Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями.
При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных.
Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
- Фотография в СКУД – биометрические персональные данные?
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст.
9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
- сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
- отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Выводы
Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных.
Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима.
Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.
- Относится ли номер телефона к персональным данным?
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было.
Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Выводы
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
- Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
- для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
- персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
- не указан перечень организаций, в которые передаются персональные данные;
- требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
Выводы
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда.
Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.
1 С разъяснениями можно ознакомиться на официальном сайте: pd.rkn.gov.ru/press-service/subject1/news2729/ .
2 С информацией можно ознакомиться на официальном сайте: rkn.gov.ru/treatments/p459/p468/ .
Как отозвать согласие на обработку персональных данных
Каждый день на телефон приходят СМС об очень выгодных предложениях? А два-три раза в неделю о них же пытаются уведомить звонком? Хватит это терпеть!
Расскажем, как отозвать согласие на обработку персональных данных.
- Как распространяются персональные данные
- Что такое персональные данные
- Когда возможен отзыв согласия на обработку персональных данных
- Отзыв персональных данных из банка
- Как отозвать согласие на обработку персональных данных
- Если отзыв согласия на обработку персональных данных не помог
- Выводы
Источником назойливого спама выступают самые разные организации. Общее у них только одно — когда-то жертвы сами дали им согласие на обработку персональных данных.
Как распространяются персональные данные
Персональные данные обычно собирают в процессе подписания договоров. Когда вы открываете счет в банке, берете кредит или покупаете SIM-карту, то даете согласие на обработку персональных данных. Об этом пишут в конце документа мелким шрифтом, а подписанты не всегда обращают внимание на текст.
Также согласие на обработку персональных данных можно дать через публичную оферту. Регистрируясь на сайте, пользователь автоматически соглашается их передавать. Правила на сайтах люди читают еще реже, чем документы под подпись.
В итоге наши персональные данные попадают в руки десятков и сотен организаций. Многие из них прописывают возможность передачи этой информации третьим лицам.
Но выход есть. В законе указана возможность отзыва согласия на обработку персональных данных. Но здесь есть свои ограничения и особенности.
Что такое персональные данные
Согласно 3 статье закона «О персональных данных» , ими считается информация, по которой можно идентифицировать человека. При этом исчерпывающего перечня в законе нет.
К такой информации относится ФИО, номер паспорта, СНИЛС или ИНН, дата и место рождения, домашний адрес и т. д.
Работать с персональными данными могут организации, которых называют операторами. Соглашение на обработку заключается в свободной форме. Допускается подписание электронных документов.
Как защитить личные данные в сети
У человека есть право отозвать согласие на обработку персональных в любой момент. Для этого не нужны дополнительные основания. Но есть нюансы.
Когда возможен отзыв согласия на обработку персональных данных
В законе перечислен ряд организаций, которые могут оперировать личной информацией без согласия и даже при прямом запрете. Это могут делать:
- государственные органы — что логично;
- суды в процессе судопроизводства;
- органы статистики — когда персональные данные носят обезличенный характер;
- приставы во время исполнительного производства;
- лица, с которыми гражданин заключил гражданско-правовой договор;
- журналисты в процессе профессиональной деятельности;
- любые лица или организации для целей защиты жизни или здоровья владельца персональных данных.
Отзыв персональных данных из банка
и банки имеют право обрабатывать персональные данные клиентов с целью исполнения договоров. На практике это значит, что если у гражданина есть непогашенный микрозаем, кредит или просто счет в банке, то запретить обрабатывать персональные данные этим организациям нельзя.
Нужно сначала закончить отношения: закрыть счет или погасить кредит, а потом отозвать свое согласие.
Но, согласно закону 115-ФЗ , банки обязаны хранить персональные данные клиентов следующие пять лет после завершения договоров. Речь в данном случае идет только о хранении. Использовать их после отзыва согласия банк не сможет.
Коллекторы также могут работать с персональными данными, не получая согласия их владельцев. Согласно закону № 152-ФЗ , они приобретают это право вместе с портфелем проблемных кредитов у МФО и банков по договору цессии .
Но и от них можно защититься. Только вместо отзыва согласия на обработку персональных данных нужно подать заявление на отказ от взаимодействия. Тогда коллекторы смогут общаться с должником только через «Почту России» и бумажные письма.
Но платить по долгам все равно придется.
А вот после погашения уже можно писать заявление на отзыв согласия на обработку персональных данных. Тогда коллекторы перестанут их использовать.
Проблемы с долгами? Совкомбанк поможет с ними справиться!
Если ваш долг превышает указанный потолок, вам потребуется пройти непростую процедуру банкротства в судебном порядке. Воспользуйтесь сервисом «Стопдолг» от Совкомбанка. Юристы компании предоставляют весь спектр услуг по консультированию, подготовке документов и сопровождению клиентов.
Как отозвать согласие на обработку персональных данных
Для этого нужно написать заявление в свободной форме, адресованное соответствующей организации. У оператора есть 30 дней с момента его получения, чтобы уничтожить эту информацию, — за исключением банков, о которых мы говорили выше. Они обязаны хранить данные, но пользоваться ими для спамерских рассылок уже не смогут.
