печатью. Отказной материал должен быть направлен субъекту персональных данных не позднее семи рабочих дней с момента получения оператором запроса последнего. В целях защиты прав и законных интересов субъектов персональных данных в процессе их обработки о каждом случае отказа в предоставлении запрашиваемой информации оператор должен информировать уполномоченный орган по защите прав субъектов персональных данных.
Статья 21.
Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
Комментарий к статье 21
1. Положения комментируемой статьи определяют процедуру специальной обработки персональных данных, связанной с уточнением, блокированием или уничтожением персональных данных. Необходимость такого рода действий объясняется целью устранения нарушений действующего законодательства, возникших в ходе активной обработки персональных данных в связи с их сбором, хранением, передачей и т.п.
В качестве условий применения специальной обработки персональных данных законодатель называет случаи:
выявления недостоверных персональных данных; неправомерных действий с ними.
По смыслу комментируемой статьи инициатором применения специальной обработки персональных данных может выступать любой из участников соответствующих правоотношений: