Лицо просит раскрыть информацию, кому предавались его персональные данные: что делать оператору?
Статья 12 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) гарантирует субъекту право получения информации о предоставлении его персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.
На сайте Национального центра защиты персональных данных (далее – НЦЗПД) были опубликованы новые разъяснения, касающиеся права субъекта на получение информации о предоставлении своих персональных данных третьим лицам.
Наличие соответствующего права субъекта корреспондирует обязанность оператора реализовать его, и соответственно вести учет фактов передачи персональных данных третьим лицам. Такой учет может быть организован в форме журнала.
Но что же делать оператору, если ему поступило такое заявление от субъекта персональных данных? Ниже юристы REVERA пояснили, как действовать в этой ситуации.
Когда субъект персональных данных может реализовать свое право на предоставление информации?
Данное право может быть реализовано один раз в календарный год бесплатно, если иное не предусмотрено законодательством Республики Беларусь.
Общее правило
По общему правилу в период с 1 января по 31 декабря одного года субъект может получить информацию о передаче его персональных данных третьим лицам единожды. Соответственно оператор не должен после реализации субъектом такого права в течение одного календарного года предоставлять такую информацию повторного в течение этого же года, в т.ч. на платной основе. Это значит, что в случае получения повторного запроса от этого же лица в течение года, оператор обработки персональных данных может отказать в его реализации.
Исключение
Иной порядок реализации данного права может быть предусмотрен в законодательстве, в частности:
- возможность получения соответствующей информации с иной периодичностью;
- возможность получения такой информации только на платной основе;
- возможность получения информации однократно бесплатно, а в дельнейшем – без ограничений на платной основе.
Какую информацию включить в ответ на запрос?
В ответе на запрос субъекта персональных данных необходимо указать:
- случаи, когда персональные данные передавались в течение года, предшествующего подаче заявления;
Необходимо указать каждый конкретный случай передачи персональных данных с указанием даты такой передачи. В случае, если имела место многократная и типичная операция по обработке персональных данных, то в соответствии с разъяснениями НЦЗПД, разрешается указать период и периодичность передачи персональных данных.
| Пример: Персональные данные передавались 12 раз ежемесячно в период с 1 января по 31 декабря 2023 года. |
- перечень персональных данных, которые передавались;
В данном случае необходимо указать не обобщённые формулировки или категории персональных данных, а конкретный перечень.
| Пример: Перечень персональных данных, которые передавались: ФИО, сведения о заработной плате, дата рождения. |
- наименование конкретной организации, которой данные передавались;
При указании лиц, которым персональные данные передавались недостаточно указать категории лиц / обобщённое их наименование, необходимо указать конкретные наименования организаций.
| Примеры правильных формулировок: ООО «Ромашка», оказывающая нам услуги по доставке товаров, зарегистрированная по адресу: г. Минск, ул. Полевая, дом 16. |
Итого, ответ может выглядеть следующим образом:
| Дата передачи | Наименование третьего лица | Перечень данных |
| 05.03.2023 | ООО «Ромашка», юридический адрес: г. Минск, ул. Полевая, дом 16 |
|
Когда информацию о передаче данных третьим лицам можно не предоставлять?
Такая информация может не предоставляться, в следующих случаях:
- если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;
- если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции;
- если обработка персональных данных осуществляется в соответствии с законодательством о государственной статистике; в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь; оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством; по вопросам ведения криминалистических учетов;
- в иных случаях, предусмотренных законодательными актами.
При этом иными случаями могут быть обязательство компании с определённой периодичностью или непрерывно (без поступления соответствующих запросов) предоставлять персональные данные.
| Пример. Организация, являющаяся плательщиком обязательных страховых взносов, согласно абзацу шестому п. 1 ст. 21 Закона Республики Беларусь от 15 июля 2021 г. № 118-З «О взносах в бюджет государственного внебюджетного фонда социальной защиты населения Республики Беларусь» обязана представлять в органы Фонда (городские, районные, районные в городах отделах (секторах) областных, Минского городского управлений Фонда) установленные законодательством сведения и отчетность, обеспечивать своевременность выплаты пособий в счет начисленных обязательных страховых взносов. |
Не подпадает под рассматриваемое исключение необходимость предоставления персональных данных по запросу государственных органов или иных организаций при реализации в конкретных ситуациях их полномочий, предусмотренных законодательными актами.
| Пример. Пунктом 4 Положения о порядке организации и проведения проверок, утвержденного Указом Президента Республики Беларусь от 16 октября 2009 г. № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь», предусмотрено, что контролирующие (надзорные) органы и проверяющие в пределах своей компетенции вправе в рамках вопросов, подлежащих проверке, требовать и получать от проверяемого субъекта, участников контрольного обмера необходимые для проверки документы (их копии), в том числе в электронном виде, иную информацию, касающуюся его деятельности и имущества. |
Во всех случаях, которые не подпадают под исключения, позволяющие не предоставлять субъектам информацию о передаче их персональных данных третьим лицам, операторам необходимо вести учет фактов такого предоставления.
Данные разъяснения необходимо учитывать при организации работы с заявлениями субъектов персональных данных.
Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera