Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Заявление об отзыве персональных данных в 2022 году». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.
В том числе к таким сведениям можно отнести:
- Ф. И. О.;
- адрес проживания;
- паспортные данные;
- сведения о месте рождения;
- прочие данные.
Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.
Заявление на отзыв персональных данных составляется следующим образом:
- В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
- Ниже посередине — название документа.
- С красной строки — основной текст.
- В конце документа — дата и подпись.
Образец отзыва персональных данных из банка может выглядеть так:
Руководителю Центрально-Черноземного банка ПАО «Банк»
Воронеж, ул. 9 Января, 28
от Держаева Виктора Петровича
Воронеж, ул. Комарова, 28, 15
Заявление
Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.
Держаев В. П. /Держаев/
Дата: __ __ ____
Согласно п. 5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.
Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.
Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.
Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479).
По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.
А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.
В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.
И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.
Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.
Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.
С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.
При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.
В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.
Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.
Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.
Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.
По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:
- должность, ФИО руководителя;
- наименование организации;
- ФИО автора отказа;
- его паспортные и контактные данные (для связи).
Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.
В основной части следует обозначить:
- свое несогласие с предоставлением персональных данных;
- обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
- если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
- также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.
Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.
Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.
Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:
- ФИО;
- контактные данные (телефон, электронная почта, адрес);
- информация об операторе-компании;
- информация об операторе-физлице;
- информация об операторе-ИП;
- информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
- цель обработки сведений;
- категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
- срок действия согласия.
Если владелец персональных данных захочет, то можно заполнить и такую информацию:
- категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
- условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.
Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.
Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.
После этого оператор может применять проверенную форму документа.
В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.
Анастасия Степанова, редактор неновостных материалов ТАСС. Отзывает у банка согласие на обработку персональных данных.
Я захожу в московское отделение Райффайзенбанка на Страстном бульваре и говорю то, что менеджеры слышат от клиентов не каждый день: «Мне нужно отозвать свои персональные данные у вашего банка».
У меня была зарплатная карта в этом банке. Пару лет назад истек срок действия. Два-три раза в год мне приходят sms с предложением кредита. Меня не раздражают сообщения, но я знаю, что утечки данных клиентов крупных компаний случаются довольно часто. И если можно снизить риски, забрав личные сведения у организации, где вы уже не обслуживаетесь, то почему так не сделать?
Арина Раксина, редактор неновостных материалов ТАСС. Пытается узнать, какие ее персональные данные есть у мобильного оператора и что он с ними делает.
Я пользуюсь услугами «Билайна» уже десять лет. Ни договора, ни тем более подписанного согласия на обработку персональных данных на руках у меня давно нет. Поэтому первым делом звоню в службу поддержки и спрашиваю, могу ли получить отчет о моих персональных данных, которые есть у компании.
Первая реакция ожидаемая — сотрудница кол-центра не понимает, что именно мне нужно. Уточняю, что хочу знать, какие мои данные есть у компании, что она с ними делает, для каких целей, и передавала ли третьим лицам. Я имею право знать об этом, как говорится в 7 части ст. 14 закона «О персональных данных». Оператор пытается узнать, не случилось ли у меня что-то и почему я переживаю за сохранность данных. Отвечаю, мол, нет, просто я — сознательный пользователь и беспокоюсь о безопасности своих данных.
Любопытство, не связанное с какой-то проблемой, обычно удивляет. Недавно работник одного сервисного центра точно также недоумевал, зачем проверять, «белый» у меня смартфон или нет, если все и так нормально работает.
Оператор предлагает мне обратиться в офис. Там я по второму кругу прохожу через непонимание, вопросы, все ли в порядке, и заверения, что данные не могли никуда утечь. Менеджер признается, что к ним никто не обращался с таким запросом. И сразу она мне помочь не может. Во внутренней поддержке для сотрудников ей отвечают, что подробную информацию о персональных данных могут выдать только по запросу правоохранительных органов. Вот если бы я просто хотела отозвать согласие — все было гораздо проще.
Отказ от предоставления персональных данных
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
- ФИО;
- контактные данные;
- перечень персональных данных, обработку которых нужно прекратить.
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
Изменения в законе №152-ФЗ «О персональных данных» действуют с 1.03.2021. Они вводят в оборот определение «персональных данных, разрешенных для распространения», которое заменяет «общедоступные персональные данные». Как поясняют авторы поправок, в первую очередь нововведения касаются информации, которая размещается в свободном доступе, например на интернет-порталах, и может быть получена кем угодно.
Если до конца февраля текущего года оператор, который получил одно согласие субъекта на обработку персданных, мог их опубликовать или передать третьей стороне, теперь этого мало – необходим отдельный документ.
Согласие на обработку означает, что оператор вправе хранить, уточнить, использовать эти сведения. Но если он планирует опубликовать их или передать третьему лицу, потребуется отдельное письменное согласие на распространение. Исключение – запрос из контролирующих органов, полиции, военкомата: им дополнительное разрешение не нужно.
Передать согласие оператору можно двумя способами:
- в бумажном виде, подписав собственноручно (этот способ действует сейчас);
- с помощью системы Роскомнадзора (заработает с 01.07.2021).
Отправлять в ведомство заявление о начале распространения персональных данных не требуется.
Теперь нормы напрямую запрещают распространять персональные данные в отсутствии письменного согласия, даже если они размещены физлицом на открытых страницах в соцсетях. Если вы обрабатываете или распространяете сведения, которые человек самостоятельно выложил, вы должны подтвердить легальность своих действий.
Передача информации об условиях и запретах обработки персданных
Если оператор получил согласие, в котором уточняются обстоятельства и ограничения распространения информации, он обязан в течение трех рабочих дней после этого опубликовать их. Место публикации не определяется, но предполагаем, что имеется в виду тот же ресурс, где будут доступны Ф. И. О., фотография и прочее.
Компания-работодатель обязана выполнять все новые требования законодательства: брать согласие не только на обработку, но и на распространение данных, например на корпоративном сайте, передавать информацию без согласия исключительно в особенных случаях, указанных выше.
При оформлении банковской зарплатной карты предполагается, что без разрешения личные сведения передаются:
- если договор заключается между банком и работником;
- если у работодателя имеется доверенность на представление сотрудника в банке;
- если начисление зарплаты на банковскую карточку сотрудника прописано в коллективном договоре.
Однако и в этих случаях мы рекомендуем подстраховаться и заручиться письменным согласием персонала.
Переоформлять их закон напрямую не требует, но, чтобы избежать вопросов контролирующих органов, лучше это сделать, особенно если вы планируете публиковать сведения в открытых источниках или передавать третьим лицам. Это поможет избежать штрафов за несоблюдение норм закона о защите персональных данных. Отметим, с 27 марта 2021 года они выросли вдвое: для юрлиц это десятки, а то и сотни тысяч рублей в зависимости от статьи.
Если у вас остались вопросы, позвоните по телефону (831) 2-333-666. Мы проконсультируем и подскажем, как приобрести и настроить ПО для ведения кадровой и бухгалтерской отчетности.
Даже если сотрудник дал отказ от обработки персональных данных, последствий, кратко говоря, для компании не будет. Дело в том, что работодатель может обрабатывать персональные данные гражданина без всякого согласия в ряде случаев.
Так, можно без проблем обрабатывать данные человека, чтобы:
- исполнять заключенный с ним трудовой договор;
- достичь целей, установленных законом для осуществления и выполнения на оператора обязанностей и функций, возложенных действующим законодательством.
В частности, можно передавать персональные данные сотрудника без его согласия (ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ):
- в Пенсионный фонд;
- Федеральную налоговую службу;
- военные комиссариаты;
- другие органы, обязанность передачи персональных сведений которым утверждена законодательством (например, органы прокуратуры).
Помимо этого обработка персональных данных без согласия работника производится в следующих случаях (п. 1-5 разъяснений Роскомнадзора от 14.12.2012):
- обработка данных предусмотрена законодательством, в частности, публикация сведений о работнике в Интернете;
- обработка персональных сведений близких родственников работника в соответствии с личной карточкой по форме № Т-2;
- обработка информации в целях получения алиментов, а также оформления социальных выплат и допуска к государственной тайне;
- обработка сведений о здоровье сотрудника осуществляется для проверки возможности выполнения им своих должностных обязанностей;
- обработка персональных сведений связана с выполнением трудовых обязанностей;
- обработка в целях осуществления пропускного режима на предприятии, если работодатель осуществляет эту функцию самостоятельно.
Это могут быть:
- кредитные организации (банки);
- микрофинансовые организации (МФО);
- кредитные кооперативы;
- операторы инвестиционных платформ
- лизинговые компании.
То есть, заявление о корректировке кредитной истории с 01.01.2022 можно отправлять напрямую им.
Перечисленные источники по закону обязаны принять и рассмотреть поступившее заявление субъекта.
Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных» это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование.
Возрастающая роль информационной сферы и внедрение автоматизированных технологий по обработке и передаче данных во все социальные сферы повышают уязвимость частной жизни ребенка и создают угрозы незаконного оборота персональных данных несовершеннолетних.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«Формула «информация = деньги» была актуальна всегда, а в условиях сегодняшней нашей жизни особенно. Персональные данные человека относятся к такому виду информации, который всегда имеет цену и совершенно понятную капитализацию… Персональные данные детей здесь не исключение. Пол, возраст, имя, место жительства и обучения — вся эта информация является бесценной для тех структур, которые занимаются маркетинговыми исследованиями, изучают спрос, продвигают определенные группы товаров и услуг, ищут потребителей и формируют спрос. И это, пожалуй, наиболее безобидная группа интересантов.
Кроме них есть отдельные лица и структуры, которые накапливают персональные данные, преследуя противоправные и корыстные цели. Это может быть совершение мошеннических действий, вербовка в религиозные и экстремистские организации, а также различные структуры, ставящие своей целью нанесение вреда жизни и здоровью наших детей (группы смерти, геймеры, стримеры и др.)».
Ст. 9 закона «О персональных данных» предполагает согласие гражданина на обработку его персональных данных. Дети — несовершеннолетние граждане, поэтому согласно ч. 1 ст. 64 Семейного кодекса их права защищают родители и законные представители. Давая согласие, родитель подтверждает, что такая обработка является законной и не нарушает права ребенка. Также в любой момент можно отозвать ранее данное согласие на обработку, после отзыва согласия данные должны быть удалены.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«Как правило, персональные данные наших детей запрашивают образовательные учреждения и организации здравоохранения. Как законные представители детей родители должны давать согласие на обработку этих данных. В связи с этим родитель имеет полное право запросить информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. И если будут, то с какой целью. Кроме того, не стоит буднично и поверхностно относиться к процессу передачи персональных данных своего ребенка».
При даче согласия на обработку персональных данных ребенка эксперт советует обратить внимание на следующие детали:
— перечень персональных данных и сроки их хранения;
— цель и способы обработки персональных данных ребенка;
— способ уведомления родителя о факте обработки персональных данных;
— источник получения персональных данных ребенка;
— сведения о должностных лицах, которые получат право, а следовательно, доступ к персональным данным;
— сроки обработки персональных данных;
— способы защиты персональных данных.
Свое согласие на работу с личной информацией несовершеннолетнего ребенка родители должны выразить в письменном виде с обязательной собственноручной подписью.
Изображение человека также относится к его персональным данным, поэтому использование фотографий всех граждан (в том числе детей) регулируется законом. Если фотография ребенка была опубликована в интернете без согласия родителей, они вправе обратиться с жалобой в прокуратуру, а если публикация фотографий причинила ребенку (или его представителям) нравственные страдания, родители могут обратиться в суд с иском о возмещении морального вреда.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«В случае нарушения положений закона о персональных данных родитель может потребовать немедленного устранения нарушения, допущенного хранителем этих данных, а если это не принесет результата, то подготовить аргументированное заявление в органы прокуратуры. Они будут обязаны провести проверки и вынести меры прокурорского реагирования».
За публикацию фотографий детей в интернете без согласия родителей предусмотрена ответственность ст. 137 Уголовного кодекса РФ. В случае если суд признает вину, лицо, опубликовавшее фотографию, будет наказано штрафом в размере до 200 тыс. руб. или в размере зарплаты или другого дохода за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Роскомнадзор издал приказ1, который позволит ему проверять наличие согласия на обработку персональных данных, разрешенных лицом для их распространения, если поступит жалоба на неправомерные операции с ними. Приказ вступит в силу 1 марта 2022 г.
Операторы ПД будут получать согласия посредством использования информационной системы Роскомнадзора. Граждане смогут предоставить и отозвать согласие на информационном ресурсе оператора с использованием электронной подписи. После подписания человеком согласия Роскомнадзор получит сведения о даче согласия и целях обработки данных, об информационных ресурсах оператора, посредством которых будут обрабатываться ПД, списки данных, которые разрешено или запрещено обрабатывать, и перечень конкретных запретов. При этом само согласие и персональные данные не будут переданы Роскомнадзору. Ведомство будет обладать обезличенной информацией о предоставленных и отозванных согласиях.
1 Приказ Роскомнадзора от 21 июня 2021 г. № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором».
При получении новых сведений гражданину необходимо проинформировать об этом оператора, который их использует.
К оператору относятся государственные и муниципальные органы, юридические лица, которые используют (обрабатывают) информацию о гражданине (ст. 3 ФЗ № 152).
Оператором выступает:
- работодатель;
- банк;
- мобильный и интернет-провайдер;
- поликлиника;
- страховые организации и пр.
Любое юрлицо или госорган, владеющий идентифицирующей информацией и использующий её для ведения личного дела, заключения договора, оказания услуг и пр., выступает оператором.
В первую очередь необходимо известить работодателя и банковскую организацию во избежание блокировки денежных переводов и карт, для обеспечения вашего доступа к счетам.
При смене фамилии, имени и отчества необходимо известить государственные органы и заменить:
- паспорт;
- ИНН;
- СНИЛС;
- страховой полис;
- водительское удостоверение;
- служебное удостоверение.
Извещение иных компаний не требует оперативности. Сведения актуализируют при обращении гражданина за услугами.
Работодателю достаточно сообщить о смене устно и принести подтверждающий документ. Для этого обращаются в отдел кадров.
Если в учетной политике компании установлен письменный порядок извещения, то необходимо написать заявление об изменении паспортных данных, фамилии и пр.
Государственные и муниципальные органы извещают письменно. Для иных организаций порядок смены данных необходимо уточнить, если требуется письменное извещение — напишите заявление.
Как ужесточились требования к работе с персональными данными в 2021 году
«Шапка» заявления состоит из двух частей:
- указаний кому;
- от кого.
Если вы не знаете, как полностью звучит наименование оператора ПДн, то можете написать: «Оператору персональных данных», а ниже – название компании. В идеале желательно направлять отзыв согласия человеку, ответственному за это, но такую информацию сложно найти в свободном доступе. Либо оставьте место, чтобы дописать ФИО позже, либо не пишите его вовсе. Заменить его можно, например, юридическим адресом компании. В отдельной строке следует вписать «От» – а в следующей указать:
- свои данные в формате ФИО;
- адрес проживания (включая область, город, почтовый индекс, улицу и дом);
- паспортные данные (серия, номер документа, кем и когда был выдан документ);
- телефон.
Проще всего составить документ вручную, но в зависимости от специфики деятельности оператора, которому адресуется бумага, можно воспользоваться компьютером.
Большинство россиян стараются направлять свои отзывы те же путем, которым ранее у них было взято разрешение на обработку ПДн.
Однако встречаются и ситуации, когда, например, интернет-магазин или сервис микрокредитования (МФО), работающий только в интернете, требует, чтобы отзыв о прекращении обработки информации был направлен ему по обычной почте. В этом случае субъект должен поинтересоваться, прописана ли процедура в «Политике защиты ПДн» компании. Если в документе содержится информация об этом – гражданину придется отправлять свой отзыв разрешения «Почтой России».
Юристы утверждают, что подобный, более сложный (в сравнении с процедурой взятия разрешения) порядок отзыва компании используют в надежде, что большинство граждан решит оставить все как есть и не тратить время на написание письма, поход в почтовое отделение и так далее.
Если же речь идет о компании, работающей как в онлайне, так и в оффлайне, то, скорее всего, придется отправлять отказ либо на юридический адрес, либо в ближайшее отделение. Часто правом отозвать свои ПДн пользуются должники. Опасаясь, что конфиденциальные сведения станут известны третьим лицам, например, коллекторскому агентству. В этом случае держатель кредита может отнести свое заявление банковскому агенту.
