Отзыв персональных данных

Право оператора продолжить обработку сведений, несмотря на отзыв согласия

В отдельных случаях организация, обрабатывающая ПД, может продолжить обработку, несмотря на отзыв согласия. В соответствии с ч. 2 ст. 9 закона № 152-ФЗ это:

  • достижение целей международных соглашений и законодательства (п. 2 ч. 1 ст. 6 закона № 152-ФЗ);
  • участие лица в судебных процессах (п. 3 ч. 1 ст. 6 закона № 152-ФЗ);
  • исполнительное производство (п. 3.1 ч. 1 ст. 6 закона № 152-ФЗ);
  • регистрация гражданина на порталах госуслуг (п. 4 ч. 1 ст. 6 закона № 152-ФЗ);
  • исполнение соглашения с субъектом данных (п. 5 ч. 1 ст. 6 закона № 152-ФЗ);
  • невозможность защитить жизнь и здоровье гражданина без обработки сведений о нем (п. 6 ч. 1 ст. 6 закона № 152-ФЗ);
  • соблюдение прав организации, в частности при просрочке задолженности, без ущемления прав гражданина, данные о котором обрабатываются (п. 7 ч. 1 ст. 6 закона № 152-ФЗ);
  • журналистская, научная и иная подобная деятельность без нарушения прав субъектов обрабатываемых сведений (п. 8 ч. 1 ст. 6 закона № 152-ФЗ);
  • обезличенная статистика (п. 9 ч. 1 ст. 6 закона № 152-ФЗ);
  • общедоступные по инициативе гражданина сведения о нем (п. 10 ч. 1 ст. 6 закона № 152-ФЗ);
  • информация, подлежащая раскрытию (п. 11 ч. 1 ст. 6 закона № 152-ФЗ);
  • установленные законодательством случаи обработки отдельных категорий сведений (ч. 2 ст. 10 закона № 152-ФЗ);
  • использование биометрических данных при пересечении госграницы, в целях обороны страны, при противодействии террористической деятельности и др. (ч. 2 ст. 11 закона № 152-ФЗ).

Нюансы отзыва согласия на обработку

В судебной и правоприменительной практике выявлены следующие нюансы, связанные с отзывом согласия на обработку ПД:

  • В случае споров относительно передачи ПД коллекторам подлежит доказыванию, в частности, то, были ли данные переданы после отзыва согласия и осуществляется ли коллекторская деятельность с нарушением прав гражданина. Если доказательства подобного не представлены, то позиция гражданина о нарушениях, связанных с обработкой его данных после отзыва согласия, не подлежит судебной защите (апелляционное определение Свердловского облсуда от 29.06.2017 по делу № 33-10537/2017).
  • Передача сведений о гражданине банком третьим лицам после отзыва им согласия на обработку ПД не противоречит законодательству и не является основанием для компенсации морального вреда (апелляционное определение Свердловского облсуда от 05.10.2016 по делу № 33-17390/2016).
  • В дополнение к залоговому билету не требуется получения согласия на обработку ПД (письмо Минкомсвязи России «О разъяснении…» от 24.03.2016 № П11-1-5405).
  • Осуществление рассылки рекламы после отзыва согласия на обработку ПД является незаконным (апелляционное определение Новосибирского облсуда от 27.09.2016 № 33-9626/2016).

Как отозвать согласие на обработку персональных данных: образец и порядок отзыва

Образец отзыва согласия на обработку персональных данных можно скачать по ссылке: Отзыв согласия на обработку персональных данных — образец.

Порядок отзыва согласия на обработку персональных данных предполагает, что подписанный отзыв согласия необходимо представить в организацию, которой было дано согласие на обработку, при этом поставив на втором экземпляре отзыва согласия отметку указанной организации о его получении. Это может быть:

  • штамп канцелярии;
  • подпись и расшифровка подписи секретаря руководителя компании;
  • или, если указанные варианты проблематичны, направление отзыва по почте с описью вложения и уведомлением о вручении.

Если согласие на обработку ПД было дано посредством проставления галочки при совершении действий в интернете, то его отзыв, как правило, также может быть осуществлен в электронном виде.

