Как отозвать согласие на обработку персональных данных

Содержание:

• Что такое персональные данные?
• Как распространяются личные данные?
• Порядок отзыва согласия
• Зачем отзывать согласие?
• Если отзыв согласия не помог?
• В каких случаях отзыв согласия не имеет значения?

Что такое персональные данные?

Сначала – коротко о самом термине. ФЗ №152, который регламентирует эту сферу, под персональными (то есть личными) данными подразумевает любую информацию, прямо или косвенно позволяющую идентифицировать конкретное физическое лицо. При трактовке термина нужно учитывать следующие нюансы:

1. Такие данные могут относиться только к людям. Любые сведения, даже самые защищенные, но касающиеся организаций (то есть юридических лиц), относятся к совсем другим категориям – например, к коммерческой тайне.
2. Данные должны позволять идентифицировать гражданина. Поэтому не будут относиться к ним результаты опроса общественного мнения (они анонимны), результаты тайного голосования, госномер автомобиля (он относится к машине, не к владельцу), номер счета для оплаты коммунальных услуг (он присваивается квартире, а не жильцу).
3. Обрабатывать данные могут только уполномоченные лица, которым такое право предоставлено по закону.

Обычно охраняемой по закону информацией, для оперирования которой требуется получить согласие на обработку персональных данных, считаются следующие сведения:

• ФИО, место проживания и регистрации («прописка»);
• реквизиты российского паспорта другие сведения из документа — например, семейное положение;
• номер загранпаспорта гражданина РФ;
• ИНН (индивидуальный номер налогоплательщика);
• СНИЛС (страховой номер индивидуального лицевого счета);
• фотография, запись голоса и другие биометрические сведения.

К слову, для работы с биометрией, обычно требуется особая процедура. Для этого требуется отдельное разрешение, но процедура регламентируется отдельно.

Как распространяются личные данные?

Распространение персональных данных — это способ их обработки, при котором они становятся доступны неопределенному кругу лиц (ст. 3 закона). Чаще всего это случается, когда оператор (человек или компания, которые хранят эту информацию) публикует их на сайте.

Кроме распространения, та же статья формулирует и термин «передача персональных данных». Ключевое отличие здесь в том, что получатель точно известен. При этом передача может быть как законной (например, по запросу правоохранительных органов, либо после получения согласия самого человека), так и незаконной (например, когда оператор передает третьим лицам базу с информацией о своих клиентах, чтобы провести рекламную кампанию — и гражданина в итоге захлестывает электронный и телефонный спам, полученный без согласия на обработку персональных данных).

К сожалению, оба варианта часто смешиваются: в законодательстве РФ термин «передача» иногда используется как синоним распространения (например, в п. 12 ст. 10.1 того же закона).

Обработку персональных, присущих конкретной личности, данных (включая распространение) можно проводить только с согласия самого человека — кроме той информации, которая обязательна к предоставлению в силу закона.

Например, работодатель вправе (и даже обязан!) передавать персональные данные работника в военкомат, налоговую службу, Социальный фонд (СФР) – но только те, которые сотрудник должен передать ему при заключении трудового договора согласно ст. 65 ТК РФ.

Но при этом, например, размещать определяемые законом персональные данные сотрудников в общем доступе уже нельзя. Требуется, чтобы работник в письменной форме подтвердил, что он разрешил обрабатывать свои ПД.

Порядок отзыва согласия

По действующим российским законам отозвать согласие может любой человек в любой момент. Каждый имеет право отозвать ранее данное разрешение.

Отказаться от согласия на обработку персональных данных можно следующим образом:

1. Человек, который хочет отозвать согласие, направляет в адрес оператора заявление. Требований к форме нет, достаточно, чтобы лицо, чья информация обрабатывается, четко сообщило о желании отозвать согласие.
2. После того, как оператор получит заявление, есть 30 дней на то, чтобы уничтожить носители, на которых содержатся персональные данные, либо предотвратить к ним доступ посторонних всеми доступными средствами.
3. С момента, когда человек направил заявление о том, что хочет отозвать свое согласие на обработку персональных данных, никакие личные сведения о нем не могут быть переданы третьим лицам.