Законодательство в сфере персональных сведений налагает на оператора обязательства в течение тридцати дней предпринять действия по прекращению обработки ПДн. Если до этого сведения субъекта хранились в форме, позволяющей определить, кому они принадлежат, необходимо обезличить информацию или уничтожить ее окончательно.
Основной закон — № 152-ФЗ «О персональных данных» от 27.07.2006. Он устанавливает последствия отзыва согласия на обработку персональных данных:
- прекращение использования сведений, которыми располагает оператор, в любой форме;
- уничтожение данных, если это возможно. То есть уничтожаются носители, фиксирующие личную информацию.
Предпринять эти меры оператор должен в течение тридцати дней с момента получения заявления от обладателя информации.
Закон устанавливает и случаи, когда данные продолжают использоваться, несмотря на заявление:
- обрабатываются данные лица, участвующего в судебном процессе;
- использование необходимо для выплаты лицу пенсий, социальных пособий, предоставления ему социальных или медицинских услуг;
- для заключения или исполнения договора, выгодоприобретателем по которому является обладатель персданных;
- обработка необходима для сохранения жизни или здоровья их обладателя.
Бесконтрольный сбор персональных данных кем ни попадя, торговля ими, попытки манипулировать людьми, рынками и общественным мнением на основе анализа этих данных, черный пиар, клевета, публичные оскорбления, травля, создание «волн ненависти» и многое другое — все эти вещи заставили задуматься о дополнительных мерах.
Поворотным пунктом стало принятие регламента GDPR в Евросоюзе в 2018 году взамен рамочной Директивы о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Однако аналогичные шаги предпринимают много где. В России с 2006 года действует Закон от 27.07.2006 № 152-ФЗ «О персональных данных» с последующими изменениями и дополнениями. Под занавес 2020 года, 30 декабря, президентом был подписан Закон № 519-ФЗ, вносящий в предыдущий документ довольно серьезные изменения. Он вступил в силу с 1 марта 2021 года, то есть эти поправки уже действуют, и все должны им следовать.
У нас есть персональные данные (ст. 3 п. 1 Закона №152-ФЗ от 27.07.2006):
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных (определение не дано, выводится косвенно):
субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
И оператор персональных данных (ст. 3 п. 2):
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
К персональным данным относится любая информация, которая позволяет прямо или косвенно идентифицировать конкретного человека. А в понятие операторов включены даже физические лица, то есть лично вы становитесь оператором персональных данных, получив от человека его имя и номер телефона. Так что каждый из нас ежедневно оказывается с обеих сторон баррикад.
Самая интересная часть нового закона — нормы о несанкционированном распространении ПД в адрес неограниченного круга лиц. Это п. 2 и 3 ст. 10.1 Закона № 519-ФЗ. Переформулируем их для понятности.
-
Если специальное согласие не оформлено, то каждый, кто распространил эти ПД (не первый оператор ПД, а вообще все, кто разместил их в открытом доступе!), обязан доказывать законность такого распространения, обработки, предоставления доступа и т.д.
-
Если эти ПД стали достоянием неограниченного круга лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы (речь, скорее всего, идет о «сливах», то есть взломе компьютерных систем или ином попадании данных в открытый доступ без разрешения), то и в этом случае каждое лицо, разместившее ПД в открытом доступе либо иным образом опубликовавшее их, должно отдельно доказывать законность своих действий.
Судя по всему, в обоих случаях публикация или перепубликация персональных данных без разрешения их владельца будет правонарушением. Причем исходя из буквы закона речь может идти даже о таких ситуациях, как перепечатка статьи из СМИ с указанием фамилии и имени (например, размещение у себя на странице в соцсети) или, например, размещение у себя афиши концерта или спектакля с указанием имен выступающих артистов.
В сопроводительной записке к законопроекту депутаты Госдумы указали, что теперь субъект ПД имеет право обратиться к любому оператору ПД с требованием удалить его данные из общего доступа без необходимости доказывания факта их неправомерной обработки.
