Законодательство РФ

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.


Комментарии к статье 20 152-ФЗ О персональных данных:

1. Комментируемая статья корреспондирует со ст. 14 комментируемого Закона, определяющей право субъекта персональных данных на доступ к его персональным данным. Статья 14 определяет общие правила обращения к оператору либо подачи запроса, в том числе имеющего вид электронного документа, его содержание, а также перечень сведений, которые должны быть предоставлены субъекту персональных данных или его представителю при обращении или по запросу (см. комментарий к ст. 14). Комментируемая статья, в свою очередь, определяет общие обязанности оператора, связанные с получением такого обращения либо запроса, принятием решения о предоставлении персональных данных и последующими действиями, сроки их исполнения.

Первая часть статьи посвящена обязанностям оператора, возникающим у него в момент обращения субъекта персональных данных или его представителя либо получения от них запроса. Она обеспечивает реализацию субъектом персональных данных права на получение сведений о его персональных данных, находящихся у оператора. В этих целях устанавливается, что оператор обязан:

- сообщить информацию о наличии персональных данных в отношении субъекта персональных данных, обратившегося к оператору лично или через представителя;

- предоставить возможность ознакомления с этими персональными данными.

Информация предоставляется в той же форме, в какой получен запрос, если иное не предусмотрено законодательством или не указано в обращении заявителя, при этом она не должна содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сроки выполнения названной обязанности оператора зависят от формы обращения субъекта персональных данных либо его представителя:

- при обращении субъекта персональных данных или его представителя - непосредственно при обращении;

- при направлении запроса - в течение тридцати дней с даты его получения.

Обратим внимание на то, что названный срок в тридцать дней был установлен Федеральным законом от 25.07.2011 N 261-ФЗ, ранее редакция комментируемой статьи говорила о десяти рабочих днях. Таким образом, срок предоставления информации о наличии персональных данных и возможности ознакомления с ними был значительно увеличен. Представляется, что в случае направления запроса в форме электронного документа логично было бы установить сокращенный срок, поскольку организационные затраты в случае рассмотрения такого запроса сведены к минимуму.

2. Часть 2 комментируемой статьи посвящена обязанностям оператора, возникающим у него при принятии решения об отказе в предоставлении информации о наличии персональных данных. Оператор может принять решение о таком отказе в случае ограничения права субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами (ч. 8 ст. 14 комментируемого Закона). В частности, такие ограничения действуют в случае, когда:

- обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц и др.

В случае принятия оператором решения об отказе в предоставлении сведений комментируемая статья закрепляет за ним обязанность направить субъекту персональных данных (его представителю) мотивированный ответ. В нем должны содержаться основания для такого отказа в виде ссылки на соответствующие положения Федерального закона. Срок для направления такого ответа составляет тридцать дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. В предыдущей редакции Закона данный срок составлял семь рабочих дней.

Кроме того, субъекту персональных данных может быть отказано в получении доступа к ним в случае повторного обращения к оператору или направления повторного запроса с нарушением предусмотренных комментируемым Законом требований (ч. 6 ст. 14 комментируемого Закона), например в течение тридцати дней после первоначального обращения или направления первоначального запроса. В данном случае комментируемый Закон также предусматривает обязанность оператора мотивировать такой отказ и представить доказательства обоснованности отказа в выполнении повторного запроса. Предусматривающие это нормы содержатся непосредственно в ст. 14 комментируемого Закона.

3. Часть 3 комментируемой статьи регулирует обязанности оператора, связанные с предоставлением субъекту персональных данных (его представителю) возможности ознакомления с персональными данными и возможными последствиями реализации субъектом своего права требовать от оператора уточнения либо уничтожения своих персональных данных.

Возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, предоставляется субъекту персональных данных или его представителю безвозмездно. Следовательно, незаконным будет требование о внесении оператору какой-либо платы за организацию доступа лица к его персональным данным.

Пример: суд, применяя норму, содержащуюся в комментируемой статье, указал, что выдачу населению справок о составе семьи и выписок из домовой книги (в том числе и при наличии у граждан задолженности по оплате жилищно-коммунальных услуг) за плату следует расценивать как ограничение права субъекта персональных данных на доступ к своим персональным данным, а следовательно, как ограничение конституционного права граждан на информацию. Введение ограничения на доступ граждан к своим персональным данным посредством установления платы за их получение нарушает права неопределенного круга лиц на получение информации. Данная информация не является информацией, распространение которой в Российской Федерации ограничивается или запрещается. Следовательно, заинтересованные лица вправе свободно получать такую информацию (см. Кассационное определение Нижегородского областного суда от 09.08.2011 по делу N 33-8160/2011).

Общее право субъекта персональных данных требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, предусмотрено ч. 1 ст. 14 комментируемого Закона. Настоящая статья конкретизирует данное положение следующим образом:

- в случае если персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения;

- в случае если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

Из этого можно сделать вывод о том, что субъект персональных данных не может требовать от оператора уничтожения его персональных данных, если они являются неактуальными, но при этом находятся у оператора на законном основании и необходимы для заявленной цели обработки.

Обязанность осуществить названные действия возникает у оператора в течение семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих данные факты.

Обратим внимание на то, что законодатель говорит о необходимости предоставления субъектом персональных данных (его представителем) сведений, подтверждающих действительность фактов, на которые он указывает. Данные сведения должны быть достоверными. Таким образом, обращение к оператору по указанным основаниям не будет являться безусловным основанием к изменению или уничтожению персональных данных. В течение указанного семидневного срока оператором будет проводиться проверка обозначенных фактов и подтверждающих их сведений. В случае вынесения решения об отсутствии указанных фактов и (или) недостоверности (отсутствии) подтверждающих их сведений обратившемуся субъекту персональных данных (его представителю) может быть отказано в изменении либо уничтожении персональных данных. Также отказ может быть связан с тем, что субъект обращается к оператору по поводу персональных данных другого лица, представителем которого указанный субъект не является (за исключением уполномоченного органа по защите прав субъектов персональных данных).

С внесением в персональные данные необходимых изменений либо их уничтожением предусмотренные комментируемой статьей обязанности оператора не прекращаются. После совершения указанных действий оператор должен:

1) уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах;

2) принять разумные меры по уведомлению третьих лиц, которым персональные данные этого субъекта были переданы. Это связано с необходимостью обеспечить использование актуальных персональных данных о субъекте в целях, для которых осуществляется обработка таких персональных данных.

Подробнее об обязанностях оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных см. комментарий к ст. 21.

4. Часть 4 комментируемой статьи связана с реализацией субъектом персональных данных права на защиту своих персональных данных, которое может быть выражено в обращении в уполномоченный орган по защите прав субъектов персональных данных, а также реализацией указанным органом правомочия запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию.

Государственным органом, который уполномочен осуществлять защиту прав субъектов персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На Роскомнадзор возложены функции по обеспечению контроля и надзора за соответствием обработки персональных данных требованиям комментируемого Закона.

В случае направления Роскомнадзором запроса о предоставлении данных оператор обязан сообщить необходимую информацию в течение тридцати дней с даты получения запроса (данный срок также был увеличен с семи рабочих дней с начала 2011 года).

Неисполнение обязанности по предоставлению органам Роскомнадзора требуемой информации в установленный срок является административным правонарушением и влечет соответствующую ответственность.

Пример: государственным инспектором РФ по надзору в сфере связи, информационных технологий и массовых коммуникаций Управления Роскомнадзора по РБ в отношении ООО "Стройэксплуатация" по результатам проведения мероприятий по контролю за выполнением операторами персональных данных требований законодательства в области обработки персональных данных было обнаружено нарушение ч. 4 ст. 20 комментируемого Закона. Общество своевременно не предоставило уполномоченному органу по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления им деятельности. ООО "Стройэксплуатация" обязано было предоставить сведения об осуществляемых мерах по обеспечению безопасности персональных данных, сведения о предоставлении сторонним организациям (третьим лицам) персональных данных. Получение обществом направленного ему запроса подтверждалось с помощью уведомления о вручении, позволяющего определить срок для направления ответа. В тридцатидневный срок ответ на запрос не был представлен. Согласно ст. 19.7 КоАП РФ непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде влечет предупреждение или наложение административного штрафа. Постановлением мирового судьи общество было привлечено к административной ответственности за совершение административного правонарушения, предусмотренного ст. 19.7 КоАП РФ, подвергнуто административному наказанию в виде штрафа (см. решение Советского районного суда г. Уфы (Республика Башкортостан) от 03.05.2012).

В целях реализации своих полномочий Роскомнадзор может не только запрашивать и безвозмездно получать информацию, необходимую для реализации своих полномочий, но и требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Сроки выполнения оператором таких действий комментируемая статья не устанавливает, однако они определяются согласно ст. 21 комментируемого Закона (см. комментарий к указанной статье).

В силу ч. 1 ст. 22 комментируемого Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (случаи, когда оператор вправе осуществлять обработку персональных данных без направления в уполномоченный орган соответствующего уведомления, предусмотрены ч. 2 данной статьи). На практике возникали спорные ситуации относительно обязанности оператора сообщать необходимую информацию по запросу Роскомнадзора после направления уведомления об обработке персональных данных.

Пример: разрешая спор между ООО "Аст-Системс" и Управлением Роскомнадзора по Астраханской области, арбитражный суд указал, что то обстоятельство, по которому согласно ч. 1 ст. 22 комментируемого Закона соответствующее уведомление направляется в уполномоченный орган до начала обработки персональных данных, не исключает реализацию Управлением Роскомнадзора полномочий, прямо предусмотренных ч. 4 ст. 20 комментируемого Закона, выраженных в запросе у оператора связи после начала обработки персональных данных необходимых сведений для осуществления деятельности соответствующего органа по защите прав субъектов персональных данных (см. Постановление Двенадцатого арбитражного апелляционного суда от 05.08.2011 N А06-773/2011).

Также в комментарии к ч. 4 рассматриваемой статьи хотелось бы обратить внимание на предусмотренную законом обязанность оператора предоставлять запрашиваемую информацию только в органы Роскомнадзора. Ни в комментируемой части, ни в других положениях комментируемого Закона не указывается на обязанность оператора предоставлять сведения о персональных данных субъектов по запросам иных органов власти.

Пример: признавая запрос прокурора не соответствующим закону в части требований о предоставлении личных дел сотрудников ГУВД, материалов, необходимость в предоставлении которых возможно возникнет в ходе проверки, а также требований о предоставлении копий документов без указания в запросах конкретных документов, суд, руководствуясь п. 1 ст. 3, ст. ст. 6, 7 комментируемого Закона, п. 5 ст. 14 Федерального закона от 27.05.2003 N 58-ФЗ, ч. 2 ст. 9 Федерального закона от 27.07.2006 N 149-ФЗ, пришел к выводу о том, что предоставление информации о персональных данных субъекта по запросу прокурора федеральным законодательством не предусмотрено (см. Определение Верховного Суда РФ от 08.02.2011 N 19-Впр11-3).

"Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный)
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013


Популярные статьи и материалы
N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления