В наше неспокойное время, подписывая те или иные договоры, например, финансовые, граждане практически всегда сталкиваются с идущим «довеском» к основным документам «согласием на обработку персональных данных». В своей статье мы расскажем, какие же именно сведения относятся к персональным данным, и в каких случаях можно отозвать уже выданное разрешение на их обработку.
В ряде случаев без подписания документа — соглашения клиента на предоставление персональных данных и их последующую обработку — контрагент отказывается заключать сделку. Еще хуже обстоят дела, когда та или иная услуга оказывается онлайн. Ведь без согласия на обработку данных человеку попросту не дают доступ к услуге, не давая перейти на следующую страницу портала.
Персональные данные предоставляются и при заключении трудового договора при приеме на работу, и при заключении договора с сотовым оператором. Да и куда ни глянь — свои данные надо предоставлять в нашем цифровом мире практически уже везде, заполняя анкеты на иногда весьма сомнительных, с точки зрения хранения тайн, сайтах.
Какие данные относятся к персональным?
О том, какие данные могут считаться персональными (личными), а также кто и каким образом может с ними работать, прописано в специальном, достаточно новом федеральном законе от 27.07.2006 № 152-ФЗ. Он так и называется — «О персональных данных». В законе имеется статья 3, которая гласит, что такими данными считаются сведения, которые прямо или косвенно принадлежат «определенному или определяемому физическому лицу (субъекту персональных данных)».
Статья 3 закона «О персональных данных»
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Статьи 3-8 закона
- автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
В частности, к персональным данным относятся:
- Фамилия, имя, отчество субъекта;
- адрес проживания или регистрации;
- паспортные данные;
- сведения о месте рождения;
- номер загранпаспорта;
- номер страхового свидетельства в Пенсионном фонде (СНИЛС);
- сведения о семейном или социальном положении;
- другие данные, по которым можно идентифицировать гражданина.
Надо отметить, что исчерпывающего, однозначно трактуемого как «самый полный перечень», списка сведений, которые могут быть отнесены к личным данным, в законодательстве не прописано. Поэтому в каждом отдельном случае необходимо устанавливать — достаточно ли имеющейся информации, чтобы по ней точно установить личность человека или все же недостаточно.
Например, если о человеке известно только то, что он родился в таком-то году в таком-то городе, это не будет считаться персональными данными. А вот те же сведения, но в сочетании с ФИО — однозначно будут.
Отдельно следует отметить, что компании или организации, которые при оформлении отношений с гражданином требуют у него согласие на обработку данных, называются в законе «операторами».
Где требуется предоставить персональные данные?
Согласие на обработку персональных данных может потребоваться в самых разных организациях и при самых разных обстоятельствах. Практически все финансовые операции сейчас происходят только при наличии между клиентом и финкомпанией такого соглашения. Разумеется, согласие подписывается не перед каждой операцией, а при заключении договора об обслуживании.
Запрашивает личные данные и работодатель у будущего работника. Более того, запрашивать он может (и регулярно это делает) не только сведения о самом работнике, но и о членах его семьи. Однако в данном случае гражданин может отказаться предоставлять сведения о родственниках. В этой ситуации в его анкете останутся незаполненные графы, но никаких препятствий при трудоустройстве это причинять не должно. Права по этой причине отказать в приеме на работу у компании-работодателя нет.
Когда можно отозвать согласие на обработку данных?
В любое время. Так написано в законодательстве. Например, в банк можно обратиться при расторжении или исполнении договора: закрытия в нем счетов или погашения имевшегося кредита. Зачем отзывать, если отношения и так завершены? Для того, чтобы кредитная организация не донимала в дальнейшем бывшего клиента рекламными предложениями.
Но помните — отозвать свои данные из банка можно только тогда, когда у вас закончились с ним все отношения, и вы ему больше ни копейки не должны.
Менее очевидным видится отзыв персональных данных у работодателя после увольнения. Если трудовые отношения между сторонами прекращены, то у работодателя не остается необходимости работать с этими данными. Они списываются в архив и хранятся там. Срок хранения — три года. Но самое главное, что хранятся они там в течение тех же трех лет, даже если гражданин отзовет свое согласие на их обработку. Работать с ними в этом случае нельзя, но и уничтожить тоже.
Отозвать согласие можно при переводе ребенка в другое учебное заведение или после завершения его учебы. Также личные данные имеются у сотовых операторов. И при смене такового можно также потребовать назад свое разрешение на работу с ними.
Подавать заявление на отзыв согласия необходимо в организацию-оператор. Сделать это можно в письменном виде или по электронной почте. Лучше всего такое заявление подавать тем же путем, каким вы давали и свое согласие на обработку персональных данных.
Если согласие давалось в электронном виде, то и отзывайте его по электронным каналам общения. Или, например, если вы пытаетесь отозвать свои данные из банка и вам не лень до него прогуляться, то можете и зайти в отделение с листом бумаги формата А4 и шариковой ручкой.
Кто может отозвать персональные данные
По закону отозвать свое согласие на обработку персональных данных может любой человек, который такое согласие дал. Но сделать это он может только сам. Третьи лица — родственники, друзья, представители и т.д. обращаться к оператору с требованием прекратить пользоваться личными сведениями права не имеют.
Как правильно оформить требование на отзыв
Единого шаблона для оформления отзыва не существует. На сайте Роскомнадзора имеется бланк универсального заявления, его форму можно использовать как образец, внеся необходимые реквизиты и сведения. Но можно напечатать заявление самостоятельно или даже написать его от руки. Главное, чтобы в нем содержались необходимые сведения.
Вот перечень того, что должно быть указано в заявлении:
- официальное наименование оператора (если это организация) или ФИО (если он частное лицо);
- адрес оператора;
- ФИО, реквизиты паспорта, адрес субъекта персональных данных (то есть самого заявителя);
- содержательная часть заявления. То есть в ней должно быть изложено требование прекратить дальнейшую обработку данных и отзыв ранее выданного согласия;
- дата;
- подпись и ее расшифровка.
Заявитель может подробно расписать причину, по которой он хочет отозвать свое согласие, а может ограничиться простой фразой «в связи с их неправомерным использованием».
Куда подавать заявление?
Как уже было сказано, заявление может быть направлено организации-оператору тремя способами: бумажное заявление, составленное в двух экземплярах можно отнести непосредственно в экспедицию (место, где принимают корреспонденцию), заказным письмом с уведомлением или по электронной почте, если это допускается функционалом страницы оператора. Обычно сейчас свои официальные электронные адреса есть у всех организаций.
Отдельно стоит коротко остановиться на таком аспекте работы с персональными данными, как их отзыв у коллекторов — профессиональных взыскателей долгов. Дело в том, что коллекторы могут работать с персональными данными, не запрашивая на это согласия должника. Это допускается нормами закона № 152-ФЗ. Коллекторы приобретают базу персональных данных заемщиков у банков или МФО вместе с портфелем кредитов (займов) по договору переуступки прав требования (цессии).
Тем не менее, отзыв согласия на обработку персональных данных возможен и в данной ситуации, причем тем же самым способом — письменным. После отзыва согласия коллекторы не будут иметь возможности активно работать с данными должника (звонить ему по имеющимся номерам, писать по имеющимся электронным адресам, слать смс-сообщения).
В этом случае отзыв персональных данных называется несколько иначе — отказ от взаимодействия. После подачи отказа от взаимодействия с коллекторами они имеют право общаться с должником обычными бумажными письмами через Почту России.
Однако следует помнить, что сам долг от этого никуда не денется. И коллекторы останутся при своем праве подать на вас в суд и получить судебный приказ или полноценное решение суда. А потом передать документы судебным приставам, которые проведут полноценное исполнительное производство по розыску вашего имущества, по аресту счетов и списания с них денег. Помните — судебная практика в этом вопросе всегда на стороне тех граждан или юр лиц, которым вы задолжали деньги.
А вот после того, как вы расплатитесь с коллекторами полностью, и получите на руки документ о погашении долга — вы сможете отозвать свои персональные данные у этих кровопийцев (или рыцарей плаща и кинжала, это как уж вам удобнее их называть).
После получения заявления на отзыв оператор обязан в течение 30 дней прекратить работу с указанными данными, изъять их отовсюду (из всех своих баз) и уничтожить. Но хотя закон и говорит, что отозвать согласие можно в любое время, на самом деле в нормативных актах предусмотрен целый перечень случаев, когда обработка персональных данных после отзыва согласия продолжается и без согласия гражданина.
Когда отзыв невозможен?
Без согласия гражданина продолжают обработку личных данных банки и МФО. Если у человека имеется хотя бы частично непогашенный кредит или вообще заключен любой договор с банком, отозвать согласие нельзя. Как гласит статья 6 закона о персональных данных, банк может продолжать обработку «для целей исполнения договора».
Более того, согласно закону о борьбе с отмыванием доходов, полученных преступным путем (так называемый 115 ФЗ), банк обязан сохранять идентифицирующие клиента документы в течение не менее пяти лет с момента истечения договора. Правда сохранять, а не распространять и не передавать их третьим лицам.
То же самое касается и коллекторов. Об этом должнику с непогашенным долгом сообщит сам коллектор.
Поэтому ответ на вопрос — как правильно отозвать разрешение на обработку своих персональных данных у кредиторов будет такой — сначала надо полностью вернуть долг, а потом отозвать разрешение, написав заявление в произвольной форме.
Помимо банков, МФО и коллекторов персональные данные могут быть использованы и без согласия гражданина:
- судами, если субъект участвует в каком-то судопроизводстве;
- судебными приставами, если они работают в рамках исполнительного производства;
- государственными органами при исполнении своих полномочий по социальной поддержке (выплат пенсий и пособий, оформлении льгот);
- любыми субъектами при необходимости защиты жизни или здоровья гражданина (то есть врачами и полицией);
- журналистами, если это связано с их профессиональной деятельностью;
- в еще ряде ситуаций, предусмотренных статьями 6, 10 и 11 закона № 152-ФЗ.
Как защитить свои персональные данные и права, если они были нарушены
Если гражданин столкнулся с нарушением своих прав в области защиты персональных данных, ему необходимо обратиться в Роскомнадзор. Сделать это можно с помощью онлайн-сервиса на официальном портале ведомства. Также жалобу можно подать в письменном виде и отправить заказным письмом с уведомлением о вручении.
Права можно считать нарушенными, если оператор продолжает пользоваться личными данными бывшего клиента (или сотрудника) или тем более, если передает их третьим лицам.
Если права клиента по работе с его персональными данными нарушают финансовая организация (банк или МФО), пожаловаться можно в Центральный банк Российской Федерации. Во всех случаях в течение 30 дней указанные ведомства должны дать ответ о принятых мерах. На операторов-нарушителей может быть наложена административная ответственность (штраф) и даже возбуждено уголовное дело.
Согласно статье 13.11 КоАП РФ размер штрафа может составить:
- для физических лиц — от 6 000 до 10 000 рублей;
- для должностных лиц — от 20 000 до 40 000 рублей;
- для организаций — от 30 000 до 150 000 рублей.
Если у вас есть сомнения в том, что ваши персональные данные находятся под надежным замком, а банк или МФО, с которыми вы уже давно не сотрудничаете, отказываются прекратить их обработку, то обращайтесь за помощью к нашим юристам!