Как отозвать согласие на обработку персональных данных

Как отозвать согласие на обработку персональных данных через Госуслуги?

Мы даем согласие на обработку персональных данных в очень многих случаях: при получении кредитного отчета, для подготовки справки о своей недвижимости, судебным приставам, банкам для перепроверки информации о доходе и многим другим, зачастую не обращая на это особого внимания. Сегодня разберемся как отозвать предоставленные согласия через Госуслуги.

Если Вы не отзовете предоставленное согласие на обработку персональных данных, то запросы о Вас будут продолжать поступать даже после получения Вами услуги, для которой и требовалось согласие. В результате сведения об изменении Вашего паспорта, СНИЛС, фамилии и телефона будут почти автоматически и уже без Вашего ведома получать те, о ком Вы уже и забыли, и кому не следует знать это всё.

Прекратить использование Ваших персональных данных в определенном случае (об этом нюансе речь идет дальше) просто, от Вас требуется буквально несколько кликов мышью или касаний пальцем. Читайте дальше или смотрите видеоинструкцию в конце статьи.

Госулуги

Заходите на сайт Госуслуг (вводите логин и пароль) и в самом низу страницы находите: «Единая система идентификации и аутентификации» (ЕСИА). Кликаете на этом пункте меню.

ЕСИА

Так как Вы уже вошли через Госуслуги, а значит удостоверены ЕСИА, Вам остается сначала нажать на кнопку «Зарегистрировать себя», а далее на кнопку «Да, войти!».

Далее Вам нужно меню «Настройки учетной записи» справа вверху. Войдя в него, смотрите в самом низу, слева — там Ваши согласия. Чтобы увидеть их все, нажмите кнопку «Посмотреть все».
У меня оказалось 15 (!) различных организаций, которые имели доступ к моим персональным данным, и далеко не все из них – государственные организации.
Вы можете обнаружить любую организацию, которая использует ЕСИА на своем сайте для проведения идентификации пользователей. Например, банк или МФО.

Как отозвать согласия

Напротив каждого согласия есть «крестик» (обычно по два на каждую организацию), на который и надо нажать для отзыва согласия.
Я рекомендую сохранить согласие на Госуслуги. Остальные – смотрите сами.

Все ли согласия можно отозвать? Есть нюанс

Все согласия, которые Вы давали через интернет с использованием ЕСИА, здесь можно отозвать, кроме согласия, предоставленного кредитору. Читайте об этом в статье «Почему бессмысленно отзывать согласие на обработку персональных данных у кредитора?».

Помимо этого, через Госуслуги невозможно отозвать согласия, которые Вы дали на бумаге или электронно в виде «галочки». Их в этом списке нет, и так просто их не отзовешь: по каждому из них надо писать заявление в ту организацию, который Вы дали согласие на обработку персональных данных.

Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.

Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.

Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?

Если ответ «да», вам надо запрашивать согласие на обработку этих данных.

Например, клиент оставил вам свой email или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.

Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.

Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: «отзыв Алисы К.», «отзыв нашего покупателя из Химок», «отзыв многодетной мамы».

Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.

Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки.

Кира Лукашина, юрист Mindbox

Мы выделили три частых ситуации, когда бизнес собирает клиентские данные и нужно получить согласие на их обработку:

1. Компания собирает на сайте cookie-файлы.
2. На сайте компании клиент может оставить контактную информацию.
3. Компания собирает данные офлайн.

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.

Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.

Сбор клиентской информации компании организуют в разных формах: оформление заказа, регистрация в личном кабинете, поле для ввода номера телефона, на который перезванивает менеджер, подписка на рассылку компании, попапы со специальными предложениями или просьбой оставить отзыв об услуге или товаре.

При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.

Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.

Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом где-то запишет.

Что говорит закон

Возможность и порядок отзыва согласия на обработку персональных данных описаны в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». Рассмотрим, какие наступают последствия отзыва согласия на обработку персональных данных.