Как подавать заявление на отзыв персональных данных:
- лично в письменном виде — потребуется два экземпляра, в одном представитель организации должен расписаться в получении;
- в электронном виде — через сайт или приложении, если там есть соответствующая возможность;
- почтой — отправить заказное письмо с уведомлением.
Форма заявления об отзыве персональных данных — свободная. Но для удобства граждан на сайте Роскомнадзора есть образец . Туда нужно вписать данные оператора и свои собственные.
Если отзыв согласия на обработку персональных данных не помог
Не все организации своевременно реагируют на обращения граждан. Но такое поведение карается законом.
Согласно статье 13.11 КоАП , нарушение в сфере обработки персональных данных наказывается штрафом. Организациям это обойдется в 30—150 тысяч рублей, должностным лицам — в 20—40 тысяч рублей, физическим лицам — в 6—10 тысяч рублей.
Пожаловаться на нарушение своих прав можно в онлайн-приемной Роскомнадзора. На финансовые организации (банки и МФО) дополнительно стоит жаловаться в онлайн-приемную Центробанка.
Оба органа обязаны отчитаться о принятых мерах через 30 дней после получения заявления.
Выводы
Российское законодательство запрещает обрабатывать персональные данные граждан без их согласия. Но люди зачастую дают его самостоятельно, не задумываясь о последствиях.
Избавиться от спама сообщениями и звонками можно при помощи отзыва согласия на обработку персональных данных.
Для этого нужно:
- найти юридический адрес организации;
- написать заявление по форме ;
- подождать 30 дней;
- если не помогло — жаловаться в Роскомнадзор .
Отзыв персональных данных из банка, услугами которого вы пользуетесь, невозможен. Но большинство финансовых организаций готовы исключить номер клиента из рекламной рассылки по его просьбе.
Как отозвать согласие на обработку персональных данных
Каждый день на телефон приходят СМС об очень выгодных предложениях? А два-три раза в неделю о них же пытаются уведомить звонком? Хватит это терпеть!
Расскажем, как отозвать согласие на обработку персональных данных.
- Как распространяются персональные данные
- Что такое персональные данные
- Когда возможен отзыв согласия на обработку персональных данных
- Отзыв персональных данных из банка
- Как отозвать согласие на обработку персональных данных
- Если отзыв согласия на обработку персональных данных не помог
- Выводы
Источником назойливого спама выступают самые разные организации. Общее у них только одно — когда-то жертвы сами дали им согласие на обработку персональных данных.
Как распространяются персональные данные
Персональные данные обычно собирают в процессе подписания договоров. Когда вы открываете счет в банке, берете кредит или покупаете SIM-карту, то даете согласие на обработку персональных данных. Об этом пишут в конце документа мелким шрифтом, а подписанты не всегда обращают внимание на текст.
Также согласие на обработку персональных данных можно дать через публичную оферту. Регистрируясь на сайте, пользователь автоматически соглашается их передавать. Правила на сайтах люди читают еще реже, чем документы под подпись.
В итоге наши персональные данные попадают в руки десятков и сотен организаций. Многие из них прописывают возможность передачи этой информации третьим лицам.
Но выход есть. В законе указана возможность отзыва согласия на обработку персональных данных. Но здесь есть свои ограничения и особенности.
Что такое персональные данные
Согласно 3 статье закона «О персональных данных» , ими считается информация, по которой можно идентифицировать человека. При этом исчерпывающего перечня в законе нет.
К такой информации относится ФИО, номер паспорта, СНИЛС или ИНН, дата и место рождения, домашний адрес и т. д.
Работать с персональными данными могут организации, которых называют операторами. Соглашение на обработку заключается в свободной форме. Допускается подписание электронных документов.
Как защитить личные данные в сети
У человека есть право отозвать согласие на обработку персональных в любой момент. Для этого не нужны дополнительные основания. Но есть нюансы.
Когда возможен отзыв согласия на обработку персональных данных
В законе перечислен ряд организаций, которые могут оперировать личной информацией без согласия и даже при прямом запрете. Это могут делать:
- государственные органы — что логично;
- суды в процессе судопроизводства;
- органы статистики — когда персональные данные носят обезличенный характер;
- приставы во время исполнительного производства;
- лица, с которыми гражданин заключил гражданско-правовой договор;
- журналисты в процессе профессиональной деятельности;
- любые лица или организации для целей защиты жизни или здоровья владельца персональных данных.
Отзыв персональных данных из банка
и банки имеют право обрабатывать персональные данные клиентов с целью исполнения договоров. На практике это значит, что если у гражданина есть непогашенный микрозаем, кредит или просто счет в банке, то запретить обрабатывать персональные данные этим организациям нельзя.
Нужно сначала закончить отношения: закрыть счет или погасить кредит, а потом отозвать свое согласие.
Но, согласно закону 115-ФЗ , банки обязаны хранить персональные данные клиентов следующие пять лет после завершения договоров. Речь в данном случае идет только о хранении. Использовать их после отзыва согласия банк не сможет.
