1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Комментарий к ст. 20 Закона о персональных данных
1. Нормы комментируемой статьи во многом определяют процедуру реализации права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, закрепленного ст.14 настоящего Закона. Правом на получение информации о наличии персональных данных должны обладать только лица, имеющие законную и настоящую потребность в получении соответствующих сведений. Практическому воплощению представленного принципа способствует законодательное определение оснований, объема и условий предоставления конфиденциальных сведений, а равно круга лиц, обладающих правом на их получение.
По смыслу комментируемой статьи реализации оператором возложенной на него обязанности по предоставлению информации об обрабатываемых персональных данных, а равно их самих для ознакомления, должно предшествовать обращение или запрос субъекта на доступ к своим персональным данным, оформленное в порядке и на условиях, оговоренных настоящим Законом (см. ст.14 Закона и комментарий к ней).
Законодатель приводит исчерпывающий перечень получателей, равно как и оснований получения конфиденциальной информации, сведений о ее обработке. Такого рода перечень не подлежит расширительному толкованию и не может быть самопроизвольно увеличен, любые изменения в субъектном составе получателей могут происходить только на законодательном уровне и напрямую связаны с изменением рассматриваемого нормативного документа.
Юридическими основаниями исполнения оператором соответствующей обязанности являются:
- наличие в его временном обладании персональных данных;
- относимость персональных данных к личности конкретного субъекта;
- необходимость получения информации в целях осуществления прав обратившегося лица;
- законность и обоснованность требований субъекта или его законного представителя.
Существенным концептуальным моментом закона является круг лиц, имеющих право на получение персональных данных из информационных массивов оператора.
По смыслу комментируемой статьи информация о наличии персональных данных может быть предоставлена:
- субъекту персональных данных;
- законному представителю последнего;
- уполномоченному органу по защите прав субъектов персональных данных.
Предоставление информации о персональных данных в распоряжение указанных лиц осуществляется при условии поступления в адрес оператора обращения или запроса субъекта персональных данных (уполномоченного органа по защите прав субъектов персональных данных) о предоставлении возможности ознакомления с конфиденциальной информацией. Предоставление соответствующей информации осуществляется в части, касающейся субъекта персональных данных или необходимой уполномоченному органу по защите прав субъектов персональных данных в связи с осуществлением собственной деятельности и в пределах полученного запроса или обращения. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Законодатель предусматривает, что оператор обязан немедленно сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, а также предоставить возможность ознакомления с ними. При поступлении в адрес оператора соответствующего запроса последний подлежит исполнению в течение 10 рабочих дней с даты его получения. Дата получения запроса определяется моментом его регистрации. Регистрация документов производится в соответствии с установленным на предприятии порядком. Регистрация включает проставление на документах регистрационных штампов, а также заполнение регистрационных форм (карточек, книг, журналов, входящей корреспонденции). Нерабочими днями являются выходные дни (суббота и воскресенье при пятидневной рабочей неделе, воскресенье при шестидневной), в том числе перенесенные Правительством РФ выходные и праздничные дни.
Информация об обрабатываемых персональных данных, возможность ознакомления с ними предоставляются операторам субъекту персональных данных безвозмездно (см. п.3 ст.20 настоящего Закона) и в доступной для него форме, не содержащей персональные данные, относящиеся к другим субъектам.
2. Законодатель допускает возможность отказа оператора в предоставлении информации о наличии в его распоряжении персональных данных о соответствующем субъекте в случае обращения или запроса последнего. Доступ субъекту персональных данных может быть к ним ограничен в случаях, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц;
4) в иных случаях, предусмотренных федеральным законом в целях защиты основ конституционного строя, нравственности, здоровья других лиц.
Отказ в предоставлении субъекту персональных данных информации о наличии персональных данных о соответствующем субъекте персональных данных должен быть оформлен в письменном виде и заверен подписью руководителя оператора — юридического лица и скреплен его гербовой печатью. Отказной материал должен быть направлен субъекту персональных данных не позднее семи рабочих дней с момента получения оператором запроса последнего. В целях защиты прав и законных интересов субъектов персональных данных в процессе их обработки о каждом случае отказа в предоставлении запрашиваемой информации оператор должен информировать уполномоченный орган по защите прав субъектов персональных данных.