Как сделать отзыв персональных данных

Последнее обновление: 05.05.25
113.7K

41

Как оформить отзыв согласия на обработку персональных данных

Если на телефон или электронную почту начал приходить спам, возможно, где-то вы заполнили анкету, поставили галочку и согласились на передачу и обработку персональных данных, прошли регистрацию или подписали договор, не вчитываясь в мелкий шрифт. В результате вашу личную информацию начали использовать разные организации для рекламы, обзвонов, рассылок.

Картинка с сайта: brobank.ru

По закону можно в любой момент отозвать свое согласие на обработку персональных данных. Расскажем, как это сделать правильно, какие подводные камни есть у процедуры и как защитить себя, если компания продолжает использовать персональную информацию без разрешения.

Что входит в персональные данные по закону

Персональные данные — это любая информация, которая позволяет вас идентифицировать. Не обязательно по паспорту, достаточно фамилии, номера телефона или адреса электронной почты, а иногда и лишь IP-адреса.

По закону №152-ФЗ «О персональных данных» сюда входят:

• ФИО;
• дата и место рождения;
• адрес проживания;
• номер телефона и email;
• паспортные данные;
• сведения о доходах, профессии, образовании;
• медицинская информация;
• фотографии;
• биометрия, например, отпечатки пальцев или голос;
• история покупок, если она связана с вами.

Закон не дает четкого определения, что именно считают персональными данными. Поэтому в каждом случае нужно смотреть на контекст, можно ли по тем или иным сведениям установить личность. Если да, то это — персональные данные.

Иногда один фрагмент информации сам по себе не раскрывает, о ком идет речь. Например, просто возраст или город проживания. Но стоит собрать такие данные вместе — и уже становится ясно, о каком человеке речь. В таком случае, это — уже персональные данные.

Чаще всего конфиденциальную информацию собирают при подписании договоров. Открываете счет в банке, берете кредит, оформляете SIM-карту — и автоматически соглашаетесь на обработку своих данных. Подпись поставили, а внизу мелким шрифтом указано, что вы уже дали такое согласие. Увы, читают условия далеко не все. И получают потом рекламные СМС в течение трех лет — просто потому, что не обратили внимание на примечание внизу страницы.

Еще один способ получить согласие на передачу и обработку персональных данных — через публичную оферту. При регистрации на сайте пользователь дает такое согласие автоматически. А человек, как правило, даже не догадывается, что сведения о нем теперь могут передавать третьим лицам.

Так информация о нас оказывается у десятков, а то и сотен организаций. Причем многие прямо прописывают в правилах, что могут передать конфиденциальную информацию своим партнерам, подрядчикам, сервисам аналитики.

Закон позволяет отозвать согласие на обработку персональных данных. Но есть нюансы. Некоторые сведения все равно могут остаться у компании — если их обязаны хранить по закону в электронной форме.

Кто и зачем их собирает

Персональные данные собирают почти все:

• интернет-магазины;
• банки;
• государственные органы;
• суды в процессе делопроизводства;
• приставы;
• работодатели;
• журналисты;
• страховые компании;
• поликлиники;
• операторы связи.

Картинка с сайта: brobank.ru

Персональные данные нужны, чтобы:

• идентифицировать вас как клиента или пользователя;
• заключить договор или оказать услугу;
• вести учет;
• делать маркетинговые рассылки;
• передавать информацию государственным органам, если это требуется по закону.

Банки, например, собирают данные при открытии счета, оформлении кредита или карты. Онлайн-магазины — при оформлении заказа. А медцентры — когда вы приходите на прием. Даже если вы просто оставили заявку «на консультацию», ваши данные могут попасть в обработку.

В каких случаях можно отозвать согласие на обработку

Согласие на обработку персональных данных — это не приговор. Вы вправе его отозвать в любой момент. Закон №152-ФЗ это прямо допускает.

Вы можете передумать, если:

• перестали пользоваться услугами компании;
• не хотите получать рекламные письма и звонки;
• подозреваете, что ваши данные могут использовать незаконно;
• вас настораживает политика обработки данных в компании.

