152-ФЗ Постатейные комментарии (1027774), страница 24
Текст из файла (страница 24)
ФСТЭК России осуществляет свою деятельностьнепосредственно и (или) через свои территориальные органы.Статья 20. Обязанности оператора при обращении либо при получении запроса субъектаперсональных данных или его законного представителя, а также уполномоченного органа позащите прав субъектов персональных данныхКомментарий к статье 201.
Нормы комментируемой статьи во многом определяют процедуру реализации правасубъекта персональных данных на получение информации, касающейся обработки егоперсональных данных, закрепленного ст. 14 настоящего Закона. Правом на получениеинформации о наличии персональных данных должны обладать только лица, имеющие законную инастоящую потребность в получении соответствующих сведений.
Практическому воплощениюпредставленного принципа способствует законодательное определение оснований, объема иусловий предоставления конфиденциальных сведений, а равно круга лиц, обладающих правом наих получение.По смыслу комментируемой статьи реализации оператором возложенной на негообязанности по предоставлению информации об обрабатываемых персональных данных, а равноих самих для ознакомления, должно предшествовать обращение или запрос субъекта на доступ ксвоим персональным данным, оформленное в порядке и на условиях, оговоренных настоящимЗаконом (см. ст. 14 Закона и комментарий к ней).Законодатель приводит исчерпывающий перечень получателей, равно как и основанийполучения конфиденциальной информации, сведений о ее обработке. Такого рода перечень неподлежит расширительному толкованию и не может быть самопроизвольно увеличен, любыеизменения в субъектном составе получателей могут происходить только на законодательномуровне и напрямую связаны с изменением рассматриваемого нормативного документа.Юридическими основаниями исполнения оператором соответствующей обязанностиявляются:наличие в его временном обладании персональных данных;относимость персональных данных к личности конкретного субъекта;необходимость получения информации в целях осуществления прав обратившегося лица;законность и обоснованность требований субъекта или его законного представителя.Существенным концептуальным моментом закона является круг лиц, имеющих право наполучение персональных данных из информационных массивов оператора.
По смыслукомментируемой статьи информация о наличии персональных данных может быть предоставлена:субъекту персональных данных;законному представителю последнего;уполномоченному органу по защите прав субъектов персональных данных.52Предоставление информации о персональных данных в распоряжение указанных лицосуществляется при условии поступления в адрес оператора обращения или запроса субъектаперсональных данных (уполномоченного органа по защите прав субъектов персональных данных)опредоставлениивозможностиознакомлениясконфиденциальнойинформацией.Предоставление соответствующей информации осуществляется в части, касающейся субъектаперсональных данных или необходимой уполномоченному органу по защите прав субъектовперсональных данных в связи с осуществлением собственной деятельности и в пределахполученного запроса или обращения.
Субъект персональных данных имеет право на получениепри обращении или при получении запроса информации, касающейся обработки его персональныхданных, в том числе содержащей:1) подтверждение факта обработки персональных данных оператором, а также цель такойобработки;2) способы обработки персональных данных, применяемые оператором;3) сведения о лицах, которые имеют доступ к персональным данным или которым можетбыть предоставлен такой доступ;4) перечень обрабатываемых персональных данных и источник их получения;5) сроки обработки персональных данных, в том числе сроки их хранения;6) сведения о том, какие юридические последствия для субъекта персональных данныхможет повлечь за собой обработка его персональных данных.Субъект персональных данных имеет право на получение сведений об операторе, о местеего нахождения, о наличии у оператора персональных данных, относящихся к соответствующемусубъекту персональных данных.
Субъект персональных данных вправе требовать от операторауточнения своих персональных данных, их блокирования или уничтожения в случае, еслиперсональные данные являются неполными, устаревшими, недостоверными, незаконнополученными или не являются необходимыми для заявленной цели обработки, а также приниматьпредусмотренные законом меры по защите своих прав.Законодатель предусматривает, что оператор обязан немедленно сообщить субъектуперсональных данных или его законному представителю информацию о наличии персональныхданных, а также предоставить возможность ознакомления с ними.
При поступлении в адресоператора соответствующего запроса последний подлежит исполнению в течение 10 рабочих днейс даты его получения. Дата получения запроса определяется моментом его регистрации.Регистрация документов производится в соответствии с установленным на предприятии порядком.Регистрация включает проставление на документах регистрационных штампов, а такжезаполнение регистрационных форм (карточек, книг, журналов, входящей корреспонденции).Нерабочими днями являются выходные дни (суббота и воскресенье при пятидневной рабочейнеделе, воскресенье при шестидневной), в том числе перенесенные Правительством РФвыходные и праздничные дни.Информация об обрабатываемых персональных данных, возможность ознакомления с нимипредоставляются операторам субъекту персональных данных безвозмездно (см. п.
3 ст. 20настоящего Закона) и в доступной для него форме, не содержащей персональные данные,относящиеся к другим субъектам.2. Законодатель допускает возможность отказа оператора в предоставлении информации оналичии в его распоряжении персональных данных о соответствующем субъекте в случаеобращения или запроса последнего.
