Получение требования от Роскомнадзора о прекращении обработки, уточнении, блокировании или уничтожении персональных данных свидетельствует о выявленных нарушениях обязательных требований в этой сфере. После получения такого документа необходимо оценить его содержание на предмет ясности претензий. В случае понимания сути нарушений следует провести внутреннюю проверку организации. При подтверждении фактов нарушений необходимо выполнить предписанные требования и, при необходимости, проинформировать Роскомнадзор об исполнении. Неисполнение требования может повлечь административную ответственность.

1. Получение требования и его содержание

Требование может быть направлено Роскомнадзором в случае обнаружения нарушений требований к обработке персональных данных в ходе контрольных (надзорных) мероприятий, проведенных без непосредственного взаимодействия с вами. В таком случае вы можете получить одно из следующих предписаний:

прекратить обработку персональных данных, обрабатываемых с нарушением законодательства, или уничтожить их. Это также касается случаев, когда обработка осуществляется по вашему поручению другим лицом.

уточнить, заблокировать или уничтожить недостоверные или незаконно полученные персональные данные, а также проинформировать контролирующий орган об исполнении или представить мотивированные пояснения.

Требование направляется в письменной форме.

2. Анализ полученного требования

Нормативные акты не устанавливают строгих требований к содержанию и оформлению таких документов. Предполагается, что в требовании должно быть четко указано, в чем заключается выявленное нарушение, возможно, с указанием конкретных субъектов персональных данных. Также должно быть обозначено требуемое действие с персональными данными: прекращение обработки, уточнение, блокирование или уничтожение. Важно, чтобы из содержания требования было понятно, в чем состоит нарушение и как его устранить.

3. Действия при неясности содержания требования

Если содержание требования вызывает вопросы, рекомендуется обратиться в Роскомнадзор за разъяснениями. Это может быть актуально, например, при некорректном или неполном указании информации о персональных данных, в отношении которых выявлены нарушения. Несмотря на отсутствие прямого указания в законодательстве о возможности такого обращения, оно представляется целесообразным. Рекомендуется направлять запрос в письменной форме до истечения срока исполнения требования, обосновывая свои вопросы.

4. Исполнение требования

Срок исполнения требования об уточнении, блокировании или уничтожении недостоверных или незаконно полученных персональных данных составляет 10 рабочих дней. Для требования о прекращении обработки или уничтожении персональных данных срок может быть указан непосредственно в требовании.

При получении требования необходимо:

заблокировать персональные данные, указанные в требовании. Если обработка осуществляется по вашему поручению другим лицом, необходимо дать ему соответствующее указание. Блокировка означает временное прекращение использования данных, за исключением случаев их уточнения. Блокировка неточных данных осуществляется, если это не нарушает права субъекта или третьих лиц. При неправомерной обработке блокируется только та часть данных, которая обрабатывается неправомерно.

провести проверку обстоятельств обработки персональных данных. Это включает выяснение точности данных, законности их обработки и наличия права на их обработку. Конкретные действия зависят от содержания требования, например, проверка согласий на обработку персональных данных. Рекомендуется документально оформлять результаты проверки (приказы, акты, служебные записки).

5. Действия при выявлении неточности или неправомерности обработки

Если в ходе проверки выяснится, что персональные данные:

являются неточными, их следует скорректировать в течение семи рабочих дней со дня получения точных сведений. После коррекции блокировка персональных данных прекращается. Рекомендуется уложиться в сроки, установленные как Законом о персональных данных, так и Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных.

обрабатываются неправомерно, необходимо прекратить такую обработку или обеспечить ее прекращение в течение трех рабочих дней с даты выявления неправомерной обработки. Это означает устранение обстоятельств, делающих обработку неправомерной. Если устранить такие обстоятельства невозможно, данные подлежат уничтожению.

6. Порядок уничтожения персональных данных

Уничтожение персональных данных предполагает действия, исключающие возможность их восстановления в информационной системе и (или) уничтожение материальных носителей. Как правило, уничтожение проводится комиссией на основании приказа. Процесс уничтожения должен быть документально зафиксирован (например, актом об уничтожении персональных данных) в соответствии с требованиями Роскомнадзора. Акт хранится три года с момента уничтожения данных. Срок уничтожения данных составляет 10 рабочих дней с даты выявления факта их незаконной обработки. Если уничтожение в этот срок невозможно, данные блокируются и уничтожаются в течение шести месяцев.

7. Информирование Роскомнадзора об исполнении требования

При направлении требования об уточнении, блокировании или уничтожении персональных данных необходимо в течение 10 рабочих дней проинформировать Роскомнадзор об исполнении или представить мотивированные пояснения. Для требования о прекращении обработки или удалении персональных данных такая обязанность не предусмотрена. После выполнения всех необходимых действий следует направить в Роскомнадзор соответствующую информацию с подтверждающими документами. Рекомендуется отправлять информацию почтовым отправлением с описью вложения и уведомлением о вручении. Если срок уведомления не указан, рекомендуется сделать это в пределах срока, установленного для исполнения требования. Уничтожение персональных данных подтверждается актом об уничтожении персональных данных и, при необходимости, выгрузкой из журнала регистрации событий.

8. Представление мотивированных пояснений

Мотивированные пояснения могут быть представлены в Роскомнадзор в случаях, когда внутренняя проверка не выявила нарушений, или когда исполнить требование в установленный срок невозможно по объективным причинам. К пояснениям следует приложить подтверждающие документы. Комплект документов направляется в Роскомнадзор в срок, указанный в требовании, или в течение 10 рабочих дней, если срок не установлен. Рекомендуется использовать тот же способ отправки, что и для сообщения об исполнении.

9. Последствия неисполнения требования

Игнорирование требования об уточнении, блокировании или уничтожении персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не необходимыми для заявленной цели обработки, может повлечь привлечение к административной ответственности. В таком случае Роскомнадзор составляет протокол об административном правонарушении и передает материалы в суд.