Отзыв работает на будущее. То есть компания не обязана удалить все, что уже обработано, особенно, если есть другие законные основания для хранения. Но с момента отзыва нельзя использовать конфиденциальную информацию в дальнейшем, например, для рекламы.

Можно ли отозвать данные из банка

Банки и микрофинансовые организации вправе обрабатывать персональные данные клиентов.Это нужно для исполнения договоров. То есть, если у вас есть действующий счет, микрозайм или кредит, остановить обработку данных вы не сможете. Сначала нужно закрыть счет, вернуть долг и только потом отзывать согласие.

Но и после этого данные не исчезнут моментально. По закону банки должны хранить информацию о клиентах еще минимум пять лет. При этом речь только о хранении. Использовать эти сведения после отзыва — например, для рекламы — уже нельзя.

Картинка с сайта: brobank.ru

С коллекторами ситуация отдельная. По закону №152-ФЗ они получают доступ к персональным данным не напрямую, а вместе с долгом — по договору цессии. То есть право на обработку переходит к ним вместе с кредитом.

Тем не менее защититься можно. Только не через отзыв согласия. В этом случае подавайте заявление об отказе от взаимодействия. После его получения коллекторы смогут связываться с вами только через бумажную почту. Звонки, мессенджеры и личные визиты — под запретом. Правда, сам долг это не отменяет, платить все равно придется.

А когда вы полностью погасите задолженность, можно и согласие отозвать. Тогда персональные данные должны исключить из обработки — и банки, и коллекторы.

Как это сделать

Вы имеете право отозвать согласие на обработку персональных данных в любой момент. Главное — сделать это грамотно.

Ни звонок в кол-центр, ни сообщение в чате поддержки не считаются официальным отзывом. Нужно письменное заявление, лучше в двух экземплярах.

Картинка с сайта: brobank.ru

Образец заявления

Заявление об отзыве согласия на обработку персональных данных составляют в свободной форме, но с обязательными реквизитами. В нем нужно указать:

• название и адрес компании, куда направляете заявление;
• ваши ФИО и контактные данные, адрес;
• суть — вы отзываете согласие на обработку персональных данных;
• ссылка на закон №152-ФЗ;
• дата и подпись с расшифровкой.

Картинка с сайта: brobank.ru

Так выглядит заявление об отзыве согласия на обработку персональных данных.

Указывать реквизиты ранее выданного согласия не обязательно. Но если они есть, это упростит проверку: оператору будет проще сопоставить документы, а вам — отследить, как именно обработали отзыв.

В письменное заявление можно добавить детали. Например, описать, с какими нарушениями вы столкнулись. Это может быть рассылка спама, рекламных уведомлений без согласия, передача персональных данных третьим лицам, которые не имеют отношения к вашим обязательствам.

Если в заявлении прямо указали на незаконное использование информации, оператор должен отреагировать. Закон обязывает его принять меры и устранить нарушения. Проигнорировать не получится.

Порядок действий

Как правило, согласие и его отзыв подают одним и тем же способом. Если вы когда-то подписывали бумажное заявление, то и отзыв лучше оформлять в письменном виде.

Такой документ можно передать лично, например, сотруднику банка или другому уполномоченному лицу. Либо отправить по почте. Если отдаете заявление лично, обязательно попросите проставить на вашем экземпляре входящий номер, дату и подпись принимающей стороны. Это — ваш юридический щит, в случае конфликта он поможет доказать, что вы действовали по закону.

Отзыв можно отправить и онлайн, но не всегда. Все зависит от внутренней политики компании. Если договор оформляли через сайт — например, интернет-магазин — часто там же есть кнопка отзыва согласия. Обычно она доступна в личном кабинете.

Но есть нюанс. Контролировать выполнение онлайн-заявки гораздо сложнее, чем по почте. Поэтому, если хотите быть уверены в результате, лучше продублировать обращение бумажным письмом.

