- Субъект ПД — физлицо, о котором собираются персональные данные
- Каждый субъект имеет право на доступ, исправление и удаление своих данных
- Оператор обязан ответить на запрос субъекта в течение 30 дней
- Запрос можно подать лично, по почте или через веб-форму на сайте
- Отказать в доступе можно только в специальных случаях (государственная тайна, судебное разбирательство)
Определение субъекта персональных данных
По статье 3 ФЗ-152 субъект персональных данных — это физическое лицо, о котором собираются, обрабатываются и хранятся персональные данные.
Вы — субъект ПД, если:
- Компания хранит ваше ФИО, email, телефон, адрес
- Ваши данные есть в CRM, базе данных, системе аналитики
- Ваше фото или видео использует компания
- Вас отслеживают в интернете через cookie
Субъект ПД — это физлицо, о котором собирают данные. Оператор ПД — компания, которая эти данные собирает. Это два разных статуса с разными обязанностями и правами.
Категории субъектов
| Категория | Примеры | Специфика |
|---|---|---|
| Клиенты | Покупатели, пользователи сайта | Базовый уровень прав |
| Сотрудники | Работники компании | Специальный режим по ТК РФ |
| Потенциальные клиенты | Email-списки, лиды | Право на отписку от рассылки |
| Подрядчики, партнёры | Контакты контрагентов | Данные могут передаваться по договору |
| Дети (до 14 лет) | Несовершеннолетние пользователи | Согласие даёт родитель/опекун |
| Государственные служащие | ФИО, должность в публичных целях | Часть данных может быть общедоступна |
Если сайт или приложение могут использовать дети до 14 лет — требуется согласие родителей. Даже если на сайте не указана возрастная категория, но он может быть интересен детям (социальная сеть, игра, образовательный контент) — нужно предусмотреть механизм получения согласия от родителей.
Права субъекта персональных данных
1. Право на информацию (ст. 14 ФЗ-152)
Субъект имеет право узнать:
- Наименование и контакты оператора
- Цели обработки его данных
- Какие конкретно данные собирают
- Источник получения данных (если данные не получены напрямую от субъекта)
- Сроки хранения данных
- Кому передаются его данные
Оператор обязан предоставить эту информацию:
- На сайте (в политике конфиденциальности)
- При сборе данных (в согласии)
- По запросу субъекта (в письменной форме)
2. Право на доступ (ст. 27 ФЗ-152)
Субъект может запросить все свои персональные данные, которые обрабатывает оператор, и получить их в структурированном виде (обычно — выпиской из базы или в электронном формате).
Процедура запроса:
- Направить письменный запрос оператору
- Идентифицировать себя (копия паспорта)
- Оператор проверяет подлинность
- В течение 30 дней предоставляет данные
Пример запроса на доступ к данным
Прошу предоставить информацию о моих персональных данных, обрабатываемых ООО «Ромашка», включая цели обработки, перечень данных, сроки хранения и сведения о передаче третьим лицам.
Ответ прошу направить на адрес электронной почты, указанный в обращении.
3. Право на исправление (ст. 27 ФЗ-152)
Если данные неточные или неполные — субъект может потребовать их исправления. Например:
- В базе указан неправильный адрес
- Неверно написано ФИО
- Устаревшая информация о должности
4. Право на удаление (ст. 17 ФЗ-152)
Субъект вправе потребовать удаления своих данных, если:
- Данные больше не нужны для заявленных целей
- Субъект отозвал согласие
- Истёк срок хранения
- Обработка была незаконной
Исключения: если оператор обязан хранить данные по закону (налоговая, кадровая документация, судебные разбирательства).
5. Право на ограничение обработки
Субъект может потребовать приостановить обработку данных на время разбирательства о законности или точности.
6. Право на получение данных в переносимом формате
Субъект может получить свои данные в стандартном электронном формате (CSV, JSON) и передать их другому оператору.
Если субъект направил корректный запрос с идентификацией — оператор обязан исполнить. Отказ возможен только с письменной мотивировкой по причинам, предусмотренным законом.
Что делать, если невозможно идентифицировать заявителя
Оператор вправе запросить дополнительную информацию для подтверждения личности субъекта.
Например:
- копию документа, удостоверяющего личность;
- подтверждение email или номера телефона;
- доверенность представителя.
Без идентификации оператор рискует раскрыть данные постороннему лицу, что само по себе будет нарушением ФЗ-152.
Запросы через представителя
Субъект может действовать через юриста, родственника или иного представителя.
В этом случае оператор обычно проверяет:
- доверенность;
- документы представителя;
- объём полномочий на доступ к персональным данным.
Срок ответа начинает течь после подтверждения полномочий представителя.
Как субъект может реализовать свои права
Способ 1: Через веб-форму на сайте
На многих сайтах есть раздел «Ваши данные» или «Права субъекта ПД» где можно:
- Скачать выписку своих данных
- Запросить удаление
- Сообщить об ошибке
Способ 2: По почте
Направить письменный запрос на адрес оператора. К письму приложить копию паспорта или иного документа, удостоверяющего личность.
Способ 3: Лично
Посетить офис оператора и подать запрос в оригинале с предъявлением паспорта.
Ответственность оператора за нарушение прав
| Нарушение | Штраф юрлица |
|---|---|
| Отказ в доступе к данным без оснований | 10 000 – 30 000 ₽ |
| Несвоевременный ответ на запрос | 10 000 – 15 000 ₽ |
| Отказ удалить данные без оснований | 30 000 – 50 000 ₽ |
| Предоставление недостоверной информации | 10 000 – 20 000 ₽ |
- На сайте есть раздел о правах субъектов ПДобязательно
- Реализована форма для подачи запросов на доступ/удалениеобязательно
- Политика конфиденциальности содержит полную информацию о правах
- Установлен процесс обработки запросов в течение 30 дней
- Назначен ответственный за работу с запросами субъектов
- Ведётся журнал поступивших запросов и ответов