Для отзыва согласия на обработку ПД нужно выполнить следующие действия:

1. Подать заявление с отказом от обработки персональных данных в письменной форме по почте заказным. В этом случае дата на штемпеле, который стоит на уведомлении, будет считаться моментом, когда отказ от права проводить любые действия в отношении персональных данных вступил в силу.
2. Посетить офис оператора лично и передать документ, в котором содержится четкое желание отказаться от использования конфиденциальных сведений, в 2 экземплярах. На одном сотрудник организации ставит отметку о приеме, второй остается в распоряжении компании.
3. С помощью электронной подписи. Если владелец, распоряжающийся персональными для конкретного человека данными, отозвал свой документ с согласием при помощи электронного письма, которое заверено квалифицированной электронной подписью — оно приравнивается к бумажному документу.

Зачем отзывать согласие?

Без согласия никакие действия с личной информацией по закону производиться не могут. Однако в том случае, когда личными данными распоряжается стороннее лицо, для владельца наступают не самые лучшие времена:

1. Его личной информацией могут распоряжаться сторонние лица. А это в первую очередь означает, что на контакт могут выходить те, с кем человек не желает иметь никаких дел. Довольно обидно оказывается подать заявление в банк на получение кредита – а потом годами получать спам без своего на то согласия. А это возможно, потому что в этом случае распоряжаться информацией могут и те, кому они не были переданы.
2. Организации, имеющие доступ к информации о своих клиентах, могут навязывать свои услуги. Мало кому понравится после предоставления банку сведений для открытия счёта – потом годами получать «холодные звонки» (то есть просто телефонный спам).

Если отзыв согласия не помог?

С того момента, как согласия на обработку персональных данных у организации больше нет, она не может использовать эти сведения никаким образом. Однако зачастую информация продолжает использоваться после отзыва согласия.

Читайте по теме:

Согласие на обработку персональных данных сотрудника: полный гайд

Россиянам разрешили отзывать согласие на обработку биометрии через «Госуслуги»

В том случае, если оператор забыл правила об обработке персональных и принадлежащих клиенту данных и продолжает их применять в деловом обороте, его ждет ответственность по ст. 13.11 КоАП РФ с весьма солидным штрафом:

• от 30 до 150 тыс. рублей — для компаний;
• от 6 до 10 тыс. рублей — просто гражданам;
• от 20 до 40 тыс. — для должностных лиц, которые обязаны обрабатывать персональные данные других граждан.

Для возбуждения административного дела нужно:

• подать жалобу о неправильной обработке персональных сведений и данных в местное подразделение Роскомнадзора по месту жительства человека, чьи права были нарушены недобросовестными операторами;
• если нарушение допущено банком или МКО (микрокредитной организацией) — можно подавать жалобу в Центробанк РФ, который лицензирует деятельность в этой области.

Роскомнадзор и Центробанк обязаны отчитаться о предпринятых мерах в срок не позднее 30 дней с момента, когда обращение было подано и зафиксировано их канцелярией.

В каких случаях отзыв согласия не имеет значения?

Несмотря на то что личные для конкретного человека сведения защищены законом, есть ситуации, когда отозвать ранее это разрешение на работу с ними не получится. Вот примеры таких ситуаций:

• Участие в судопроизводстве — информация о судебных актах будет сохраняться с указанием как минимум имени человека, который был участником процесса.
• Работа иных государственных органов с конкретным гражданином — нельзя, например, потребовать, чтобы МВД удалило из своих баз все сведения о конкретном человеке.
• Участники гражданско-правовых договоров, заключенных с конкретным физическим лицом. Например, если ИП заключает договор с какой-то фирмой, предприниматель не может ей подать заявление о том, что отзывает согласие по обработке персональных данных — точнее, провести такую подачу он может, но фирма не обязана уничтожать эти сведения о контрагенте.
• Ситуации, в которых хранение информации требуется для защиты жизни и здоровья самого человека — например, сведения из медицинской карты.
• Работа журналистов.

В некоторых случаях отозвать согласие на обработку персональных данных невозможно. Полный список таких ситуаций находится в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона №152-ФЗ. Именно он регулирует вопросы хранения и использования личных сведений о любом человеке, который находится в Российской Федерации.

Читайте по теме:

Чек-лист для стартапов: 12 шагов к соблюдению GDPR

Неструктурированные данные: как контролировать, зачем управлять и как избежать утечек

Самая частая ситуация, когда отозвать персональные данные невозможно — это неисполненный кредитный договор с задолженностью клиента. Именно поэтому бессмысленно обращаться в банки и микрокредитные организации: пока нет погашения долга, они даже не станут рассматривать этот вопрос и продолжат хранить сведения о клиенте. Зато когда обязательства исполнены, можно отозвать согласие на обработку персональных данных, которое было подписано при заключении договора.

Фото на обложке: Unsplash