Срок исполнения

По закону компания обязана прекратить обработку данных в течение 30 дней с момента получения вашего заявления. Если речь идет об интернет-сервисе, отреагировать могут быстрее, но все зависит от внутренней политики.

Иногда данные не удаляют сразу, а переводят в архив с ограниченным доступом — особенно если они нужны для отчетности. Но использовать их в коммерческих целях после отзыва никто не имеет права.

Как узнать результат

Простой способ — получить письменный ответ от компании. Обычно он приходит в течение 30 дней с момента подачи заявления. Если вы отправили письмо с уведомлением, отследите дату вручения, отсчитайте срок и ждите ответ.

Иногда подтверждение приходит на электронную почту. В редких случаях — появляется в личном кабинете. В идеале компания должна не только подтвердить получение заявления, но и сообщить, какие действия предприняли: прекратили обработку, удалили данные, сохранили часть информации.

Если прошло больше месяца, а ответа нет, можно начинать действовать жестче.

Что делать, если отзыв согласия на обработку не помог

Иногда организации не спешат реагировать на заявления граждан. Но игнорировать такие обращения нельзя. Закон это четко регулирует.

Согласно статье 13.11 КоАП РФ, за нарушение правил обработки персональных данных предусмотрен штраф. Причем суммы немаленькие:

• для компаний — от 30 тысяч до 150 тысяч рублей;
• для должностных лиц — от 20 тысяч до 40 тысяч рублей;
• для обычных граждан — от 6 тысяч до 10 тысяч рублей.

Если ваши права нарушили, можно и нужно жаловаться. Обращение можно подать через онлайн-приемную Роскомнадзора. Если речь идет о банке или МФО, дополнительно можно отправить жалобу в Центробанк через электронную форму на сайте.

Оба ведомства обязаны рассмотреть заявление и отчитаться о принятых мерах в течение 30 календарных дней.

Частые вопросы

Предприятия малого и среднего бизнеса обязаны получать согласие на обработку персональных данных, когда к ним попадают эти сведения. Иногда не совсем понятно, что относится к категории персональных данных, какая форма требуется от согласия или запрета для обработки данных — и как это все оформлять, чтобы избежать наказания. Неправильные действия по обработке персональных данных чреваты для виновного лица как минимум серьезным штрафом. Что такое персональные данные и зачем отзывать согласие на обработку персональных данных — читайте в материале.

Содержание:

• Что такое персональные данные?
• Как распространяются личные данные?
• Порядок отзыва согласия
• Зачем отзывать согласие?
• Если отзыв согласия не помог?
• В каких случаях отзыв согласия не имеет значения?

Что такое персональные данные?

Сначала – коротко о самом термине. ФЗ №152, который регламентирует эту сферу, под персональными (то есть личными) данными подразумевает любую информацию, прямо или косвенно позволяющую идентифицировать конкретное физическое лицо. При трактовке термина нужно учитывать следующие нюансы:

1. Такие данные могут относиться только к людям. Любые сведения, даже самые защищенные, но касающиеся организаций (то есть юридических лиц), относятся к совсем другим категориям – например, к коммерческой тайне.
2. Данные должны позволять идентифицировать гражданина. Поэтому не будут относиться к ним результаты опроса общественного мнения (они анонимны), результаты тайного голосования, госномер автомобиля (он относится к машине, не к владельцу), номер счета для оплаты коммунальных услуг (он присваивается квартире, а не жильцу).
3. Обрабатывать данные могут только уполномоченные лица, которым такое право предоставлено по закону.

Обычно охраняемой по закону информацией, для оперирования которой требуется получить согласие на обработку персональных данных, считаются следующие сведения:

• ФИО, место проживания и регистрации («прописка»);
• реквизиты российского паспорта другие сведения из документа — например, семейное положение;
• номер загранпаспорта гражданина РФ;
• ИНН (индивидуальный номер налогоплательщика);
• СНИЛС (страховой номер индивидуального лицевого счета);
• фотография, запись голоса и другие биометрические сведения.

