Субъект персональных данных: кто это и какие у него права

Субъект персональных данных — это физическое лицо, которое прямо или косвенно определяется с помощью персональных данных. Определение закреплено в пункте 1 статьи 3 Федерального закона № 152-ФЗ «О персональных данных».

Проще говоря, субъект — это тот, чьи данные обрабатываются. Если организация хранит ваше ФИО, телефон, email или паспортные данные — вы являетесь субъектом ПДн по отношению к этой организации (оператору).

Кто может быть субъектом ПДн:

• Работники организации — их данные обрабатываются работодателем для кадрового учёта, расчёта зарплаты, отчётности
• Клиенты и покупатели — данные обрабатываются для исполнения договоров, доставки товаров, оказания услуг
• Посетители сайта — IP-адрес, cookie-файлы, данные из форм обратной связи
• Соискатели на вакансии — резюме, анкеты, результаты собеседований
• Контрагенты (ИП и представители юрлиц) — ФИО, контактные данные, реквизиты
• Пациенты — медицинские данные, история болезни
• Ученики и студенты — данные обучающихся и их родителей

Важно: субъектом ПДн может быть только физическое лицо — гражданин РФ, иностранный гражданин или лицо без гражданства. Юридические лица не являются субъектами ПДн, хотя данные их представителей (директоров, контактных лиц) являются персональными данными этих физических лиц.

Закон 152-ФЗ предоставляет субъекту ПДн широкий перечень прав. Оператор обязан обеспечить их реализацию.

Порядок реализации прав:

Субъект направляет оператору запрос (в свободной форме, письменно или электронно) с указанием ФИО, реквизитов документа, удостоверяющего личность, и сути требования. Оператор обязан ответить в течение 10 рабочих дней с момента получения запроса (ст. 20 152-ФЗ).

Если оператор отказывает в реализации права или не отвечает в срок, субъект вправе обратиться в Роскомнадзор с жалобой или в суд с иском о защите прав.

Оператор несёт ряд обязанностей перед каждым субъектом, чьи данные он обрабатывает:

• Получить согласие на обработку ПДн до начала обработки (ст. 6, ст. 9) — кроме случаев, когда обработка допускается без согласия
• Информировать субъекта о целях, составе и способах обработки его ПДн (ст. 18)
• Прекратить обработку при отзыве согласия и уничтожить ПДн в течение 30 дней (ст. 21 ч. 5)
• Обеспечить доступ субъекта к его ПДн и ответить на запрос в 10 рабочих дней (ст. 20)
• Опубликовать политику обработки ПДн на сайте (ст. 18.1)
• Назначить ответственного за организацию обработки ПДн (ст. 22.1)
• Уведомить Роскомнадзор об обработке ПДн до её начала (ст. 22)

Для выполнения этих обязанностей оператору необходим комплект документов: согласие на обработку ПДн, политика обработки, положение об обработке. Создайте все документы в конструкторе.

Субъект ПДн вправе отозвать своё согласие на обработку персональных данных в любой момент (ч. 2 ст. 9 152-ФЗ). Отзыв оформляется в письменной форме и направляется оператору.

Что происходит после отзыва:

• Оператор обязан прекратить обработку ПДн и обеспечить их уничтожение в течение 30 дней с момента получения отзыва (ч. 5 ст. 21 152-ФЗ)
• Если обработка необходима для исполнения договора, к которому субъект является стороной, оператор вправе продолжить обработку без согласия (ст. 6 ч. 1 п. 5)
• Если обработка осуществляется в силу закона (трудовое законодательство, налоговый учёт), отзыв согласия не влечёт обязанности прекратить обработку

Подготовить документ отзыва можно с помощью шаблона отзыва согласия на обработку ПДн.