То есть бремя доказывания перекладывается с лица, требующего удалить данные, на того, кто их публикует (открывает доступ). Это серьезнейшим образом меняет баланс сил в случае спора сторон.
Есть известная схема распространения неподтвержденной негативной информации, которую очень часто применяют для черного пиара: публикуют ПД в любом анонимном источнике, соцсети, телеграм-канале — а дальше начинается их перепубликация со ссылкой на этот источник. Потом первую публикацию (а иногда и учетную запись или вообще сайт целиком) удаляют, и получается, что претензии предъявлять вроде некому, а публикации остаются. И чтобы убрать их, придется в каждом случае доказывать нарушение прав — что долго, сложно и дорого. Теперь субъект ПД может почти мгновенно удалять любые свои персональные данные из интернета, ему не надо доказывать вообще ничего, кроме того, что это его ПД.
Формально в п. 11 ст. 10.1 содержится исключение:
Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
В теории, наверное, это исключение позволяет размещать информацию, например, о совершенном преступлении, о некачественном оказании услуг и т.д. Но, во-первых, теперь уже разместившему придется доказывать Роскомнадзору или суду, что существует какой-то «общественный или публичный интерес», а во-вторых, вы что-нибудь поняли в формулировках этой статьи? Я, если честно, не очень.
Также стоит отметить, что закон носит явно выраженный экстерриториальный характер, то есть обращаться можно к любому оператору, и он обязан выполнить требование, если субъект ПД находится в российской юрисдикции. Если же не выполнит, то Роскомнадзор может «начать замедление».
Но, как известно, любой закон мертв без возможности к принудительному исполнению. Поэтому рассмотрим штрафы за его несоблюдение.
Новые правила работы с персональными данными
Как видно, забот владельцам интернет-ресурсов, которые допускают публичное отображение персональных данных, сильно прибавилось. Но нужно помнить — вы подпадаете под требования нового закона только в том случае, если у вас есть возможность публиковать персональные данные.
В принципе даже интернет-форумы могут этого избежать: можно исключить отображение личных данных без регистрации (а отображаемое имя пользователя явно обозначить как «интернет-псевдоним») или можно вообще отключить показ страниц с сообщениями без регистрации.
Последним вы сильно снизите посещаемость, но зато это не будет «распространением для неограниченного круга лиц».
Нам эти варианты не подходили, и мы пошли трудным путем.
Вот список работ, которые пришлось сделать:
-
Разработать форму согласия на публикацию персональных данных, в которой учтены требования Роскомнадзора (которые сами по себе еще не устоялись).
-
Разместить у себя отдельную форму согласия на публикацию и сделать так, чтобы пользователи имели возможность дать свое разрешение.
-
Обеспечить возможность управлять условиями и запретами на публикацию конкретных категорий ПД, возможность дальнейшего управления этими разрешениями, например, в личном кабинете.
-
Проработать процедуры на случай получения требования об отзыве согласия на публикацию ПД.
Теперь пользователь при регистрации должен проставить отдельную галочку согласия на публикацию ПД. Несовершеннолетние пользователи получают экземпляр согласия в PDF, который им нужно подписать у одного из родителей или опекунов и загрузить на сайт.
Итак, теперь любой человек может потребовать удалить любую его личную информацию, размещенную любым лицом на любом ресурсе сети интернет. Это может быть СМИ, интернет-форум, любая личная страничка в интернете. Причем сама процедура для заявителя очень упростилась: достаточно потребовать убрать ПД и подтвердить свою личность (что в будущем можно будет сделать через сайт Роскомнадзора). И все. Больше не нужны никакие разбирательства, судебные процессы, заявителю не надо что-либо доказывать.
Это дает в руки мощный инструмент борьбы с черным пиаром, дискредитацией, клеветническими кампаниями в интернете, травлей, распространением лжи и так далее. Мы на это редко обращаем внимание, но на самом деле попытки оболгать, испортить репутацию, оклеветать специалистов (врачей, юристов, архитекторов) и даже просто обычных людей из личной неприязни происходят постоянно.
Персональные данные – это данные, которые вы самостоятельно предоставили банку при подписании кредитного договора: фамилия, имя, отчество, данные паспорта, место регистрации, номера вашего рабочего и мобильного, телефонов, название и адрес организации в которой вы работаете, а также номера телефонов контактных лиц (родителей, соседей, начальника и т.д.).