К слову, для работы с биометрией, обычно требуется особая процедура. Для этого требуется отдельное разрешение, но процедура регламентируется отдельно.

Как распространяются личные данные?

Распространение персональных данных — это способ их обработки, при котором они становятся доступны неопределенному кругу лиц (ст. 3 закона). Чаще всего это случается, когда оператор (человек или компания, которые хранят эту информацию) публикует их на сайте.

Кроме распространения, та же статья формулирует и термин «передача персональных данных». Ключевое отличие здесь в том, что получатель точно известен. При этом передача может быть как законной (например, по запросу правоохранительных органов, либо после получения согласия самого человека), так и незаконной (например, когда оператор передает третьим лицам базу с информацией о своих клиентах, чтобы провести рекламную кампанию — и гражданина в итоге захлестывает электронный и телефонный спам, полученный без согласия на обработку персональных данных).

К сожалению, оба варианта часто смешиваются: в законодательстве РФ термин «передача» иногда используется как синоним распространения (например, в п. 12 ст. 10.1 того же закона).

Обработку персональных, присущих конкретной личности, данных (включая распространение) можно проводить только с согласия самого человека — кроме той информации, которая обязательна к предоставлению в силу закона.

Например, работодатель вправе (и даже обязан!) передавать персональные данные работника в военкомат, налоговую службу, Социальный фонд (СФР) – но только те, которые сотрудник должен передать ему при заключении трудового договора согласно ст. 65 ТК РФ.

Но при этом, например, размещать определяемые законом персональные данные сотрудников в общем доступе уже нельзя. Требуется, чтобы работник в письменной форме подтвердил, что он разрешил обрабатывать свои ПД.

Порядок отзыва согласия

По действующим российским законам отозвать согласие может любой человек в любой момент. Каждый имеет право отозвать ранее данное разрешение.

Отказаться от согласия на обработку персональных данных можно следующим образом:

1. Человек, который хочет отозвать согласие, направляет в адрес оператора заявление. Требований к форме нет, достаточно, чтобы лицо, чья информация обрабатывается, четко сообщило о желании отозвать согласие.
2. После того, как оператор получит заявление, есть 30 дней на то, чтобы уничтожить носители, на которых содержатся персональные данные, либо предотвратить к ним доступ посторонних всеми доступными средствами.
3. С момента, когда человек направил заявление о том, что хочет отозвать свое согласие на обработку персональных данных, никакие личные сведения о нем не могут быть переданы третьим лицам.

Для отзыва согласия на обработку ПД нужно выполнить следующие действия:

1. Подать заявление с отказом от обработки персональных данных в письменной форме по почте заказным. В этом случае дата на штемпеле, который стоит на уведомлении, будет считаться моментом, когда отказ от права проводить любые действия в отношении персональных данных вступил в силу.
2. Посетить офис оператора лично и передать документ, в котором содержится четкое желание отказаться от использования конфиденциальных сведений, в 2 экземплярах. На одном сотрудник организации ставит отметку о приеме, второй остается в распоряжении компании.
3. С помощью электронной подписи. Если владелец, распоряжающийся персональными для конкретного человека данными, отозвал свой документ с согласием при помощи электронного письма, которое заверено квалифицированной электронной подписью — оно приравнивается к бумажному документу.

Зачем отзывать согласие?

Без согласия никакие действия с личной информацией по закону производиться не могут. Однако в том случае, когда личными данными распоряжается стороннее лицо, для владельца наступают не самые лучшие времена:

1. Его личной информацией могут распоряжаться сторонние лица. А это в первую очередь означает, что на контакт могут выходить те, с кем человек не желает иметь никаких дел. Довольно обидно оказывается подать заявление в банк на получение кредита – а потом годами получать спам без своего на то согласия. А это возможно, потому что в этом случае распоряжаться информацией могут и те, кому они не были переданы.
2. Организации, имеющие доступ к информации о своих клиентах, могут навязывать свои услуги. Мало кому понравится после предоставления банку сведений для открытия счёта – потом годами получать «холодные звонки» (то есть просто телефонный спам).

