Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

Статья 21.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

Комментарий к статье 21

1. Положения комментируемой статьи определяют процедуру специальной обработки персональных данных, связанной с уточнением, блокированием или уничтожением персональных данных. Необходимость такого рода действий объясняется целью устранения нарушений действующего законодательства, возникших в ходе активной обработки персональных данных в связи с их сбором, хранением, передачей и т.п.

В качестве условий применения специальной обработки персональных данных законодатель называет случаи:

выявления недостоверных персональных данных; неправомерных действий с ними.

По смыслу комментируемой статьи инициатором применения специальной обработки персональных данных может выступать любой из участников соответствующих правоотношений:

оператор, осуществляющий обработку персональных данных;

субъект персональных данных или его законный представитель;

уполномоченный орган по защите прав субъектов персональных данных.

Выявлению недостоверных персональных данных предшествует предварительная их обработка оператором, связанная с получением подтверждающих сведений из третьих источников в порядке и на условиях, оговоренных настоящим Законом.

Неправомерные действия оператора с персональными данными связаны с несоблюдением требований настоящего Закона в части, касающейся их обработки и в первую очередь нарушения требований соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, полномочиям оператора, а также соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных (см. ст.5 настоящего Закона и комментарий к ней).

Выявление неправомерных действий оператора с персональными данными напрямую связано с реализацией права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, в порядке, определенном ст.ст.14 и 20 настоящего Закона.

В случае подтверждения оснований, необходимых для специальной обработки, оператор обязан выявить условия их возникновения и предпринять меры к устранению последних. В связи с этим с момента выявления соответствующих негативных последствий оператор обязан осуществить блокирование персональных данных на весь период последующей проверки.

2. В случае подтверждения условий, послуживших основанием временного прекращения сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи из числа обозначенных пунктом первым комментируемой статьи, законодатель предусматривает несколько вариантов дальнейшего развития ситуации, каждому из которых соответствует собственный уникальный порядок реализации.

Недостоверность персональных данных, выявленная в процессе их обработки или по запросу субъекта, требует, в свою очередь, их уточнения. В целях достижения необходимого правомерного результата законодатель допускает возможность обработки оператором персональных данных при несоответствии объема и способов обработки персональных данных ее целям. Подобного рода отступление от существующих правил возможно при условии предоставления субъектом персональных данных дополнительных сведений, необходимых в целях уточнения его персональных данных и получения последних оператором из иных источников самостоятельно при условии уведомления субъекта персональных данных и уполномоченного органа по защите прав субъектов персональных данных.

Неправомерность действий с персональными данными, явившаяся следствием нарушений требований, установленных настоящим Законом, требует привлечение виновного лица в установленном порядке к ответственности. Вместе с тем законодатель допускает применение к оператору, чья вина в подобного рода случаях презюмируется, мер общей превенции, связанных с возможностью устранения допущенных нарушений. Последнее подразумевает в первую очередь приведение в соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных. Оператор свободен в выборе способов, приемов и методов устранения имеющих место нарушений при условии законности и добросовестности их применения. В случае невозможности устранения допущенных нарушений оператор обязан уничтожить персональные данные, правомерность обработки которых вызывает сомнения.

На устранение имеющих место нарушений обработки персональных данных, равно как и на уничтожение последних, законодатель отводит три рабочих дня. Исчисление указанного срока начинается с момента выявления неправомерности действий с персональными данными или поступления в адрес оператора соответствующего запроса субъекта персональных данных или его законного представителя.

Законодатель обязывает оператора уведомлять уполномоченный орган по защите прав субъектов персональных данных обо всех действиях, проведенных в отношении персональных данных, явившихся следствием устранения выявленных нарушений в процессе обработки последних.

3. Комментируемая статья предусматривает случаи применения специальной обработки персональных данных в условиях законности и обоснованности действий с последними. К их числу относятся достижение заявленных оператором целей обработки персональных данных и отзыв субъекта персональных данных своего согласия на их обработку. Во многом последовательность действий и сроки их совершения в представленных случаях совпадают по своему содержанию с процедурой, применяемой при устранении недостатков, возникших как следствие неправомерных действий с персональными данными. Особенность оснований применения сформулированных пунктами 4 и 5 комментируемой статьи действий заключается в общей превенции деятельности оператора, имеющей своей целью предотвратить потенциальную угрозу нарушения действующего законодательства в случаях продолжения обработки персональных данных.

Читайте также

Статья 74-1 . Обработка персональных данных с наруше нием законодательства о защите персональных данных

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

Статья 88. Передача персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

Статья 88. Передача персональных данных работника

Статья 7. Конфиденциальность персональных данных

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

Статья 10. Специальные категории персональных данных

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Статья 18. Обязанности оператора при сборе персональных данных Комментарий к статье 18

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 22. Уведомление об обработке персональных данных