Коллекторы также могут работать с персональными данными, не получая согласия их владельцев. Согласно закону № 152-ФЗ , они приобретают это право вместе с портфелем проблемных кредитов у МФО и банков по договору цессии .
Но и от них можно защититься. Только вместо отзыва согласия на обработку персональных данных нужно подать заявление на отказ от взаимодействия. Тогда коллекторы смогут общаться с должником только через «Почту России» и бумажные письма.
Но платить по долгам все равно придется.
А вот после погашения уже можно писать заявление на отзыв согласия на обработку персональных данных. Тогда коллекторы перестанут их использовать.
Проблемы с долгами? Совкомбанк поможет с ними справиться!
Если вы оказались в ситуации, когда доходы не позволяют рассчитаться с кредиторами, то вам нужно пройти непростую процедуру банкротства в судебном порядке. Воспользуйтесь сервисом «Стопдолг» от Совкомбанка. Юристы компании предоставляют весь спектр услуг по консультированию, подготовке документов и сопровождению клиентов.
Как отозвать согласие на обработку персональных данных
Для этого нужно написать заявление в свободной форме, адресованное соответствующей организации. У оператора есть 30 дней с момента его получения, чтобы уничтожить эту информацию, — за исключением банков, о которых мы говорили выше. Они обязаны хранить данные, но пользоваться ими для спамерских рассылок уже не смогут.
Как подавать заявление на отзыв персональных данных:
- лично в письменном виде — потребуется два экземпляра, в одном представитель организации должен расписаться в получении;
- в электронном виде — через сайт или приложении, если там есть соответствующая возможность;
- почтой — отправить заказное письмо с уведомлением.
Форма заявления об отзыве персональных данных — свободная. Но для удобства граждан на сайте Роскомнадзора есть образец . Туда нужно вписать данные оператора и свои собственные.
Если отзыв согласия на обработку персональных данных не помог
Не все организации своевременно реагируют на обращения граждан. Но такое поведение карается законом.
Согласно статье 13.11 КоАП , нарушение в сфере обработки персональных данных наказывается штрафом. Организациям это обойдется в 30—150 тысяч рублей, должностным лицам — в 20—40 тысяч рублей, физическим лицам — в 6—10 тысяч рублей.
Пожаловаться на нарушение своих прав можно в онлайн-приемной Роскомнадзора. На финансовые организации (банки и МФО) дополнительно стоит жаловаться в онлайн-приемную Центробанка.
Оба органа обязаны отчитаться о принятых мерах через 30 дней после получения заявления.
Выводы
Российское законодательство запрещает обрабатывать персональные данные граждан без их согласия. Но люди зачастую дают его самостоятельно, не задумываясь о последствиях.
Избавиться от спама сообщениями и звонками можно при помощи отзыва согласия на обработку персональных данных.
Для этого нужно:
- найти юридический адрес организации;
- написать заявление по форме ;
- подождать 30 дней;
- если не помогло — жаловаться в Роскомнадзор .
Отзыв персональных данных из банка, услугами которого вы пользуетесь, невозможен. Но большинство финансовых организаций готовы исключить номер клиента из рекламной рассылки по его просьбе.
Как отозвать согласие на обработку персональных данных
Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, расскажем в статье.
Когда можно отозвать согласие
- Ф. И. О.;
- адрес проживания;
- паспортные данные;
- сведения о месте рождения;
- прочие данные.
Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.
Управленческий учет: с нуля до настройки в 1С, Excel и Google-таблицах
Уметь настраивать и вести управленку — значит быть полезным для руководителей. Научитесь понимать, откуда приходят и куда уходят деньги компании на курсе повышения квалификации от «Клерка».
До 8 сентября действует 77% скидка на курс с официальным удостоверением о повышении квалификации. , начало обучения 11 сентября
Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.
Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.
Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями.
Из чего следует, что отказ от обработки персональных данных не требует обоснований.
Когда отзыв согласия не имеет значения для оператора персональных данных
Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст.
10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:
- суды при участии гражданина в судопроизводстве;
- приставы при исполнении судебного акта;
- государственные органы при исполнении своих полномочий;
- стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
- любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
- журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
- субъекты, участвующие в реализации международных договоров;
- органы статистики, если личные данные обезличиваются.
Порядок отзыва индивидуальных данных
Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.
Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.
Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:
- Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
- Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
- В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).
Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.
Образец заявления на отзыв
Заявление на отзыв персональных данных составляется следующим образом:
- В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
- Ниже посередине — название документа.
- С красной строки — основной текст.
- В конце документа — дата и подпись.
Образец отзыва персональных данных из банка может выглядеть так:
Руководителю Центрально-Черноземного банка ПАО «Банк»
Воронеж, ул. 9 Января, 28
от Держаева Виктора Петровича
Воронеж, ул. Комарова, 28, 15
Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.
Держаев В. П. /Держаев/
Дата: __ __ ____
Последствия отзыва
Согласно п. 5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения.
В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.
Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.
Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.
Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов. » от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479).
Итоги
Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.
Еще больше про защиту персональных данных — в онлайн-курсе Центра обучения «Клерка». На него как раз сейчас скидка.
- защита персональных данных
- обработка персональных данных