Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

Статья 21.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

Комментарий к статье 21

1. Положения комментируемой статьи определяют процедуру специальной обработки персональных данных, связанной с уточнением, блокированием или уничтожением персональных данных. Необходимость такого рода действий объясняется целью устранения нарушений действующего законодательства, возникших в ходе активной обработки персональных данных в связи с их сбором, хранением, передачей и т.п.

В качестве условий применения специальной обработки персональных данных законодатель называет случаи:

выявления недостоверных персональных данных; неправомерных действий с ними.

По смыслу комментируемой статьи инициатором применения специальной обработки персональных данных может выступать любой из участников соответствующих правоотношений:

оператор, осуществляющий обработку персональных данных;

субъект персональных данных или его законный представитель;

уполномоченный орган по защите прав субъектов персональных данных.

Выявлению недостоверных персональных данных предшествует предварительная их обработка оператором, связанная с получением подтверждающих сведений из третьих источников в порядке и на условиях, оговоренных настоящим Законом.

Неправомерные действия оператора с персональными данными связаны с несоблюдением требований настоящего Закона в части, касающейся их обработки и в первую очередь нарушения требований соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, полномочиям оператора, а также соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных (см. ст.5 настоящего Закона и комментарий к ней).

Выявление неправомерных действий оператора с персональными данными напрямую связано с реализацией права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, в порядке, определенном ст.ст.14 и 20 настоящего Закона.

В случае подтверждения оснований, необходимых для специальной обработки, оператор обязан выявить условия их возникновения и предпринять меры к устранению последних. В связи с этим с момента выявления соответствующих негативных последствий оператор обязан осуществить блокирование персональных данных на весь период последующей проверки.

2. В случае подтверждения условий, послуживших основанием временного прекращения сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи из числа обозначенных пунктом первым комментируемой статьи, законодатель предусматривает несколько вариантов дальнейшего развития ситуации, каждому из которых соответствует собственный уникальный порядок реализации.

Недостоверность персональных данных, выявленная в процессе их обработки или по запросу субъекта, требует, в свою очередь, их уточнения. В целях достижения необходимого правомерного результата законодатель допускает возможность обработки оператором персональных данных при несоответствии объема и способов обработки персональных данных ее целям. Подобного рода отступление от существующих правил возможно при условии предоставления субъектом персональных данных дополнительных сведений, необходимых в целях уточнения его персональных данных и получения последних оператором из иных источников самостоятельно при условии уведомления субъекта персональных данных и уполномоченного органа по защите прав субъектов персональных данных.

Неправомерность действий с персональными данными, явившаяся следствием нарушений требований, установленных настоящим Законом, требует привлечение виновного лица в установленном порядке к ответственности. Вместе с тем законодатель допускает применение к оператору, чья вина в подобного рода случаях презюмируется, мер общей превенции, связанных с возможностью устранения допущенных нарушений. Последнее подразумевает в первую очередь приведение в соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных. Оператор свободен в выборе способов, приемов и методов устранения имеющих место нарушений при условии законности и добросовестности их применения. В случае невозможности устранения допущенных нарушений оператор обязан уничтожить персональные данные, правомерность обработки которых вызывает сомнения.

На устранение имеющих место нарушений обработки персональных данных, равно как и на уничтожение последних, законодатель отводит три рабочих дня. Исчисление указанного срока начинается с момента выявления неправомерности действий с персональными данными или поступления в адрес оператора соответствующего запроса субъекта персональных данных или его законного представителя.

Законодатель обязывает оператора уведомлять уполномоченный орган по защите прав субъектов персональных данных обо всех действиях, проведенных в отношении персональных данных, явившихся следствием устранения выявленных нарушений в процессе обработки последних.

3. Комментируемая статья предусматривает случаи применения специальной обработки персональных данных в условиях законности и обоснованности действий с последними. К их числу относятся достижение заявленных оператором целей обработки персональных данных и отзыв субъекта персональных данных своего согласия на их обработку. Во многом последовательность действий и сроки их совершения в представленных случаях совпадают по своему содержанию с процедурой, применяемой при устранении недостатков, возникших как следствие неправомерных действий с персональными данными. Особенность оснований применения сформулированных пунктами 4 и 5 комментируемой статьи действий заключается в общей превенции деятельности оператора, имеющей своей целью предотвратить потенциальную угрозу нарушения действующего законодательства в случаях продолжения обработки персональных данных.