Забудь меня, забудь

Как отозвать согласие на обработку персональных данных

Как распространяются персональные данные, какие риски с этим связаны, как регулируется обработка предоставленных пользователями данных операторами и как отозвать согласие на их обработку?
Ущерб, нанесенный гражданам телефонными мошенниками, по оценкам МВД России, ежегодно составляет десятки миллиардов рублей. При этом злоумышленники активно пользуются многочисленными базами персональных данных, утекшими в интернет. Даже сочетания «ФИО + номер телефона» во многих случаях оказывается достаточно для того, чтобы при помощи методов социальной инженерии выведать более ценные сведения: номер банковской карты и CVC/CVV код. В то же время регулярные обзвоны от имени «сотрудника банка» – далеко не единственный способ мошенников использовать незаконно полученные данные. Более серьезные последствия может повлечь за собой шантаж и угрозы. Есть ли способ оградить себя от этого?
Человек неизбежно сталкивается с необходимостью предоставить свои персональные данные другому лицу, когда совершает действие, требующее его идентификации: например, покупает билет на самолет, регистрируется на мероприятие от своего имени, заказывает SIM-карту или приобретает товар в интернет-магазине. С одной стороны, этого требуют правила безопасности. С другой – чем больше существует мест, где размещена информация о человеке, тем больше риск, что она может быть использована в противозаконных целях. Известно достаточно много случаев, когда базы данных даже крупных интернет-сервисов утекали в Сеть и попадали в публичный доступ.
В некоторых случаях набор сведений, которые запрашивает сервис, кажется избыточным – и это один из поводов проявить бдительность. Расширенные данные пользователя могут предназначаться для их передачи или продажи третьим лицам с целью создания цифрового профиля личности, прогнозирования потребительской или политической активности, направления таргетированной рекламы.
Эксперты по информационной безопасности рекомендуют гражданам оставлять доступ к своим персональным данным только ограниченному кругу организаций. Это может быть работодатель, госучреждение, управляющая компания, банк или оператор связи, почтовый веб-сервис, социальная сеть – все, с кем у пользователя сохраняются долгосрочные взаимоотношения. Если же вы, к примеру, приобрели товар в интернет-магазине и больше не собираетесь пользоваться услугами этой компании, лучше всего отозвать у нее согласие на обработку ваших персональных данных.
Способы обработки персональных данных пользователей третьими лицами регулирует Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных». Он определяет такие данные как набор сведений, позволяющих идентифицировать физическое лицо (субъекта персональных данных): это могут быть ФИО, дата рождения, паспортные данные, адрес регистрации, информация о доходах и многое другое.
Оператором персональных данных в законе называется тот, кто занимается обработкой этих данных. Им может выступать государственный или муниципальный орган, юридическое или физическое лицо. При этом обработкой считается любое действие оператора с персональными данными: сбор, хранение, передача, уничтожение…
1 марта 2021 года вступили в силу поправки к упомянутому Федеральному закону, согласно которым, в частности, субъект персональных данных имеет право свободно требовать от оператора блокировки или удаления своих персональных данных без указания причины. До того момента пользователю необходимо было юридически обосновать необходимость подобных действий.
При передаче своих персональных данных оператору каждый человек имеет неотъемлемое право ознакомиться с политикой оператора в отношении обработки персональных данных (политикой конфиденциальности). Этот документ в обязательном порядке должен быть опубликован оператором и, как правило, основывается на положениях Федерального закона, но может заключать в себе и важные специфические сведения. Например, условия передачи персональных данных клиента третьим лицам. К сожалению, мы практически никогда не читаем этот документ, принимая его по умолчанию.
В настоящее время (по состоянию на 16 февраля 2023 года) «Реестр операторов, осуществляющих обработку персональных данных» Роскомнадзора содержит сведения о более чем 870 тысячах подобных организаций. С операторами персональных данных мы сталкиваемся каждый раз, когда заключаем договор на оказание услуг или устанавливаем любые другие правоотношения. Записывая ребенка в секцию или кружок, покупая через интернет билет в театр или на самолет… В повседневной жизни мы постоянно вынуждены давать согласие на обработку персональных данных, чтобы получить ту или иную услугу.
Согласие на их обработку операторы могут собирать различными способами: как в печатном виде при очном посещении организации, так и онлайн – юридическую силу имеет даже обычная галочка в форме заявки на предоставление той или иной услуги. Часто клиенты оформляют подобные заявки, не вдаваясь в детали и не задумываясь о том, как впоследствии эти данные будут использованы. Таким образом, количество баз данных, в которых сохраняются сведения о конкретном пользователе, постоянно увеличивается, и контролировать распространение этой информации становится все сложнее.
К сожалению, не существует специального сервиса, который предоставлял бы полный список операторов, имеющих право на обработку наших данных и доступ к ним. Каждого из них придется «вычислять» поодиночке – с помощью почтового архива или истории браузера. Впрочем, иногда организация сама проявляет себя, осуществляя рассылки по e-mail или обзвон.
Стоит также помнить, что расторжение договора (например, с банком или оператором связи) не влечет за собой автоматического удаления персональных данных пользователя из базы этой организации. Именно поэтому мы можем получать навязчивые коммерческие предложения от финансовых и иных компаний, услугами которых прекратили пользоваться несколько лет назад.
Согласно статье 14 Федерального закона №152-ФЗ, гражданин имеет право знакомиться с информацией об обработке его персональных данных тем или иным оператором, а также требовать от оператора блокирования или уничтожения этих данных. Согласие на обработку своих персональных данных можно отозвать в любой момент. Типичные ситуации, в которых рекомендуется воспользоваться этим правом, – увольнение с работы, завершение обучения, расторжение договора, прекращение использования сервиса.
Алгоритм подачи заявления на отзыв персональных данных достаточно прост.
Заявление на отзыв персональных данных необходимо подавать тому же оператору, которому пользователь давал согласие на обработку этих данных. Если заявление подается в электронной форме, стоит уточнить наименование и ИНН организации – например, через упомянутый выше реестр Роскомнадзора.
Заявление на отзыв можно подать очно при личном посещении организации, почтовым отправлением или в электронной форме (при этом может понадобиться электронная подпись). Как правило, оператор позволяет подать заявление в той же форме, в которой до этого давалось согласие на обработку персональных данных.
Электронное или бумажное заявление может быть написано в произвольной форме, но должно содержать ряд обязательных сведений: наименование оператора, его адрес, информацию о заявителе (ФИО, адрес, реквизиты паспорта и другие – в зависимости от того, какие сведения были ранее переданы оператору), перечень подлежащих удалению данных, дату и подпись с расшифровкой. В тексте заявления необходимо в явном виде выразить требование на отзыв ранее выданного согласия и запрет на дальнейшую обработку данных.
С типовой формой отзыва согласия на обработку персональных данных можно ознакомиться на сайте Роскомнадзора.
После подачи пользователем заявления оператор обязан подтвердить его прием и отреагировать на него в течение 30 дней с момента регистрации, либо обосновать дальнейшее использование данных. Важно помнить, что некоторые организации (банки, микрофинансовые организации) при определенных обстоятельствах имеют право продолжать обрабатывать данные клиента даже после отзыва согласия: например, если у клиента банка есть незакрытый кредит.
Если пользователь без разбора предоставляет сведения о себе в десятки и сотни организаций, то и отзывать их становится все труднее. Поэтому запомните общие рекомендации:
- не предоставляйте доступ к своим персональным данным, если в этом нет необходимости, избегайте предоставления избыточных данных;
- старайтесь узнать наименование и ИНН организации, которой предоставляете данные, будьте особенно осторожны в случае, если организация скрывает доступ к этим сведениям (например, их невозможно найти на сайте);
- требуйте от оператора принять заявление на отзыв персональных данных в тот момент, когда расторгаете договор с этой организацией.