Доступ субъекту персональных данных может быть к нимограничен в случаях, если:1) обработка персональных данных, в том числе персональных данных, полученных врезультате оперативно-розыскной, контрразведывательной и разведывательной деятельности,осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;2) обработка персональных данных осуществляется органами, осуществившими задержаниесубъекта персональных данных по подозрению в совершении преступления, либо предъявившимисубъекту персональных данных обвинение по уголовному делу, либо применившими к субъектуперсональных данных меру пресечения до предъявления обвинения, за исключениемпредусмотренных уголовно-процессуальным законодательством РФ случаев, если допускаетсяознакомление подозреваемого или обвиняемого с такими персональными данными;3) предоставление персональных данных нарушает конституционные права и свободыдругих лиц;4) в иных случаях, предусмотренных федеральным законом в целях защиты основконституционного строя, нравственности, здоровья других лиц.Отказ в предоставлении субъекту персональных данных информации о наличииперсональных данных о соответствующем субъекте персональных данных должен быть оформленв письменном виде и заверен подписью руководителя оператора - юридического лица и скрепленего гербовой печатью.
Отказной материал должен быть направлен субъекту персональных данныхне позднее семи рабочих дней с момента получения оператором запроса последнего. В целях53защиты прав и законных интересов субъектов персональных данных в процессе их обработки окаждом случае отказа в предоставлении запрашиваемой информации оператор долженинформировать уполномоченный орган по защите прав субъектов персональных данных.Статья 21. Обязанности оператора по устранению нарушений законодательства,допущенных при обработке персональных данных, а также по уточнению, блокированию иуничтожению персональных данныхКомментарий к статье 211.
Положения комментируемой статьи определяют процедуру специальной обработкиперсональных данных, связанной с уточнением, блокированием или уничтожением персональныхданных. Необходимость такого рода действий объясняется целью устранения нарушенийдействующего законодательства, возникших в ходе активной обработки персональных данных всвязи с их сбором, хранением, передачей и т.п.В качестве условий применения специальной обработки персональных данных законодательназывает случаи:выявления недостоверных персональных данных;неправомерных действий с ними.По смыслу комментируемой статьи инициатором применения специальной обработкиперсональных данных может выступать любой из участников соответствующих правоотношений:оператор, осуществляющий обработку персональных данных;субъект персональных данных или его законный представитель;уполномоченный орган по защите прав субъектов персональных данных.Выявлению недостоверных персональных данных предшествует предварительная ихобработка оператором, связанная с получением подтверждающих сведений из третьих источниковв порядке и на условиях, оговоренных настоящим Законом.Неправомерные действия оператора с персональными данными связаны с несоблюдениемтребований настоящего Закона в части, касающейся их обработки и в первую очередь нарушениятребований соответствия целей обработки персональных данных целям, заранее определенным изаявленным при сборе персональных данных, полномочиям оператора, а также соответствияобъема и характера обрабатываемых персональных данных, способов обработки персональныхданных целям обработки персональных данных (см.
ст. 5 настоящего Закона и комментарий к ней).Выявление неправомерных действий оператора с персональными данными напрямуюсвязано с реализацией права субъекта персональных данных на получение информации,касающейся обработки его персональных данных, в порядке, определенном ст. ст. 14 и 20настоящего Закона.В случае подтверждения оснований, необходимых для специальной обработки, операторобязан выявить условия их возникновения и предпринять меры к устранению последних. В связи сэтим с момента выявления соответствующих негативных последствий оператор обязаносуществить блокирование персональных данных на весь период последующей проверки.2. В случае подтверждения условий, послуживших основанием временного прекращениясбора, систематизации, накопления, использования, распространения персональных данных, втом числе их передачи из числа обозначенных пунктом первым комментируемой статьи,законодатель предусматривает несколько вариантов дальнейшего развития ситуации, каждому изкоторых соответствует собственный уникальный порядок реализации.Недостоверность персональных данных, выявленная в процессе их обработки или позапросу субъекта, требует, в свою очередь, их уточнения.
В целях достижения необходимогоправомерного результата законодатель допускает возможность обработки операторомперсональных данных при несоответствии объема и способов обработки персональных данных еецелям. Подобного рода отступление от существующих правил возможно при условиипредоставления субъектом персональных данных дополнительных сведений, необходимых вцелях уточнения его персональных данных и получения последних оператором из иныхисточников самостоятельно при условии уведомления субъекта персональных данных иуполномоченного органа по защите прав субъектов персональных данных.Неправомерность действий с персональными данными, явившаяся следствием нарушенийтребований, установленных настоящим Законом, требует привлечение виновного лица вустановленном порядке к ответственности.
Вместе с тем законодатель допускает применение коператору, чья вина в подобного рода случаях презюмируется, мер общей превенции, связанных свозможностью устранения допущенных нарушений. Последнее подразумевает в первую очередьприведение в соответствие объема и характера обрабатываемых персональных данных, способовобработки персональных данных целям обработки персональных данных. Оператор свободен ввыборе способов, приемов и методов устранения имеющих место нарушений при условии54законности и добросовестности их применения. В случае невозможности устранения допущенныхнарушений оператор обязан уничтожить персональные данные, правомерность обработки которыхвызывает сомнения.На устранение имеющих место нарушений обработки персональных данных, равно как и науничтожение последних, законодатель отводит три рабочих дня.