Подписав в банке согласие на обработку этой информации, вы дали разрешение хранить и использовать эти данные, в том числе и с целью напоминания вам о возникшей просрочке платежа.
Банки включают в кредитные договоры условие о том, что они вправе передать всю имеющуюся у них информацию о вас третьим лицам. И передают. Коллекторам.
Прежде чем писать заявление на отзыв разрешения персональных данных, нужно понять кому его адресовать. Банку или коллекторам. То есть нужно понять, на какой стадии находится в настоящий момент взыскание долга с заемщика.
Алгоритм описанный нами выше, можно использовать только в том случае если вашим заемщиком остается банк. Если банк продал ваш долг коллекторам, действовать нужно иначе.
Звонки коллекторов поступающие в ваш адрес, еще не подтверждают факт продажи банком вашего долга.
Банк может заключить агентский договор с коллекторами и передать им по договору часть своих прав: телефонные и письменные уведомления должника о имеющейся просроченной задолженности, сбор информации о должнике и т.д. То есть сам долг не переходит в руки коллекторов. Они нанимаются кредитором в качестве представителей интересов банка и ограничены не только Законом, но и условиями договора.
Последствия отказа от обработки персональных данных
ЗВОНИТЕ прямо сейчас! Краткая консультация по телефону:
+7 (925) 143-82-86
+7 (926) 205-81-07
Стоимость: 30 мин. — 1,5 тыс.руб.
В ПАО «КоммерцБанк» адрес: 410010, г. Саратов, ул. Победы, 3 от Рудак Николая Владимировича, адрес: 410012, н. Саратов, пл. Рассветная, 23-18 тел. +7…
17 апреля 2022 г. Рудак Николай Владимирович предоставил ПАО «КоммерцБанк» свое согласие на обработку персональных данных сроком на 1 (один) год в целях получения рекламных акций и предложений о банковских услугах, которые предоставляются ПАО «КоммерцБанк» и т.п., в том числе на передачу персональных данных третьим лицам.
На основании части 2 статьи 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» заявляю об отзыве указанного выше согласия на обработку персональных данных.
Согласно ст. 21 Закона «О персональных данных» прошу прекратить все формы обработки моих персональных данных и обеспечить уничтожение указанных сведений не позднее 30 дней с момента получения Вами настоящего заявления.
11.05.2022 г. Рудак Рудак Н.В.
Поскольку согласие на обработку персональных данных лицо дает в письменном виде, то и отозвать свое согласие следует в письменном виде, т.е. написать заявление о том, что лицо отзывает свое согласие на обработку.
Указанное заявление пишется в свободной форме, желательно указать следующие данные в заявлении:
- наименование организации, которая является оператором, обрабатывающим ПД лица, и адрес ее местонахождения;
- ФИО заявителя, можно указать адрес и номер телефона по желанию. В данном случае следует учесть, какая информация о Вас имеется у организации, например, медорганизации в договорах иногда указывают только ФИО и телефон лица, т.е., отзывая свое согласия по поводу обработки ПД, незачем указывать иные ПД о себе;
- указать в заявлении, что Вы отзываете свое согласие на обработку ПД, а также по возможности сослаться на законодательство;
- в конце заявления поставьте дату, подпись и расшифровку подписи.
ВАЖНО: указанное заявление передайте под отметку на Вашем экземпляре оператору.
Отзыв согласие физлицом на обработку его персональных данных является основанием для прекращения оператором-организацией обработки такого лица, а также уничтожение всех данных лица в течение 30 дней, когда поступил соответствующий отзыв.
Если же уничтожить данные невозможно в течение 30 дней по каким-то причинам, то оператор должен заблокировать инфо, а затем произвести уничтожение в течение 6 месяцев.
НО: не стоит забывать, что, в определенных законом случаях, несмотря на то, что лицо отозвало свое согласие, обработка персональных данных оператором будет продолжаться без согласия лица.
Как можно заметить из вышеуказанной информации, отзыв согласия на обработку не всегда влечет за собой прекращение оператором обработки соответствующих данных лица.