8 (800) 100-99-21

(Телефон горячей линии)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.


Комментарий к ст. 21 Закона о персональных данных


1. Положения комментируемой статьи определяют процедуру специальной обработки персональных данных, связанной с уточнением, блокированием или уничтожением персональных данных. Необходимость такого рода действий объясняется целью устранения нарушений действующего законодательства, возникших в ходе активной обработки персональных данных в связи с их сбором, хранением, передачей и т.п.

В качестве условий применения специальной обработки персональных данных законодатель называет случаи:

  • выявления недостоверных персональных данных; неправомерных действий с ними.

По смыслу комментируемой статьи инициатором применения специальной обработки персональных данных может выступать любой из участников соответствующих правоотношений:

  • оператор, осуществляющий обработку персональных данных;
  • субъект персональных данных или его законный представитель;
  • уполномоченный орган по защите прав субъектов персональных данных.

Выявлению недостоверных персональных данных предшествует предварительная их обработка оператором, связанная с получением подтверждающих сведений из третьих источников в порядке и на условиях, оговоренных настоящим Законом.

Неправомерные действия оператора с персональными данными связаны с несоблюдением требований настоящего Закона в части, касающейся их обработки и в первую очередь нарушения требований соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, полномочиям оператора, а также соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных (см. ст.5 настоящего Закона и комментарий к ней).

Выявление неправомерных действий оператора с персональными данными напрямую связано с реализацией права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, в порядке, определенном ст.ст.14 и 20 настоящего Закона.

В случае подтверждения оснований, необходимых для специальной обработки, оператор обязан выявить условия их возникновения и предпринять меры к устранению последних. В связи с этим с момента выявления соответствующих негативных последствий оператор обязан осуществить блокирование персональных данных на весь период последующей проверки.

2. В случае подтверждения условий, послуживших основанием временного прекращения сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи из числа обозначенных пунктом первым комментируемой статьи, законодатель предусматривает несколько вариантов дальнейшего развития ситуации, каждому из которых соответствует собственный уникальный порядок реализации.

Недостоверность персональных данных, выявленная в процессе их обработки или по запросу субъекта, требует, в свою очередь, их уточнения. В целях достижения необходимого правомерного результата законодатель допускает возможность обработки оператором персональных данных при несоответствии объема и способов обработки персональных данных ее целям. Подобного рода отступление от существующих правил возможно при условии предоставления субъектом персональных данных дополнительных сведений, необходимых в целях уточнения его персональных данных и получения последних оператором из иных источников самостоятельно при условии уведомления субъекта персональных данных и уполномоченного органа по защите прав субъектов персональных данных.

Неправомерность действий с персональными данными, явившаяся следствием нарушений требований, установленных настоящим Законом, требует привлечение виновного лица в установленном порядке к ответственности. Вместе с тем законодатель допускает применение к оператору, чья вина в подобного рода случаях презюмируется, мер общей превенции, связанных с возможностью устранения допущенных нарушений. Последнее подразумевает в первую очередь приведение в соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных. Оператор свободен в выборе способов, приемов и методов устранения имеющих место нарушений при условии законности и добросовестности их применения. В случае невозможности устранения допущенных нарушений оператор обязан уничтожить персональные данные, правомерность обработки которых вызывает сомнения.

На устранение имеющих место нарушений обработки персональных данных, равно как и на уничтожение последних, законодатель отводит три рабочих дня. Исчисление указанного срока начинается с момента выявления неправомерности действий с персональными данными или поступления в адрес оператора соответствующего запроса субъекта персональных данных или его законного представителя.

Законодатель обязывает оператора уведомлять уполномоченный орган по защите прав субъектов персональных данных обо всех действиях, проведенных в отношении персональных данных, явившихся следствием устранения выявленных нарушений в процессе обработки последних.

3. Комментируемая статья предусматривает случаи применения специальной обработки персональных данных в условиях законности и обоснованности действий с последними. К их числу относятся достижение заявленных оператором целей обработки персональных данных и отзыв субъекта персональных данных своего согласия на их обработку. Во многом последовательность действий и сроки их совершения в представленных случаях совпадают по своему содержанию с процедурой, применяемой при устранении недостатков, возникших как следствие неправомерных действий с персональными данными. Особенность оснований применения сформулированных пунктами 4 и 5 комментируемой статьи действий заключается в общей превенции деятельности оператора, имеющей своей целью предотвратить потенциальную угрозу нарушения действующего законодательства в случаях продолжения обработки персональных данных.

Простое решение - один звонок по телефону

Не выходя из дома, вы можете задать свой вопрос юристу совершенно бесплатно
по номеру телефона горячей линии 8 (800) 100-99-21.
Звонки принимаются 24 часа в сутки 7 дней в неделю. Если по каким-то причинам
Вам неудобно звонить то оставьте онлайн-заявку на нашем сайте с именем, городом и номером телефона.
Мы перезвоним вам в течении 10 минут, чтобы помочь разобраться со всеми трудностями.

Получить консультацию юриста по телефону Вы так же можете, не затратив ни копейки.
Так стоит ли пренебрегать представленными возможностями?
Если Ваш случай нетипичный, то после предварительного анализа мы пригласим Вас
на личную встречу в наш офис. За нее Вам также не придется платить.

2024 Юридическая компания «Консультант»