Если отзыв согласия не помог?

С того момента, как согласия на обработку персональных данных у организации больше нет, она не может использовать эти сведения никаким образом. Однако зачастую информация продолжает использоваться после отзыва согласия.

Читайте по теме:

Согласие на обработку персональных данных сотрудника: полный гайд

Россиянам разрешили отзывать согласие на обработку биометрии через «Госуслуги»

В том случае, если оператор забыл правила об обработке персональных и принадлежащих клиенту данных и продолжает их применять в деловом обороте, его ждет ответственность по ст. 13.11 КоАП РФ с весьма солидным штрафом:

• от 30 до 150 тыс. рублей — для компаний;
• от 6 до 10 тыс. рублей — просто гражданам;
• от 20 до 40 тыс. — для должностных лиц, которые обязаны обрабатывать персональные данные других граждан.

Для возбуждения административного дела нужно:

• подать жалобу о неправильной обработке персональных сведений и данных в местное подразделение Роскомнадзора по месту жительства человека, чьи права были нарушены недобросовестными операторами;
• если нарушение допущено банком или МКО (микрокредитной организацией) — можно подавать жалобу в Центробанк РФ, который лицензирует деятельность в этой области.

Роскомнадзор и Центробанк обязаны отчитаться о предпринятых мерах в срок не позднее 30 дней с момента, когда обращение было подано и зафиксировано их канцелярией.

В каких случаях отзыв согласия не имеет значения?

Несмотря на то что личные для конкретного человека сведения защищены законом, есть ситуации, когда отозвать ранее это разрешение на работу с ними не получится. Вот примеры таких ситуаций:

• Участие в судопроизводстве — информация о судебных актах будет сохраняться с указанием как минимум имени человека, который был участником процесса.
• Работа иных государственных органов с конкретным гражданином — нельзя, например, потребовать, чтобы МВД удалило из своих баз все сведения о конкретном человеке.
• Участники гражданско-правовых договоров, заключенных с конкретным физическим лицом. Например, если ИП заключает договор с какой-то фирмой, предприниматель не может ей подать заявление о том, что отзывает согласие по обработке персональных данных — точнее, провести такую подачу он может, но фирма не обязана уничтожать эти сведения о контрагенте.
• Ситуации, в которых хранение информации требуется для защиты жизни и здоровья самого человека — например, сведения из медицинской карты.
• Работа журналистов.

В некоторых случаях отозвать согласие на обработку персональных данных невозможно. Полный список таких ситуаций находится в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона №152-ФЗ. Именно он регулирует вопросы хранения и использования личных сведений о любом человеке, который находится в Российской Федерации.

Читайте по теме:

Чек-лист для стартапов: 12 шагов к соблюдению GDPR

Неструктурированные данные: как контролировать, зачем управлять и как избежать утечек

Самая частая ситуация, когда отозвать персональные данные невозможно — это неисполненный кредитный договор с задолженностью клиента. Именно поэтому бессмысленно обращаться в банки и микрокредитные организации: пока нет погашения долга, они даже не станут рассматривать этот вопрос и продолжат хранить сведения о клиенте. Зато когда обязательства исполнены, можно отозвать согласие на обработку персональных данных, которое было подписано при заключении договора.

Фото на обложке: Unsplash

Отозвать согласие у работодателя

Под обработкой персональных данных понимают любые действия с ними, например, хранение, систематизацию, обновление, передачу, утилизацию. При трудоустройстве работодатель запрашивает информацию, которая нужна для оформления кадровых документов:

Согласие на обработку персональных данных работник подписывает отдельным документом или в составе трудового договора. После этого работодатель становится оператором персональных данных и уведомляет Роскомнадзор об их обработке и хранении. 

В любой момент работник может отказаться от обработки. Для этого нужно подать заявление на имя работодателя. Его составляют в произвольном виде, специальной формы нет.

Картинка с сайта: life.akbars.ru

Пример отзыва согласия на обработку персданных у работодателя

Если человек отзывает согласие после увольнения, его личная карточка продолжает храниться в архиве 50 или 75 лет — срок зависит от даты увольнения. Работодатель не будет работать с этими данными, но и уничтожить их не сможет.

