Что делать, если вы не согласны на обработку ваших персональных данных?

Привет, Хабр!

Меня зовут Татьяна Никонорова, я работаю ведущим консультантом по ИБ и занимаюсь разработкой организационно-распорядительных документов. Проще говоря, перевожу со сложного юридического языка на понятный русский -))

Когда я говорю, что занимаюсь защитой персональных данных, один из самих частых вопросов ко мне звучит примерно так: «Как мне отказаться от обработки моих персональных данных?». Я решила рассмотреть данный вопрос не только с точки зрения требований законодательства, но и опираясь на свой практический опыт.

Надеюсь, в моей колонке вы найдете ответы на все свои вопросы. А если нет, давайте общаться в комментариях.

Что относится к Вашим персональным данным?

Согласно Федеральному Закону №152-ФЗ «О персональных данных» (далее 152-ФЗ) к персональным данным может быть отнесена любая информация, прямо или косвенно определяющая человека (субъекта персональных данных).

Персональные данные — это очень широкое понятие. 152-ФЗ, судебная практика, Роскомнадзор и другие ведомства признает разный перечень персональных данных. Например, все признают, что ФИО, паспортные данные относятся к персональным данным. А вот по номеру телефона возникают споры: Роскомнадзор считает, что не относится, поскольку можно изменить номер, купив новую симку. А суды и вынесенные ими решения говорят об обратном — в современном мире номер телефона тесно связан с субъектом персональных данных и в определенный момент времени по одному номеру телефона можно определить физическое лицо (прямо или косвенно).

Чтобы понять персональные данные это или просто информация, необходимо ответить на вопросы:

«Идентифицирует ли данная информация субъекта персональных данных?»

«Можно ли на основании данной информации выделить человека из группы людей?»

Нужно понимать, что не обязательно идентифицировать субъекта полностью, т.е. знать его ФИО, должность и место работы. Достаточно выделить его по характерным признакам из общности.

На основе практического опыта приведу перечень данных, которые относятся к персональным данным:

Персональные данные

Примечание

Фамилия, имя, отчество

Признается всеми

Фотографическое изображение

Признается всеми

Дата, место рождения

Признается всеми

Пол

Признается всеми

Сведения, содержащиеся в документах, удостоверяющих личность

Признается всеми

Адрес фактического проживания

Признается всеми

Адрес электронной почты

Признается всеми

Нужно понимать, что адрес может быть любой! Содержащий явное указание ФИО и места работы или просто leto321@mail.ru

Номер телефона

Не признается Роскомнадзором, но признается Минкомсвязи России и судебной практикой

Идентификационный номер налогоплательщика

Не признается Министерством финансов, но признается Роскомнадзором

Номер страхового свидетельства обязательного пенсионного страхования

Признается всеми

Сведения, содержащиеся в документах воинского учета

Признается всеми

Сведения, содержащиеся в документах об образовании, квалификации

Признается всеми

Место работы

Признается всеми

Сведения о занимаемой должности

Признается всеми

Сведения, содержащиеся в трудовом договоре

Признается всеми

Адрес выполнения трудовой функции

Признается всеми

Сведения о доходах, заработной плате

Признается всеми

Номера банковских счетов

Признается всеми

Сведения о наличии водительских прав (категория водительских прав, стаж вождения)

Признается всеми

Сведения об отнесении к категориям ветеранов

Признается всеми

Сведения о наличии ученой степени, ученого звания

Признается всеми

Сведения, содержащиеся в трудовом договоре

Признается всеми

Адрес выполнения трудовой функции

Признается всеми

Сведения о наличии (отсутствии) судимости

Признается всеми

Сведения о состоянии здоровья (листы о нетрудоспособности и др.)

Признается всеми

Файлы cookie и данные пользовательской аналитики

Например, собираемые посредством сервисов Яндекс.Метрика, Google Аналитика

Признается всеми

История заказов (даже в отсутствие его ФИО, поскольку такие как могут являться основой для профайлинга)

Признается всеми

Нужно помнить, что ваши персональные данные могут относится к биометрическим или персональным данным специальной категории, и требования к их обработке имеют особенности.

Что требуется для законной обработки персональных данных?

Для того, чтобы законно обрабатывать персональные данные оператор (организация, ИП, работодатель и т.д) должен иметь хотя бы одно из правовых оснований обработки, определённых в ч.1 ст.6 152-ФЗ:

  1. Согласие субъекта персональных данных.

  2. Исполнение договора, стороной которого является субъект персональных данных, а также для заключения такого договора.

  3. Достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством функций, полномочий и обязанностей.

  4. Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, в том числе исполнение судебного акта.

  5. Исполнение полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию на портале «Госуслуги».

  6. Защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.

  7. Осуществление прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

  8. Осуществление профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

  9. Осуществление статистических или иных исследовательских процессов при условии обязательного обезличивания персональных данных.

  10. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Таким образом только в одном из 10 случаев вы можете отказаться от обработки ваших персональных данных — при обработке на основании согласия на обработку. В других случаях требовать прекращения обработки данных можно при несоответствии или избыточности перечня данных по отношению к основанию обработки.

При этом согласие — самое частое основание для обработки персональных данных в России. Его собирают и работодатели, и компании, заключающие договора в интересах субъектов, для подстраховки. Согласно практике проверок Роскомнадзора, в России проще всего показать подписанное субъектом согласие, а не доказывать иные основания обработки. Российское законодательство, в отличии от европейского, не запрещает иметь несколько оснований обработки.

Что делать, если я не хочу давать согласие на обработку персональных данных?

Если в соответствии с 152-ФЗ предоставление персональных данных или получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить вам юридические последствия отказа дать ему персональные данные или согласие на их обработку. Ваш отказ может стать причиной не предоставлять вам услуги.

Но есть статья 16 Федерального Закона «О защите прав потребителей». По ней продавец (тот же оператор) не вправе отказывать потребителю (вам) в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные. За исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Так что получается вы не можете отказаться предоставить адрес проживания и номер телефона, если хотите заключить, например, договор доставки. Но имеете полное право отказаться от предоставления номера ИНН или фотографии, поскольку эти данные не требуются для исполнения договора.

Что я могу узнать об обработке своих персональных данных?

Согласно Федеральному Закону «О защите прав потребителей», вы имеете право требовать предоставление информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных. Продавец должен предоставить такую информацию в течение семи дней со дня предъявления указанного требования в письменной форме, а в устной форме такая информациядолжна быть предоставлена незамедлительно.

Положения 152-ФЗ гласят, что вы имеете право запросить у оператора (и получить ответ в срок не более 10 рабочих дней) информацию, связанную с обработкой ваших персональных данных, а именно:

  1. Подтверждение факта обработки

  2. Правовые основания и цели обработки

  3. Цели и применяемые оператором способы обработки

  4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона

  5. Обрабатываемые персональные данные, относящиеся к вам, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

  6. Сроки обработки, в том числе сроки хранения

  7. Порядок осуществления вами прав, предусмотренных 152-ФЗ

  8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных

  9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу

  10. Информацию о способах исполнения оператором обязанностей, установленных 152-ФЗ

  11. Иные сведения, предусмотренные 152-ФЗ или другими федеральными законами

Если после вашего запроса информации, связанной с обработкой ваших персональных данных, вы считаете, что оператор использует их незаконно (например, передает третьим лицам) и/или эти действия ущемляют ваши интересы, то вы можете:

  • уточнить свои персональные данные, направив верную на текущий момент информацию (оператор обязан обеспечить уточнение в течение семи рабочих дней со дня представления таких сведений, а до этого заблокировать такие данные);

  • отозвать согласие на обработку персональных данных с пометкой причины отзыва (неправомерной обработки — оператор обязан прекратить неправомерную обработку в срок, не превышающий трех рабочих дней с даты выявления).

Что делать, если я хочу отозвать согласие на обработку персональных данных?

Вы имеете право отозвать свое согласие на обработку персональных данных в любое время (п. 2 ст. 9 152-ФЗ). Вам не требуется даже указывать причину такого решения.

Достаточно направить в адрес оператора уведомление в письменной форме об отзыве согласия на обработку ваших персональных данных. Обычно в политике обработки персональных данных, которая должна быть на каждом сайте, или в согласии, которое вы подписывали, будет указан порядок отзыва согласия на обработку персональных данных. После получения отзыва оператор обязан прекратить обработку и уничтожить персональные данные не позднее чем через 30 дней (п. 5 ст. 21 152-ФЗ), если он не имеет иных оснований обработки ваших персональных данных. Если оператор не имеет возможности уничтожить персональные данные в этот срок, то он осуществить блокирование данных и обеспечить уничтожение в срок не более чем 6 месяцев.

Что делать, если обработка персональных данных проводится не на основании согласия, но я все равно хочу ее прекратить?

Рассмотрим несколько случаев.

Вы — клиент по договору и на основании договора (без отдельного согласия) уже передали оператору персональные данные в большем объеме, чем вам хотелось бы.

Вам необходимо детально изучить необходимые персональные данные для исполнения договора. Если на ваш взгляд, данных обрабатывается больше, чем требуется, написать обращение оператору о прекращении им обработки ненужных по отношению к исполнению договора персональных данных. Срок ответа на такое обращение не более 10 рабочих дней.

Вы соискатель или работник и ваши персональные данные обрабатываются исключительно на основании ТК РФ.

Без определенных персональных данных устроиться на работу не получится. Перечень документов определен ст. 65 ТК РФ. Однако работодатель не имеет право требовать от претендента на вакансию или работника предоставление персональных данных, превышающих необходимый объем (ч. 3 ст. 65 ТК РФ). Работник также имеет право полную информацию об их персональных данных и обработке этих данных (ст. 89 ТК РФ).

Если работодателю необходимы дополнительные данные, не связанные с трудоустройством, например, номер вашей банковской карты для зачисления туда заработной платы, то необходимо оформить согласие на обработку персональных данных для соответствующей цели. При расторжении трудового договора вы вправе написать заявление и отозвать согласие.

А вот данные, предоставленные при трудоустройстве, отозвать и удалить не получится. Они обрабатывались на основании ТК РФ, а значит продолжат обрабатываться и храниться в течение установленного времени. Потом их обработку продолжат в соответствии с требованиями законодательства в области архивного делопроизводства.

Вы не предоставляли свои данные, но их используют в рекламных или прочих целях.

Предположим, вам систематически названивают с предложением услуг или присылают персональные предложения на скидку. А может звонят коллекторы, чтобы заставить кого-то заплатить долг. Нужно уточнить, откуда получены ваши персональные данные.

Если данные получены от третьих лиц или из «открытых» источников, то вы можете подать жалобу в Роскомнадзор на незаконную обработку персональных данных, потому что право предоставлять ваши персональные данные имеете только вы или ваш законный представитель, оформленный соответствующим образом.  Например, для несовершеннолетних детей — родители; для всех — человек, действующий на основе доверенности с правом совершать действия от имени субъекта персональных данных.

В начале мая, как раз, появился законопроект, предусматривающий повышение административного штрафа за незаконную обработку персональных данных без согласия субъекта (в случаях, когда оно необходимо):

Что делать и куда обратиться, если обработка персональных данных не прекращается после моего запроса?

Вы всегда можете подать жалобу на незаконную обработку ваших персональных данных через электронную приемную Роскомнадзора: https://rkn.gov.ru/treatments/ask-question/   

Если вы пострадали в результате действий онлайн-преступников, можно обратиться за бесплатной юридической помощью в Центр правовой помощи гражданам в цифровой среде по телефону +7 (499) 550–80–03 или по электронной почте 4people@grfc.ru

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

  • в территориальный орган Роскомнадзора с жалобой на действия оператора;

  • в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение.

Выводы

  1. Определите, является ли информация вашими персональными данными.

  2. Читайте согласие на обработку персональных данных.

  3. При предоставлении персональных данных уточняйте правое основание и необходимость предоставления данных в предлагаемом объеме (возможно, его можно сократить!).

  4. В любое время можно уточнить информацию об обрабатываемых персональных данных.

  5. В любое время можно отозвать согласие на обработку персональных данных без указания причины.

  6. Прекратить обработку персональных данных необходимых в соответствии с требованиями законодательства или для исполнения заключенного договора нельзя, но можно прекратить обработку избыточных персональных данных, не требующихся для исполнения федерального законодательства или договора.

  7. Любые жалобы на действия с персональными данными можно направить в адрес Роскомнадзора.

© Habrahabr.ru