Как заставить компанию удалить мои персональные данные

Покажем образец отзыва персональных данных из банка и расскажем, как и зачем подавать такое заявление. Есть случаи, когда личными данными клиента могут воспользоваться даже после официального отзыва. Подробности — на Бробанк.ру

Как персональные данные попадают в пользование банка

Это случается при любом заключении договора, не обязательно кредитного. Это нужно компании для работы с клиентом, для получения права на его обслуживание. Если вы откажетесь от обработки персональных данных, то не сможете получить нужную услугу.

Вы передаете личные данные банку при:

• заключении любого кредитного договора;
• выдаче дебетовой, пенсионной, зарплатной карты;
• открытии вклада;
• открытии простого расчетного счета.

Здесь ситуация несколько двоякая. Любой договор предусматривает согласие клиента на обработку персональных данных. Даже если вы заказываете услугу онлайн, то после формирования анкеты нужно поставить галочку в поле согласия. Вроде как это добровольное действие клиента, но без его выполнения услуга не будет оказана.

Как банки используют персональные данные клиентов

Первостепенная задача — использование их при оказании услуги. Например, если речь о кредите. Эта информация будет нужна банку в случае просрочки, чтобы передать дело коллекторам или использовать собственные силы для организации процесса взыскания.

Другой момент — реклама. Имея огромную базу персональных данных, финансовая организация получает перечень потенциальных клиентов. Им регулярно шлют информацию о предоставлении персональных кредитов, кредитных карт, просто рекламируют услуги. И хотя это может раздражать, периодически встречаются действительно дельные предложения.

По закону банки не имеют права передать собранные сведения третьим лицам, но проколы случаются. Регулярно появляются новости о том, что в какой-то организации случилась утечка. Виной тому хакеры или сотрудники, которые, пользуясь служебным положением, преступным путем продают данные.

Понятно, что эти сведения мошенники используют для личного обогащения. Например, в последние годы они активно атакуют клиентов Сбербанка, представляясь его службой безопасности. Таким образом они выуживают у граждан сведения, которые помогают им красть деньги со счетов.

Можно ли подать заявление в банк на отзыв персональных данных

Есть закон о персональных данных, которые регулирует все, что связано с этим вопросом. Это ФЗ-152. Статья 9 разъясняет вопросы, связанные с согласием субъекта на сбор и хранение сведений о нем. Здесь же говорится и о его праве отозвать предоставленное ранее согласие.

Если вы придете в банк, чтобы оформить отказ от использования персональных данных, то ссылаться нужно на ФЗ-152 ст 9. Ее второй пункт как раз и гласит о том, что человек может отозвать свои персональные данные. Причем нет указаний ни по срокам, ни по иным условиям. Выполнить это действие можно в любой момент.

Это касается не только банковских клиентов. Сбором информации и их хранением занимаются мобильные операторы, магазины (выдают карты лояльности) и пр.

Как удалить персональные данные из банка

Требуется личное обращение в финансовую организацию и написание соответствующего заявления. Отказать в этом праве банкиры не могут, поэтому принимают запросы без проблем и выполняют просьбу клиента.

Как отозвать личные данные из банка:

1. Посетить офис финансовой организации и выразить свое намерение отозвать данные. Если заявление вы составляли самостоятельно, оно должно быть в двух экземплярах (бланк и образец отзыва обработки персональных данных из банка — ниже).
2. Вас спросят, как вы желаете получить информацию о результате. Можно выбрать отделение банка, почтовую или электронную рассылку.
3. По итогу обработки заявителю сообщают, что его данные отозваны, больше банк их использовать не может.

Самостоятельно составлять заявление не обязательно, так как в банке в любом случае предоставят готовый бланк. А чаще заявление формирует менеджер и просто дает его на подписание клиенту. Но на всякий случай оставляем образец.

Образец отзыва согласия на обработку персональных данных →

Нужны именно два бланка. Один остается у банка для рассмотрения и выполнения требования, другой с отметками финансовой организации — у клиента. Его нужно хранить до момента выполнения банком действия и получения сообщения об этом.

Персональные данные убираются из банка в течение 30 дней после подачи заявления.

Исчезнут ли сведения полностью

Если клиенту просто надоела рекламная рассылка и бесконечные звонки с предложением взять кредит, это подействует. Некоторые банки действительно злоупотребляют спамом, шлют персональные предложения по СМС буквально каждый день. Это действует на нервы. Такая рассылка и обзвон должны прекратиться.

Но закон указывает, что полностью сведения из базы данных не исчезают. Есть основания для продолжения хранения, сбора и распространения данных:

• если договорные отношения с кредитором не прекращены. Например, есть действующий кредит, кредитная или дебетовая карта, вклад и пр;
• если лицо является участником судебных разбирательств;
• обработка необходима для защиты жизни и здоровья гражданина;
• информация может потребоваться для оказания медицинских услуг, установления диагноза, личности;
• сведения потребуются в случае соблюдения законов о безопасности, противодействию терроризма, уголовного и исполнительного законодательства.

Подробное описание всех пунктов — в ст 10 части 2 ФЗ-152. Если вдруг информация понадобится для этих целей, она будет предоставлена финансовой организацией ведомству, которое ее запросило. То есть бесследно данные не исчезают.

Что делать, если заявление не подействовало

На практике банки стремятся соблюдать действующее законодательство. Им важна собственная репутация, и не нужны проблемы с Центральным Банком. Но если вдруг спустя 30 дней после подачи заявления вы не получили уведомление о положительном результате, или вас продолжают заваливать рекламой, нужно обращаться в вышестоящие инстанции.

Куда обращаться:

• направить жалобу в интернет-приемную Центрального Банка;
• обратиться в прокуратуру, так как действие банка нарушает действие законодательства.