О других нюансах, связанных с ПД, читайте в нашей статье по ссылке: Условие договора потребкредита о предоставлении персональных данных после заключения договора неправомерно.

***

Итак, действующее законодательство предусматривает возможность для гражданина, который ранее дал согласие на обработку сведений о нем, отозвать его. Образец такого согласия был представлен в настоящей статье. Вместе с тем, несмотря на установленную по общему правилу обязанность субъекта, который обрабатывал данные, прекратить такую обработку, законодательство содержит перечень ситуаций, когда организация вправе продолжить обработку, даже несмотря на отзыв согласия.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;

— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;

— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;

— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;

— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

— Физическое лицо: штраф в размере 700 — 1 500 рублей;

— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;

— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей

— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.ru — не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” — относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека — и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите — это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД — наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит — невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги — нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица — вы должны получать его согласие и иначе никак — закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Шаг 1.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы — индивидуальный предприниматель — вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

— политика обработки персональных данных;

— приказ об утверждении вышеуказанной политики;

— согласие на обработку персональных данных;

— чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность — такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД — всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем — вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Все о персональных данных

Екатерина Добрикова

goldyg / Shutterstock.com

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

НАША СПРАВКА

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Документы по теме:

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
  • Трудовой кодекс Российской Федерации
  • Кодекс Российской Федерации об административных правонарушениях
  • Уголовный кодекс Российской Федерации
  • Гражданский кодекс Российской Федерации
  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Роскомнадзор подготовил рекомендации по составлению политики обработки персональных данных
Ознакомиться с ними можно на официальном сайте ведомства.

Порядок отзыва согласия на обработку персональных данных

Люди часто дают официальное согласие на использование личных данных: при устройстве на работу, заключении договоров в банках, салонах сотовой связи, при регистрации в социальных сетях, на интернет-порталах и т. д. Но потом они могут передумать или просто прекратить трудовую деятельность в конкретной организации, и тогда у них может появиться желание отозвать разрешение на обработку персональных данных. Как быть в этом случае? Когда отзыв не будет удовлетворен? Читайте далее.

Порядок отзыва определен пунктом 2 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ. Например, это может быть обоснованно, если у сотрудника есть факты, что его информацию используют не по назначению, разглашают третьим лицам, работодатель не соблюдает режим конфиденциальности. Также отзыв разрешения на обработку персональных данных работник может оформить при увольнении. Для этого владельцу персональных данных нужно написать заявление тому оператору, которому он давал согласие на их хранение и использование (например, работодателю).

Законные случаи, когда обработка личных данных не может быть прекращена

Оператор имеет полное право продолжить работу с личными данными даже после предоставления ему соответствующего отзыва, если:

  • информация значима для достижения целей международного договора;
  • субъект участвует в судопроизводстве и исполнительном производстве;
  • субъект оказывает госуслуги и размещает свои данные на Едином портале государственных и муниципальных услуг;
  • субъект является стороной при заключении договоров; речь идет о защите жизненно важных интересов субъекта;
  • человек является должником и идет процедура возврата просроченной задолженности (при этом его права и свободы не должны нарушаться);
  • владелец персональных данных является журналистом, автором или другим творческим работником и осуществляет профессиональную деятельность;
  • данные используются в статистических или иных исследовательских целях при их обязательном обезличивании;
  • они сделаны общедоступными самим субъектом (например, в соцсетях).

Таким образом, следует помнить о том, что конфиденциальные данные могут быть использованы и истребованы и без согласия владельца в законном порядке.

Последствия отзыва согласия на обработку персональных данных

В большинстве случаев до момента получения отзыва вся информация уже бывает разослана третьим лицам. Поэтому дальше оператор, как сказано выше, должен будет уничтожить все данные, которые хранились у него, а также обеспечить прекращение их использования во всех инстанциях.

Серьезными будут последствия отказа от предоставления личной информации или изъятия согласия для их владельца: банк не выдаст кредит, учебное заведение не допустит к экзаменам или не выдаст диплом, работодатель не разрешит приступить к работе, а медицинское учреждение откажет в помощи. Государственные услуги вообще не будут предоставлены, а заявления — не приняты к рассмотрению.

Записи созданы 4415

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх