Расширенный

Расширенный поиск

Автор
Статьи по теме: «Информационная безопасность»

Забудь меня, забудь: как отозвать согласие на обработку персональных данных

Забудь меня, забудь: как отозвать согласие на обработку персональных данных
В этой статье пойдёт речь о том, как распространяются персональные данные, какие риски с этим связаны, как регулируется обработка персональных данных операторами и как отозвать согласие на их обработку.

Введение

Ущерб гражданам России от телефонного мошенничества ежегодно, по оценкам МВД России, составляет десятки миллиардов рублей. При этом злоумышленники активно пользуются многочисленными базами персональных данных, утекшими в сеть Интернет. Даже сочетания данных «ФИО + номер телефона» во многих случаях оказывается достаточно для того, чтобы при помощи методов социальной инженерии выведать более ценные сведения – например, номер банковской карты и CVC/CVV код. В то же время регулярные обзвоны от имени «сотрудника банка» – далеко не единственный способ мошенников использовать незаконно полученные данные: более серьезные последствия может повлечь за собой шантаж и угрозы. Есть ли способ оградить себя от этого?

Человек неизбежно сталкивается с необходимостью предоставить свои персональные данные другому лицу – когда совершает действие, требующее его идентификации: например, покупает билет на самолёт, регистрируется на мероприятие от своего имени, заказывает SIM-карту или приобретает товар в интернет-магазине. С одной стороны, этого требуют правила безопасности. С другой – чем больше существует мест, где размещена информация о человеке, тем больше риск, что она может быть скомпрометирована. Известно достаточно много случаев, когда базы данных даже крупных интернет-сервисов утекали в сеть Интернет и выкладывались в публичный доступ.

В некоторых случаях набор сведений, которые запрашивает сервис, кажется избыточным – и это еще один повод проявить бдительность. Расширенные данные пользователя могут предназначаться для их передачи или продажи третьим лицам с целью создания цифрового профиля личности, прогнозирования потребительской или политической активности, таргетированной рекламы.

Эксперты по информационной безопасности рекомендуют гражданам оставлять доступ к своим персональным данным только ограниченному кругу организаций. Это может быть работодатель, госучреждение, управляющая компания, банк или оператор связи, почтовый веб-сервис, социальная сеть – все, с кем у пользователя сохраняются долгосрочные взаимоотношения. Если же вы, к примеру, приобрели товар в интернет-магазине и больше не собираетесь пользоваться услугами этой компании – лучше всего отозвать у неё согласие на обработку ваших персональных данных. Ниже мы расскажем, как это сделать.

Основные термины и регуляторика

Способы обработки персональных данных пользователей третьими лицами регулирует Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Он определяет персональные данные как набор сведений, позволяющих идентифицировать физическое лицо (субъекта персональных данных): это может быть ФИО, дата рождения, паспортные данные, адрес регистрации, информация о доходах и многое другое.

Оператором персональных данных в законе называется тот, кто занимается обработкой персональных данных. Это может быть государственный или муниципальный орган, юридическое или физическое лицо. При этом обработкой считается любое действие оператора с персональными данными: сбор, хранение, передача, уничтожение и т. д.

1 марта 2021 года вступили в силу поправки к Федеральному закону № 152-ФЗ, согласно которым, в частности, субъект персональных данных имеет право свободно требовать от оператора блокировки или удаления своих персональных данных без указания причины. До этого пользователю необходимо было юридически обосновать необходимость подобных действий.

При передаче своих персональных данных оператору каждый человек имеет неотъемлемое право ознакомиться с политикой оператора в отношении обработки персональных данных (политикой конфиденциальности). Этот документ в обязательном порядке должен быть опубликован оператором и, как правило, он основывается на положениях Федерального закона № 152-ФЗ, но может заключать в себе и важные специфические сведения – например, условия передачи персональных данных клиента третьим лицам. К сожалению, мы практически никогда не читаем этот документ, принимая его по умолчанию.

Кто оперирует нашими данными

В настоящее время «Реестр операторов, осуществляющих обработку персональных данных» Роскомнадзора содержит почти 450 тысяч записей. С операторами персональных данных мы сталкиваемся каждый раз, когда заключаем договор на оказание услуг или устанавливаем любые другие правоотношения. Записывая ребенка в секцию или кружок, покупая через Интернет билет в театр – в повседневной жизни мы постоянно вынуждены давать согласие на обработку персональных данных, чтобы получить ту или иную услугу.

Согласие на их обработку операторы могут собирать различными способами: как в печатном виде при очном посещении организации, так и онлайн – юридическую силу имеет даже обычная галочка в форме заявки на предоставление той или иной услуги. Часто клиенты оформляют подобные заявки, не вдаваясь в детали и не задумываясь о том, как впоследствии эти данные будут использованы. Таким образом, количество баз данных, в которых сохраняются сведения о конкретном пользователе, постоянно увеличивается, и контролировать распространение этой информации становится всё сложнее.

К сожалению, не существует специального сервиса, который предоставлял бы полный список операторов, имеющих право на обработку наших данных. Каждого из них придётся вычислять поодиночке – например, открывая почтовый архив или историю браузера. Впрочем, иногда организация сама проявляет себя, производя почтовые рассылки или обзвон.

Стоит также помнить, что расторжение договора – например, с банком или оператором связи – не влечёт за собой автоматического удаления персональных данных пользователя из базы этой организации. Именно поэтому мы можем получать навязчивые коммерческие предложения от банков, услугами которых прекратили пользоваться несколько лет назад.

Подаём отзыв согласия на обработку персональных данных

Согласно статье 14 Федерального закона № 152-ФЗ, гражданин имеет право знакомиться с информацией об обработке его персональных данных тем или иным оператором, а также требовать от оператора блокирования или уничтожения этих данных. Согласие на обработку своих персональных данных можно отозвать в любой момент. Типичные сценарии: увольнение с работы, завершение обучения, расторжение договора, прекращение использования сервиса.

Алгоритм подачи заявления на отзыв персональных данных:

  1. Заявление на отзыв персональных данных необходимо подавать тому же оператору, которому пользователь давал согласие на обработку этих данных. Если заявление подаётся в электронной форме, стоит уточнить наименование и ИНН организации – например, через реестр Роскомнадзора.
  2. Заявление на отзыв можно подать очно, почтовым отправлением или в электронной форме (может понадобиться электронная подпись). Как правило, оператор позволяет подать заявление в той же форме, в которой до этого давалось согласие на обработку.
  3. Электронное или бумажное заявление может быть написано в произвольной форме, но должно содержать ряд обязательных сведений: наименование оператора, его адрес, информация о заявителе (ФИО, адрес, реквизиты паспорта и другие – в зависимости от того, какие сведения были ранее переданы оператору), перечень подлежащих удалению данных, дата и подпись с расшифровкой. В тексте заявления необходимо в явном виде выразить требование на отзыв ранее выданного согласия и запрет на дальнейшую обработку данных.
  4. С типовой формой отзыва согласия на обработку персональных данных можно ознакомиться на сайте Роскомнадзора или воспользоваться представленным ниже образцом:


  5. После подачи пользователем заявления оператор обязан подтвердить приём этого заявления и отреагировать на него в течение 30 дней с момента регистрации, либо обосновать дальнейшее использование данных. Важно помнить, что некоторые организации (банки, микрофинансовые компании, коллекторские агентства) при определённых обстоятельствах имеют право продолжать обрабатывать данные клиента даже после отзыва согласия: например, если у клиента банка есть незакрытый кредит.

Если пользователь без разбора предоставляет сведения о себе в десятки и сотни организаций, то и отзывать их становится всё труднее. Поэтому запомните общие рекомендации:

  • Не предоставляйте доступ к своим персональным данным, если в этом нет необходимости. Избегайте предоставления избыточных данных.
  • Старайтесь узнать наименование и ИНН организации, которой предоставляете данные. Будьте особенно осторожны в случае, если организация скрывает доступ к этим сведениям (например, их невозможно найти на сайте).
  • Требуйте от оператора принять заявление на отзыв персональных данных в тот момент, когда расторгаете договор с этой организацией.