К сожалению, если произошла утечка данных, вас донимают спамеры и мошенники, ничего с этим не поделать. Единственный выход из ситуации — блокировать входящие номера, помечая их как спам. В итоге телефон просто не будет в следующий раз принимать эти звонки.

Поможет ли отзыв избавиться от коллекторов

Некоторые должники, совершившие просрочку, желают написать отзыв персональных данных, чтобы прекратить действий коллекторов и службы взыскания. Они хотят отозвать персональные данные из банка и прекратить натиск. Но не все так просто.

Так как кредитный договор действующий, отзыв персональных данных по закону будет невозможным. В этом случае нужно действовать несколько иначе — нужно составлять отказ от взаимодействия с коллекторами. Это можно сделать спустя 4 месяца после фиксирования просрочки. После написания банк коллекторы не будут правомочны общаться с должником. Подробная информация в материале — как отшить коллекторов.

Источник информации:

1. Consultant.ru: ФЗ 152 О персональных данных.

Комментарии: 37

С 1 марта 2023 года для организаций и ИП изменился порядок уничтожения персональных данных. Рассказываем, кто и когда обязан уничтожать персональные данные, как это делать и как правильно подтвердить факт уничтожения.

Когда компании должны уничтожать персональные данные

С 1 марта для организаций и ИП, обрабатывающих персональные данные физлиц, в том числе и для работодателей, был изменен порядок уничтожения персональных данных. Теперь компании должны подтверждать факт уничтожения таких данных в целях пресечения их незаконной обработки. Ранее никаких требований к документальному оформлению факта уничтожения персональных данных законодательством установлено не было. 

Обязанность по уничтожению персональных данных возникает в следующих случаях (ч.ч. 3−5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• при необоснованном получении персональных данных (например, получение персданных физлица без его согласия);
• при неправомерной обработке персональных данных (незаконная передача персданных третьим лицам, необеспечение сохранности данных и т.д.);
• при достижении целей обработки персональных данных (например, при истечении срока действия ранее исполненного договора);
• при отзыве субъектом персональных данных согласия на обработку его персональных данных.

В первых двух случаях компания обязана незамедлительно прекратить неправомерную обработку персональных данных и обеспечить правомерность обработки персональных данных. Если обеспечить законность обработки не удается, компания должна уничтожить имеющиеся в ее распоряжении персональные сведения, которые обрабатываются с нарушением установленных законодательством требований. 

Также уничтожению подлежат персональные данные, цель обработки которых была достигнута, и данные, согласие на обработку которых было отозвано. В этих случаях обеспечивать правомерность обработки персональных данных не требуется – данные попросту уничтожаются.

Как уничтожать персональные данные

Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Конкретный порядок уничтожения персональных данных законодательством не установлен. Данный порядок компания вправе определить самостоятельно, прописав его в отдельном локальном нормативном акте. В таком акте можно определить ситуации, когда требуется уничтожение персональных данных, а также способ их уничтожения.

В любом случае уничтожение должно предполагать, что персональные данные станут непригодными для дальнейшего использования, обработки и передачи – цифровые носители будут зачищены, а материальные носители – безвозвратно уничтожены.

Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководства компании. Этим приказом формируется комиссия из числа работников компании, в состав которой входит должностное лицо, ответственное за обработку персональных данных. Комиссия определяет перечень персональных сведений, подлежащих уничтожению. После этого комиссия приступает непосредственно к самому уничтожению данных.

Способ уничтожения персональных сведений компания выбирает самостоятельно. Если данные хранятся на бумажных носителях, эти носители могут быть, к примеру, сожжены, разорваны или измельчены через шредер до такой степени, чтобы их нельзя было восстановить.

Если информация хранится на машиночитаемых носителях (жестких дисках, флешках) или в информационной системе, она может быть уничтожена как путем физического уничтожения самого носителя, так и путем удаления информации из системы, форматирования диска или записи на него новой информации. И в том и в другом случае восстановление ранее содержащихся на носителе или в информационной системе сведений должно полностью исключаться.

После уничтожения компания должна документально оформить уничтожение персональных данных для целей возможного подтверждения данного факта в суде, в правоохранительных или контролирующих органах.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

• наименование организации или ФИО предпринимателя и их адрес местонахождения;
• ФИО лиц, чьи персональные данные были уничтожены;
• ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
• способ уничтожения персональных данных;
• причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

• ФИО лиц, чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• причину уничтожения персональных данных и дату их уничтожения.

Если выгрузка из журнала не позволяет указать все эти сведения, то недостающие сведения нужно указать в акте об уничтожении. Акт об уничтожении и выгрузка подлежат хранению в течение 3 лет с момента уничтожения персональных данных. 

Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Теперь персональные данные должны удалять отовсюду по первому требованию, но есть побочка

Речь идет о поправках к закону о персональных данных, что вступили в силу в марте. Теперь любые персональные данные обязаны убрать откуда угодно по первому требованию их владельца. Причем владельцу не надо ничего никому доказывать и объяснять.

Ситуация одновременно и правильная, и проблемная. Причем проблемы появятся (по факту уже появились) у всех владельцев сайтов, интернет-площадок и СМИ, кто так или иначе взаимодействует с пользователями. 

Что касается нововведений, я попытался разложить все по полочкам. А еще собрал в отдельный список то, что придется поменять и добавить владельцам сайтов.

С чего началось

Бесконтрольный сбор персональных данных кем ни попадя, торговля ими, попытки манипулировать людьми, рынками и общественным мнением на основе анализа этих данных, черный пиар, клевета, публичные оскорбления, травля, создание «волн ненависти» и многое другое — все эти вещи заставили задуматься о дополнительных мерах. 

Поворотным пунктом стало принятие регламента GDPR в Евросоюзе в 2018 году взамен рамочной Директивы о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Однако аналогичные шаги предпринимают много где. В России с 2006 года действует Закон от 27.07.2006 № 152-ФЗ «О персональных данных» с последующими изменениями и дополнениями. Под занавес 2020 года, 30 декабря, президентом был подписан Закон № 519-ФЗ, вносящий в предыдущий документ довольно серьезные изменения. Он вступил в силу с 1 марта 2021 года, то есть эти поправки уже действуют, и все должны им следовать.

О чем речь

У нас есть персональные данные (ст. 3 п. 1 Закона №152-ФЗ от 27.07.2006):

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

субъект персональных данных (определение не дано, выводится косвенно):

субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.       

И оператор персональных данных (ст. 3 п. 2):

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.

К персональным данным относится любая информация, которая позволяет прямо или косвенно идентифицировать конкретного человека. А в понятие операторов включены даже физические лица, то есть лично вы становитесь оператором персональных данных, получив от человека его имя и номер телефона. Так что каждый из нас ежедневно оказывается с обеих сторон баррикад.

Теперь должны удалять по первому требованию

Закон № 519-ФЗ создает отдельное регулирование для ситуации, когда персональные данные (ПД) становятся доступны «для неограниченного круга лиц». 

Что такое неограниченный круг лиц? Это когда увидеть их может любой случайный человек — что на улице, что в интернете. Если для того, чтобы увидеть ПД, нужно ввести имя пользователя и пароль (или пройти другие процедуры идентификации) — это уже не будет считаться неограниченным кругом лиц. Например, закрытые страницы ВКонтакте, которые можно увидеть, только выполнив вход, не должны считаться доступными для неограниченного круга лиц. 

Итак, новый закон вводит следующее:  

1. Любое распространение ПД оператором или предоставление доступа к ним для неограниченного круга лиц возможно только с согласия субъекта ПД. Причем это согласие он обязательно должен выразить в активной форме, то есть высказать его, составить письменный документ или произвести какие-либо действия. Согласие «по умолчанию» не допускается. Нельзя сказать: «ну, мы подразумевали, что раз человек произнес свое имя на камеру, то он согласен на его публикацию». Поэтому мы у себя в Leader-ID посчитали, что даже проставленная по умолчанию галочка в поле «я даю согласие на…» — уже, скорее всего, нарушение.

2. Закон позволяет в самом согласии указать, какие категории ПД можно опубликовать, а какие нельзя. Например, субъект ПД может указать, что фамилию и имя публиковать можно, а мобильный телефон или адрес — нельзя. Это называется «персональные данные, разрешенные субъектом персональных данных для распространения».

3. Оператор обязан обеспечить возможность субъекту ПД при предоставлении согласия также установить условия или запреты для публичного распространения конкретных категорий ПД.

4. Оператор обязан довести информацию из согласия (какую именно информацию и как публиковать, что можно или нельзя делать, если субъект ПД указал специфические особенности ее обработки) до сведения пользователей этих ПД (ст. 10.1 п. 11).

5. Субъект ПД может в любое время отозвать согласие на публикацию своих ПД.В этом случае он направляет требование с указанием фамилии, имени, отчества, контактной информации (телефон, email или почтовый адрес) и перечня данных, которые больше нельзя обрабатывать и публиковать. Оператор (а точнее, в законе сказано «любое лицо», то есть кто угодно, кто их опубликовал) обязан в течение трех дней с момента получения требования или аналогичного по смыслу судебного решения прекратить любое распространение и любой доступ к таким ПД. 

Причем тут Роскомнадзор

Закон № 519-ФЗ предусматривает три основных направления работы Роскомнадзора:

1. Издать ведомственный акт относительно формы согласия на публикацию с указанием обязательных реквизитов документа (данных, которые там должны быть) и описанием примерной формы документа. Проект такого приказа есть, но он не подписан. То есть к моменту вступления закона в силу подзаконный акт не готов.

   UPD: 21 апреля 2021 года Роскомнадзор подписал и зарегистрировал приказ № 63204: «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Приказ вступит в силу с 1 сентября 2021 года и будет действовать шесть лет.

2. К 1 июля создать систему управления согласиями. Уже есть опубликованный для общественного обсуждения проект. Согласно ему должен быть создан реестр субъектов ПД, который позволяет идентифицировать стороны с помощью ЕСИА (Единой системы идентификации и аутентификации). Помимо идентификации сторон отношений, в ней должен быть реестр согласий с возможностью изменить и отозвать согласие (в этом случае оператору направляется уведомление). Но проект написан таким языком, что сложно понять, как система будет работать и что конкретно в ней будет.

3. Проверять соблюдение законодательства о персональных данных — как по заявлениям, так и по собственной инициативе.

Несанкционированное распространение: верблюдом может стать каждый

Самая интересная часть нового закона — нормы о несанкционированном распространении ПД в адрес неограниченного круга лиц. Это п. 2 и 3 ст. 10.1 Закона № 519-ФЗ. Переформулируем их для понятности. 

1. Если специальное согласие не оформлено, то каждый, кто распространил эти ПД (не первый оператор ПД, а вообще все, кто разместил их в открытом доступе!), обязан доказывать законность такого распространения, обработки, предоставления доступа и т.д.

2. Если эти ПД стали достоянием неограниченного круга лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы (речь, скорее всего, идет о «сливах», то есть взломе компьютерных систем или ином попадании данных в открытый доступ без разрешения), то и в этом случае каждое лицо, разместившее ПД в открытом доступе либо иным образом опубликовавшее их, должно отдельно доказывать законность своих действий. 

Судя по всему, в обоих случаях публикация или перепубликация персональных данных без разрешения их владельца будет правонарушением. Причем исходя из буквы закона речь может идти даже о таких ситуациях, как перепечатка статьи из СМИ с указанием фамилии и имени (например, размещение у себя на странице в соцсети) или, например, размещение у себя афиши концерта или спектакля с указанием имен выступающих артистов.

В сопроводительной записке к законопроекту депутаты Госдумы указали, что теперь субъект ПД имеет право обратиться к любому оператору ПД с требованием удалить его данные из общего доступа без необходимости доказывания факта их неправомерной обработки.  

То есть бремя доказывания перекладывается с лица, требующего удалить данные, на того, кто их публикует (открывает доступ). Это серьезнейшим образом меняет баланс сил в случае спора сторон. 

Получаем три радикальных новшества

Во-первых, теперь субъект ПД может напрямую обращаться к любому лицу, опубликовавшему ПД и требовать их убрать. Ему не нужно ничего доказывать, ничего объяснять — самого факта размещения ПД достаточно.

Во-вторых, законность размещения теперь должен доказывать разместивший, причем изначально он находится в крайне невыгодной ситуации, потому что у него должно быть формальное разрешение на публикацию от самого субъекта.

В-третьих, обращаться можно напрямую к любому опубликовавшему, то есть не нужно искать источник распространения, разбираться с ним, а потом бороться с репостами. Достаточно самого факта, что это ПД определенного субъекта. Так можно очень быстро заставить убрать любые опубликованные ПД отовсюду или выбрать, где их можно оставить, а откуда убрать (например, если согласие на публикацию дали одному СМИ, то остальных, видимо, можно заставить убрать ПД из перепечаток). Причем даже если согласие на распространение было дано, его легко можно отозвать. 

Борьба с черным пиаром

Есть известная схема распространения неподтвержденной негативной информации, которую очень часто применяют для черного пиара: публикуют ПД в любом анонимном источнике, соцсети, телеграм-канале — а дальше начинается их перепубликация со ссылкой на этот источник. Потом первую публикацию (а иногда и учетную запись или вообще сайт целиком) удаляют, и получается, что претензии предъявлять вроде некому, а публикации остаются. И чтобы убрать их, придется в каждом случае доказывать нарушение прав — что долго, сложно и дорого. Теперь субъект ПД может почти мгновенно удалять любые свои персональные данные из интернета, ему не надо доказывать вообще ничего, кроме того, что это его ПД.

Оговорка для СМИ, или когда вокруг загорелось

Формально в п. 11 ст. 10.1 содержится исключение: 

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

В теории, наверное, это исключение позволяет размещать информацию, например, о совершенном преступлении, о некачественном оказании услуг и т.д. Но, во-первых, теперь уже разместившему придется доказывать Роскомнадзору или суду, что существует какой-то «общественный или публичный интерес», а во-вторых, вы что-нибудь поняли в формулировках этой статьи? Я, если честно, не очень.

Также стоит отметить, что закон носит явно выраженный экстерриториальный характер, то есть обращаться можно к любому оператору, и он обязан выполнить требование, если субъект ПД находится в российской юрисдикции. Если же не выполнит, то Роскомнадзор может «начать замедление». 

Но, как известно, любой закон мертв без возможности к принудительному исполнению. Поэтому рассмотрим штрафы за его несоблюдение.

Ответственность и штрафы

Ответственность регламентируется ст. 13.11 КоАП РФ. 24 февраля 2021 года был принят Закон № 19-ФЗ с поправками в КоАП РФ, явно разработанный под новый Закон № 519-ФЗ, который коренным образом изменил положения статьи. Например, в общем случае штрафы за обработку ПД без разрешения или с нарушением закона выглядят так:

*ИП в ч. 1 не упомянуты. Как считать первый штраф — непонятно. Зачастую (в том числе в других частях этой статьи) ИП приравниваются к юрлицам, но тогда получается, что первый штраф будет больше повторного, что нелогично. 

Вот несколько других штрафов, чтобы понять масштаб возможной ответственности.

Пункт 2: применяется, когда речь идет только о неполучении согласия (в скобках — за повторное нарушение):

• Граждане — 6–10 (10–20) тыс. руб.

• Должностные лица — 20–40 (40–100) тыс. руб.

• Юридические лица — 30–150 (300–500) тыс. руб.

Пункт 5: невыполнение требования о коррекции или удалении данных (в скобках — за повторное нарушение):

• Граждане — 2–4 (20–30) тыс. руб.

• Должностные лица — 8–20 (30–50) тыс. руб.

• ИП — 20–40 (50–100) тыс. руб.

• Юридические лица — 50–90 (300–500) тыс. руб.

Пункт 8: необеспечение обработки, хранения, записи или систематизации ПД на территории РФ (привет, LinkedIn; в скобках — за повторное нарушение, ИП приравнены к юрлицам):

• Граждане — 30–50 (50–100) тыс. руб.

• Должностные лица — 100–200 (500–800) тыс. руб.

• Юридические лица — 1000–6000 (6000–18 000) тыс. руб.

В общем, все довольно сурово.

Что нужно сделать операторам персональных данных

Как видно, забот владельцам интернет-ресурсов, которые допускают публичное отображение персональных данных, сильно прибавилось. Но нужно помнить — вы подпадаете под требования нового закона только в том случае, если у вас есть возможность публиковать персональные данные. 

В принципе даже интернет-форумы могут этого избежать: можно исключить отображение личных данных без регистрации (а отображаемое имя пользователя явно обозначить как «интернет-псевдоним») или можно вообще отключить показ страниц с сообщениями без регистрации.

Последним вы сильно снизите посещаемость, но зато это не будет «распространением для неограниченного круга лиц». 

Нам эти варианты не подходили, и мы пошли трудным путем. 

Вот список работ, которые пришлось сделать:

1. Разработать форму согласия на публикацию персональных данных, в которой учтены требования Роскомнадзора (которые сами по себе еще не устоялись).

2. Разместить у себя отдельную форму согласия на публикацию и сделать так, чтобы пользователи имели возможность дать свое разрешение. 

3. Обеспечить возможность управлять условиями и запретами на публикацию конкретных категорий ПД, возможность дальнейшего управления этими разрешениями, например, в личном кабинете.

4. Проработать процедуры на случай получения требования об отзыве согласия на публикацию ПД.

Теперь пользователь при регистрации должен проставить отдельную галочку согласия на публикацию ПД. Несовершеннолетние пользователи получают экземпляр согласия в PDF, который им нужно подписать у одного из родителей или опекунов и загрузить на сайт. 

У старых пользователей появлялось всплывающее окно, предлагающее согласиться на публикацию ПД в рамках нашего сайта.

Разумеется, у пользователей есть возможность отказаться от публикации любых категорий ПД, в этом случае эти ПД больше нельзя будет показывать на открытой части сайта.

В большинстве случаев это не страшно, просто профиль будет содержать меньше информации. В некоторых случаях больше нельзя будет воспользоваться какими-то возможностями, а если запретить публикацию ключевых данных, например, фамилии, имени и отчества, то функциональность пострадает довольно сильно.

Например, без такого согласия не получится указать данные спикера в анонсе конференции или иного мероприятия.

Ну и нужно контролировать обратную связь на случай, если кто-то будет присылать требование об отзыве согласия. В нашем случае мы оговорили этот момент в тексте согласия, оставив один вариант — письмом на электронную почту. 

Как мне видится, наибольшая нагрузка ляжет на соцсети — как с точки зрения управления сбором и контролем данных, так и касательно требований об удалении. Пока некоторые из них пошли «путем Яндекса», то есть включили в соглашение об использовании ПД новую норму, что они являются информационным посредником и всего лишь передают дальше те ПД, которые пользователь уже решил через них опубликовать. Причем они даже не проверяют, правильные ли это ПД и ПД ли вообще (например, может быть псевдоним). 

Сейчас такая стратегия требует меньше всего усилий, но в будущем может принести много проблем. Напомним, Яндекс занял аналогичную позицию в делах о такси — что компания является всего лишь информационным посредником и «сводит» между собой стороны, а уж что между ними происходит дальше, не ее проблема. В последнее время суды все чаще признают Яндекс не посредником, а именно организатором перевозок, несущим ответственность за их результаты — в том числе ущерб от ДТП и ущерб здоровью. Возможно, в аналогичный капкан могут попасть и эти соцсети. 

Абстрактные плюсы

Итак, теперь любой человек может потребовать удалить любую его личную информацию, размещенную любым лицом на любом ресурсе сети интернет. Это может быть СМИ, интернет-форум, любая личная страничка в интернете. Причем сама процедура для заявителя очень упростилась: достаточно потребовать убрать ПД и подтвердить свою личность (что в будущем можно будет сделать через сайт Роскомнадзора). И все. Больше не нужны никакие разбирательства, судебные процессы, заявителю не надо что-либо доказывать. 

Это дает в руки мощный инструмент борьбы с черным пиаром, дискредитацией, клеветническими кампаниями в интернете, травлей, распространением лжи и так далее. Мы на это редко обращаем внимание, но на самом деле попытки оболгать, испортить репутацию, оклеветать специалистов (врачей, юристов, архитекторов) и даже просто обычных людей из личной неприязни происходят постоянно.

Реальные минусы

Новые требования существенно усложняют работу с ПД, увеличивая документооборот, а также создают неопределенность, ведь в будущем согласие может быть отозвано, и придется тратить дополнительные усилия на выполнение этого требования. 

К тому же складывается впечатление, что закон писался исключительно под интернет и его механизмы (разумеется, с использованием передового зарубежного опыта), и разработчики совершенно не учли особенности других средств коммуникации и СМИ, таких как телевидение или бумажная пресса. Объем бумажек вырастет серьезно, причем в некоторых случаях вообще непонятно, как быть. Например, что делать, если интервью уже опубликовали в бумажном издании, и тут субъект ПД вдруг решил отозвать согласие на публикацию своего имени? Изымать и уничтожать весь тираж?

Еще может возникнуть очень много проблем в сферах, о которых вообще никто никогда не задумывался. Например, нужно ли получать согласие всех музыкантов, участвующих в концерте, чьи имена перечислены в программке? А если вы выкладываете на YouTube ролик, где написано «монтаж — Иван Иванов», то теперь нужно лично брать согласие у Ивана Иванова? Получается, что реклама исполнителя превращается в довольно бумагозатратное мероприятие. А что делать, если через год вы поругались с Иваном Ивановым, и он из мести отозвал согласие, а у вас на канале выпущено 200 роликов, где вы говорите в произвольном месте: «Спасибо Ване Иванову за монтаж»? 

А если в холле школы повесили красивый транспарант «Поздравляем Машу Иванову с победой в шахматном конкурсе», но не взяли у папы Маши отдельное письменное согласие на это, хранящееся в личном деле, — то будет штраф? А вывешенный на дверях школы список участников поездки (экзаменационных групп, кружков и т.д.) — как быть с ним? Таких ситуаций возникнет миллион, и следующие несколько лет государство будет переваривать последствия нового закона.

Наконец, есть еще один непонятный момент — фактически первыми, кто воспользуется этим законом, будут «инфоцыгане», действующие на грани закона мошенники, неквалифицированные специалисты (например, врачи, к работе которых есть нарекания). Закон дает им мощный инструмент борьбы с негативными отзывами и фактически делает их неуязвимыми для сарафанного радио. Причем теперь они могут бомбардировать весь интернет требованиями убрать негативную информацию о них. И лицам, операторам сайтов и соцсетей, уже распространившим информацию о них, придется доказывать, что в деле есть «общественный интерес». Между прочим, кейсов, связанных с негативными отзывами, в том числе на нерадивых врачей, было немало, и теперь они получили в руки средство цензуры.

В наше неспокойное время, подписывая те или иные договоры, например, финансовые, граждане практически всегда сталкиваются с идущим «довеском» к основным документам «согласием на обработку персональных данных». В своей статье мы расскажем, какие же именно сведения относятся к персональным данным, и в каких случаях можно отозвать уже выданное разрешение на их обработку.

В ряде случаев без подписания документа — соглашения клиента на предоставление персональных данных и их последующую обработку — контрагент отказывается заключать сделку. Еще хуже обстоят дела, когда та или иная услуга оказывается онлайн. Ведь без согласия на обработку данных человеку попросту не дают доступ к услуге, не давая перейти на следующую страницу портала.

Персональные данные предоставляются и при заключении трудового договора при приеме на работу, и при заключении договора с сотовым оператором. Да и куда ни глянь — свои данные надо предоставлять в нашем цифровом мире практически уже везде, заполняя анкеты на иногда весьма сомнительных, с точки зрения хранения тайн, сайтах.

Какие данные относятся к персональным?

О том, какие данные могут считаться персональными (личными), а также кто и каким образом может с ними работать, прописано в специальном, достаточно новом федеральном законе от 27.07.2006 № 152-ФЗ. Он так и называется — «О персональных данных». В законе имеется статья 3, которая гласит, что такими данными считаются сведения, которые прямо или косвенно принадлежат «определенному или определяемому физическому лицу (субъекту персональных данных)».

В частности, к персональным данным относятся:

• Фамилия, имя, отчество субъекта;
• адрес проживания или регистрации;
• паспортные данные;
• сведения о месте рождения;
• номер загранпаспорта;
• номер страхового свидетельства в Пенсионном фонде (СНИЛС);
• сведения о семейном или социальном положении;
• другие данные, по которым можно идентифицировать гражданина.

Надо отметить, что исчерпывающего, однозначно трактуемого как «самый полный перечень», списка сведений, которые могут быть отнесены к личным данным, в законодательстве не прописано. Поэтому в каждом отдельном случае необходимо устанавливать — достаточно ли имеющейся информации, чтобы по ней точно установить личность человека или все же недостаточно.

Например, если о человеке известно только то, что он родился в таком-то году в таком-то городе, это не будет считаться персональными данными. А вот те же сведения, но в сочетании с ФИО — однозначно будут.

Отдельно следует отметить, что компании или организации, которые при оформлении отношений с гражданином требуют у него согласие на обработку данных, называются в законе «операторами».

Где требуется предоставить персональные данные?

Согласие на обработку персональных данных может потребоваться в самых разных организациях и при самых разных обстоятельствах. Практически все финансовые операции сейчас происходят только при наличии между клиентом и финкомпанией такого соглашения. Разумеется, согласие подписывается не перед каждой операцией, а при заключении договора об обслуживании.

Запрашивает личные данные и работодатель у будущего работника. Более того, запрашивать он может (и регулярно это делает) не только сведения о самом работнике, но и о членах его семьи. Однако в данном случае гражданин может отказаться предоставлять сведения о родственниках. В этой ситуации в его анкете останутся незаполненные графы, но никаких препятствий при трудоустройстве это причинять не должно. Права по этой причине отказать в приеме на работу у компании-работодателя нет.

Когда можно отозвать согласие на обработку данных?

В любое время. Так написано в законодательстве. Например, в банк можно обратиться при расторжении или исполнении договора: закрытия в нем счетов или погашения имевшегося кредита. Зачем отзывать, если отношения и так завершены? Для того, чтобы кредитная организация не донимала в дальнейшем бывшего клиента рекламными предложениями.

Но помните — отозвать свои данные из банка можно только тогда, когда у вас закончились с ним все отношения, и вы ему больше ни копейки не должны.

Менее очевидным видится отзыв персональных данных у работодателя после увольнения. Если трудовые отношения между сторонами прекращены, то у работодателя не остается необходимости работать с этими данными. Они списываются в архив и хранятся там. Срок хранения — три года. Но самое главное, что хранятся они там в течение тех же трех лет, даже если гражданин отзовет свое согласие на их обработку. Работать с ними в этом случае нельзя, но и уничтожить тоже.

Отозвать согласие можно при переводе ребенка в другое учебное заведение или после завершения его учебы. Также личные данные имеются у сотовых операторов. И при смене такового можно также потребовать назад свое разрешение на работу с ними.

Подавать заявление на отзыв согласия необходимо в организацию-оператор. Сделать это можно в письменном виде или по электронной почте. Лучше всего такое заявление подавать тем же путем, каким вы давали и свое согласие на обработку персональных данных.

Если согласие давалось в электронном виде, то и отзывайте его по электронным каналам общения. Или, например, если вы пытаетесь отозвать свои данные из банка и вам не лень до него прогуляться, то можете и зайти в отделение с листом бумаги формата А4 и шариковой ручкой.

Кто может отозвать персональные данные

По закону отозвать свое согласие на обработку персональных данных может любой человек, который такое согласие дал. Но сделать это он может только сам. Третьи лица — родственники, друзья, представители и т.д. обращаться к оператору с требованием прекратить пользоваться личными сведениями права не имеют.

Как правильно оформить требование на отзыв

Единого шаблона для оформления отзыва не существует. На сайте Роскомнадзора имеется бланк универсального заявления, его форму можно использовать как образец, внеся необходимые реквизиты и сведения. Но можно напечатать заявление самостоятельно или даже написать его от руки. Главное, чтобы в нем содержались необходимые сведения.

Вот перечень того, что должно быть указано в заявлении:

• официальное наименование оператора (если это организация) или ФИО (если он частное лицо);
• адрес оператора;
• ФИО, реквизиты паспорта, адрес субъекта персональных данных (то есть самого заявителя);
• содержательная часть заявления. То есть в ней должно быть изложено требование прекратить дальнейшую обработку данных и отзыв ранее выданного согласия;
• дата;
• подпись и ее расшифровка.

Заявитель может подробно расписать причину, по которой он хочет отозвать свое согласие, а может ограничиться простой фразой «в связи с их неправомерным использованием».

Куда подавать заявление?

Как уже было сказано, заявление может быть направлено организации-оператору тремя способами: бумажное заявление, составленное в двух экземплярах можно отнести непосредственно в экспедицию (место, где принимают корреспонденцию), заказным письмом с уведомлением или по электронной почте, если это допускается функционалом страницы оператора. Обычно сейчас свои официальные электронные адреса есть у всех организаций.

Отдельно стоит коротко остановиться на таком аспекте работы с персональными данными, как их отзыв у коллекторов — профессиональных взыскателей долгов. Дело в том, что коллекторы могут работать с персональными данными, не запрашивая на это согласия должника. Это допускается нормами закона № 152-ФЗ. Коллекторы приобретают базу персональных данных заемщиков у банков или МФО вместе с портфелем кредитов (займов) по договору переуступки прав требования (цессии).

Тем не менее, отзыв согласия на обработку персональных данных возможен и в данной ситуации, причем тем же самым способом — письменным. После отзыва согласия коллекторы не будут иметь возможности активно работать с данными должника (звонить ему по имеющимся номерам, писать по имеющимся электронным адресам, слать смс-сообщения).

В этом случае отзыв персональных данных называется несколько иначе — отказ от взаимодействия. После подачи отказа от взаимодействия с коллекторами они имеют право общаться с должником обычными бумажными письмами через Почту России.

Однако следует помнить, что сам долг от этого никуда не денется. И коллекторы останутся при своем праве подать на вас в суд и получить судебный приказ или полноценное решение суда. А потом передать документы судебным приставам, которые проведут полноценное исполнительное производство по розыску вашего имущества, по аресту счетов и списания с них денег. Помните — судебная практика в этом вопросе всегда на стороне тех граждан или юр лиц, которым вы задолжали деньги.

А вот после того, как вы расплатитесь с коллекторами полностью, и получите на руки документ о погашении долга — вы сможете отозвать свои персональные данные у этих кровопийцев (или рыцарей плаща и кинжала, это как уж вам удобнее их называть).

После получения заявления на отзыв оператор обязан в течение 30 дней прекратить работу с указанными данными, изъять их отовсюду (из всех своих баз) и уничтожить. Но хотя закон и говорит, что отозвать согласие можно в любое время, на самом деле в нормативных актах предусмотрен целый перечень случаев, когда обработка персональных данных после отзыва согласия продолжается и без согласия гражданина.

Когда отзыв невозможен?

Без согласия гражданина продолжают обработку личных данных банки и МФО. Если у человека имеется хотя бы частично непогашенный кредит или вообще заключен любой договор с банком, отозвать согласие нельзя. Как гласит статья 6 закона о персональных данных, банк может продолжать обработку «для целей исполнения договора».

Более того, согласно закону о борьбе с отмыванием доходов, полученных преступным путем (так называемый 115 ФЗ), банк обязан сохранять идентифицирующие клиента документы в течение не менее пяти лет с момента истечения договора. Правда сохранять, а не распространять и не передавать их третьим лицам.

То же самое касается и коллекторов. Об этом должнику с непогашенным долгом сообщит сам коллектор.

Поэтому ответ на вопрос — как правильно отозвать разрешение на обработку своих персональных данных у кредиторов будет такой — сначала надо полностью вернуть долг, а потом отозвать разрешение, написав заявление в произвольной форме.

Помимо банков, МФО и коллекторов персональные данные могут быть использованы и без согласия гражданина:

• судами, если субъект участвует в каком-то судопроизводстве;
• судебными приставами, если они работают в рамках исполнительного производства;
• государственными органами при исполнении своих полномочий по социальной поддержке (выплат пенсий и пособий, оформлении льгот);
• любыми субъектами при необходимости защиты жизни или здоровья гражданина (то есть врачами и полицией);
• журналистами, если это связано с их профессиональной деятельностью;
• в еще ряде ситуаций, предусмотренных статьями 6, 10 и 11 закона № 152-ФЗ.

Как защитить свои персональные данные и права, если они были нарушены

Если гражданин столкнулся с нарушением своих прав в области защиты персональных данных, ему необходимо обратиться в Роскомнадзор. Сделать это можно с помощью онлайн-сервиса на официальном портале ведомства. Также жалобу можно подать в письменном виде и отправить заказным письмом с уведомлением о вручении.

Права можно считать нарушенными, если оператор продолжает пользоваться личными данными бывшего клиента (или сотрудника) или тем более, если передает их третьим лицам.

Если права клиента по работе с его персональными данными нарушают финансовая организация (банк или МФО), пожаловаться можно в Центральный банк Российской Федерации. Во всех случаях в течение 30 дней указанные ведомства должны дать ответ о принятых мерах. На операторов-нарушителей может быть наложена административная ответственность (штраф) и даже возбуждено уголовное дело.

Согласно статье 13.11 КоАП РФ размер штрафа может составить:

• для физических лиц — от 6 000 до 10 000 рублей;
• для должностных лиц — от 20 000 до 40 000 рублей;
• для организаций — от 30 000 до 150 000 рублей.

Если у вас есть сомнения в том, что ваши персональные данные находятся под надежным замком, а банк или МФО, с которыми вы уже давно не сотрудничаете, отказываются прекратить их обработку, то обращайтесь за помощью к нашим юристам!

Говорят, публичные люди привыкли видеть подробности своей личной жизни в газетах, в интернете. Но, даже если вы — звезда мирового масштаба, вряд ли вам понравится, что ваш домашний адрес, данные об образовании и доходах оказались общедоступными.

К счастью, закон РФ однозначно запрещает распространение личных данных без вашего на то разрешения. Поэтому, если увидели такие статьи в интернете, их можно удалить. Разберёмся, как.

Метод 1. Написать в «Кулак Фемиды»

Головная боль: 0 баллов.

Что нужно: Связаться с менеджером компании «Кулак Фемиды».

Недостатки: Не имеется.

Как часто вы занимаетесь ремонтом обуви самостоятельно? А сантехники? Часто делаете сайты с нуля? Сами ведёте социальные сети компании? Если вы — человек-оркестр, то, возможно, сможете самостоятельно удалить персональные данные из интернета. Если же нет, то лучше делегируйте эту задачу «Кулаку Фемиды». Решим вопрос быстро, профессионально и с гарантией!

Метод 2. Подать жалобу в Роскомнадзор

Головная боль: 6 баллов.

Что нужно: Составить грамотную жалобу на сайт в Роскомнадзор и подать её.

Недостатки: При отсутствии очевидности велик шанс деклайна заявления.

Одно из направлений работы Роскомнадзора — защита прав субъектов персональных данных. Подробно об этом можно почитать на сайте инстанции в разделе «Персональные данные». Подать жалобу можно в разделе «Сформировать обращение».

Но подача жалобы — не гарантия, что прошение одобрят. Часто их отклоняют из-за неправильного оформления или спорных данных. Во втором случае потребуется судебное решение, чтобы удалить персональную информацию с чужого сайта.

Метод 3. Подать в суд

Головная боль: 10 баллов.

Что нужно: Подготовить материалы дела для суда, пройти все судебные процедуры.

Недостатки: Никаких гарантий результата.

Если Роскомнадзор отказывается воздействовать на сайт без судебного решения, придётся его получить. Алгоритм действий:

Закон на вашей стороне — это так. Но не стоит идти в суд, если за спиной нет опытного юриста. Тонкости, требующие учёта, правильные формулировки, строгое соблюдение норм закона, — все они могут стать причиной провала. Обидно же будет проиграть на пустом месте из-за неправильно написанной фразы, не так ли?

Метод 4. Воспользоваться правом на забвение

Головная боль: 8 баллов.

Что нужно: Заполнить анкету с требованием удалить результаты из выдачи.

Недостатки: Заявку могут не одобрить. Удаление из выдачи не означает удаление информации из интернета.

В каждой поисковой системе своя анкета, после заполнения которой данные удалят из выдачи. Ссылки на них: Яндекс, Гугл, Мейл.ру, Рамблер, Спутник, Бинг. На первый взгляд всё просто: подайте заявку. Но сложностей намного больше:

Поисковик — источник информации для многих людей. Но скрытие результатов из поиска — частичное решение проблемы. Люди также смогут делиться ссылками на сайт, где лежит персональная информация, в личных сообщениях, размещать в каталогах и т. д.

Метод 5. Поговорить с автором или администратором сайта

Головная боль: 10 баллов.

Что нужно: Найти автора или администратора сайта и попросить удалить информацию.

Недостатки: Метод чаще не работает, чем работает.

Возможно, этот метод стоит поставить первым. Распространение персональных данных незаконно, поэтому многие администраторы сайта чаще идут на встречу. Так что просто обращение с просьбой убрать информацию о вас вполне может помочь. А может и нет. Как уж повезёт.

Метод 6. От разговора перейти к шантажу

Головная боль: 20 баллов.

Что нужно: Пригрозить автору статьи с персональными данными. Угрозами заставить удалить материал с сайта.

Недостатки: Метод не совсем законный и может вызвать обратную реакцию.

Не помогает поговорить? Попробуйте надавить на больное. Например, пригрозить судом, жалобами в разные инстанции, даже DDoS-атакой на сайт или взломом. Шантаж позволяет заставить трусливых людей делать то, что вам нужно. Правда, это не такой уж безобидный способ.

Хотя шантаж сам по себе — не преступление, это способ совершения другого преступления. И он уголовно наказуем. Если не будете осторожны в словах, то можете оказаться на скамье подсудимых.

Ещё одно неприятное последствие шантажа — обратный эффект. Никто не любит, когда заставляют делать то, что не хочется. Где гарантия, что автор статьи поддастся на шантаж? Он может поступить наоборот и разместить вашу личную информацию на десятках, а то и сотнях других сайтов. То есть результат будет совершенно противоположный.

Метод 7. Нанять хакера

Головная боль: 20 баллов.

Что нужно: Найти хакера, «заказать» ему сайт, дождаться результата.

Недостатки: Метод рабочий, но очень сложный в реализации.

Взлом сайта — деяние незаконное, а потому реализовать такую задумку сможет только человек, который может либо сам взломать чужой сайт, либо найти готового это сделать человека. И найти такого — задачка непростая. В поиске подобных специалистов на hh.ru не ходят. И напрямую на карту им платят редко.

Вторая проблема — гарантии. Уверены, что найденный хакер сделает работу, а не исчезнет с деньгами? А ведь придётся вносить предоплату. Ну и результат может оказаться недолговечным. Существуют бэкапы: администратор просто восстановит статью из более старой версии сайта, и всё. Данные вновь окажутся у всех на виду.

Вместо выводов

Удалить персональные данные из интернета можно. Сделать это даже проще, чем справиться с размещёнными в сети чёрным пиаром или клеветой. Но, несмотря на то, что есть механизмы, позволяющие избавиться от личной информации на чьём-нибудь сайте по закону, это не так просто. Нужно знать законодательство, уметь составить правильные формулировки, понимать, как работает система. Если нет опыта, то достичь результата будет очень сложно.

«Кулак Фемиды» — это агентство с опытными юристами, IT-специалистами и переговорщиками, знающими, что делать в каждой ситуации.

И пользуемся мы не только общеизвестными методами, но и своими сверхсекретными разработками