Отозвать согласие из поликлиники

Пациент государственной или платной клиники подписывают согласие на обработку персданных при первичном обращении, когда ему заводят медицинскую карту. Помимо ФИО и другой личной информации, к персональным медданным относят:

Отозвать согласие можно после окончания лечения или спустя несколько лет. Соответствующее заявление нужно передать лечащему врачу или направить в медучреждение по почте. 

Картинка с сайта: life.akbars.ru

В согласии на обработку персданных прописывают возможность отзыва

Отказаться от сбора персданных в банке, магазине, онлайн-сервисе

Когда человек оформляет карту в банке, заказывает товар в интернет-магазине, участвует в акции или регистрируется на интернет-портале, у него запрашивают личные сведения и согласие на их обработку. 

Набор сведений зависит от целей, для которых данные нужны. Например, при получении кредита банк проверяет клиента по базам МВФ, службы приставов, запрашивает его кредитную историю, сведения о доходах. Получить эти сведения без согласия человека невозможно. Кроме этого, банк должен знать:

Пока человек пользуется услугами банка, он не может отозвать согласие на обработку персональных данных. В противном случае кредитная организация не сможет исполнять договор. Но и после отзыва сведения о клиенте будут храниться в банке еще пять лет. Отзыв согласия нужен, чтобы банки перестал докучать бывшему клиенту рекламными предложениями. 

Аналогичные условия работают и с другими организациями: человек может отозвать персданные у сотового оператора, когда перейдет в другую компанию; у интернет-магазина — когда получит заказ. 

Картинка с сайта: life.akbars.ru

Заявление на отзыв согласия можно отнести лично или отправить по почте

Отказаться от сбора биометрии

Биометрия — это сведения, характеризующие физиологические и биологические особенности человека: 

В России работает Единая биометрическая система (ЕБС), в которой хранится информация для идентификации личности: фотографии, аудио- и видеозаписи, отпечатки пальцев. Обработка биометрических данных вне ЕБС в России запрещена. Чтобы отозвать согласие на обработку персданных из ЕБС, нужно подать заявление через МФЦ.

Как отозвать согласие на Госуслугах

Помимо бумажного заявления, отозвать согласие на обработку персональных данных можно через государственный портал. В личном кабинете Госуслуг вы можете посмотреть, какие организации хранят и обрабатывают персданные. Для этого в меню «Согласия и доверенности» откройте раздел «Согласия» и посмотрите информацию. 

Картинка с сайта: life.akbars.ru

Согласия, разрешения и доверенности на Госуслугах

Зайдите в профиль нужного ведомства и просмотрите все выданные согласия и нажмите «Отозвать».

Картинка с сайта: life.akbars.ru

Кликните по кнопке, чтобы отправить заявление на прекращение обработки персданных

Картинка с сайта: life.akbars.ru

Выберите причину отказа и отзовите согласие

Также на портале Госуслуг можно узнать, какие сторонние сайты используют сведения из личного профиля, и закрыть доступ. Для этого перейдите в раздел «Разрешения», просмотрите открывшийся список и выберите сайты и сервисы, которым закрываете доступ. 

Картинка с сайта: life.akbars.ru

Картинка с сайта: life.akbars.ru

Отзовите разрешение на предоставление личной информации, если не хотите ее распространения

Что будет после отзыва согласия на обработку персданных

Когда оператор получит вашу заявку, он будет обязан прекратить обработку персданных и в течение 30 дней удалить их из своей базы. Конфиденциальные сведения оператор продолжает хранить в случаях, предусмотренных законом:

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Как отозвать согласие на обработку персональных данных

Приходят тысячи рассылок, вы их в спам, но они все равно лезут? Отзовите согласие на обработку персональных данных, а не помогает – пожалуйтесь в Роскомнадзор

Картинка с сайта: www.advgazeta.ru

Фото: фотобанк Freepik/@freepik