После получения заявления о запрете использования личных сведений оператор обязан прекратить работу с данными и, если это возможно, обеспечить их уничтожение. Срок, в который оператор должен выполнить настоящее обязательство, в соответствии с п. 5 ст. 21 закона № 152-ФЗ, не превышает тридцати дней. Но Федеральный закон накладывает определенные ограничения на отзыв разрешения на обработку информации. Например, оператор, невзирая на получение отзыва разрешения, обрабатывает и передает данные, если это необходимо для свершения правосудия (п. 2 ч. 2 ст. 11 152-ФЗ) или защиты жизни (здоровья) субъекта (п. 6 ч. 2 ст. 11 152-ФЗ). Кроме того, работа с информацией продолжается независимо от отмены разрешения для обеспечения пенсионных выплат, уплаты налогов, обязательного медицинского и социального страхования.

Право оператора продолжить обработку сведений, несмотря на отзыв согласия

В отдельных случаях организация, обрабатывающая ПД, может продолжить обработку, несмотря на отзыв согласия.

В соответствии с ч. 2 ст. 9 закона № 152-ФЗ это:

• достижение целей международных соглашений и законодательства (п. 2 ч. 1 ст. 6 закона № 152-ФЗ);
• участие лица в судебных процессах (п. 3 ч. 1 ст. 6 закона № 152-ФЗ);
• исполнительное производство (п. 3.1 ч. 1 ст. 6 закона № 152-ФЗ);
• регистрация гражданина на порталах госуслуг (п. 4 ч. 1 ст. 6 закона № 152-ФЗ);
• исполнение соглашения с субъектом данных (п. 5 ч. 1 ст. 6 закона № 152-ФЗ);
• невозможность защитить жизнь и здоровье гражданина без обработки сведений о нем (п. 6 ч. 1 ст. 6 закона № 152-ФЗ);
• соблюдение прав организации, в частности при просрочке задолженности, без ущемления прав гражданина, данные о котором обрабатываются (п. 7 ч. 1 ст. 6 закона № 152-ФЗ);
• журналистская, научная и иная подобная деятельность без нарушения прав субъектов обрабатываемых сведений (п. 8 ч. 1 ст. 6 закона № 152-ФЗ);
• обезличенная статистика (п. 9 ч. 1 ст. 6 закона № 152-ФЗ);
• общедоступные по инициативе гражданина сведения о нем (п. 10 ч. 1 ст. 6 закона № 152-ФЗ);
• информация, подлежащая раскрытию (п. 11 ч. 1 ст. 6 закона № 152-ФЗ);
• установленные законодательством случаи обработки отдельных категорий сведений (ч. 2 ст. 10 закона № 152-ФЗ);
• использование биометрических данных при пересечении госграницы, в целях обороны страны, при противодействии террористической деятельности и др. (ч. 2 ст. 11 закона № 152-ФЗ).

В каких случаях, согласие на обработку персональных данных вообще не требуется, читайте в готовом решении КонсультантПлюс. Если у вас еще нет доступа к системе КонсультантПлюс, вы можете оформить его бесплатно на 2 дня.

Когда отзыв на обработку персональных данных недействителен

В отдельных случаях, которые предусмотрены законодательством, гражданин не может запретить использовать его личные данные, даже если оформит отзыв ранее данного согласия.

Субъект, который получил согласие, может продолжать использовать личные данные даже после получения отказа, в определенных законом случаях, в т.ч.:

данные используются для целей, которые вменяются оператору законом РФ и предусмотрено их использование без согласия;

данные используются для участия в судебных процедурах, для исполнения судебных предписаний, в целях обеспечения безопасности страны, противодействия терроризму, коррупции и т.п.

Все основания, которые дают оператору право на использование персональных данных после отзыва согласия, приведены в пп. 2-11 п. 1 ст. 6 закона «О персональных данных», а так же п.2 ст. 10, п. 2 ст. 11.

Согласие можно отзывать у любых операторов данных

Напомним, что 30 декабря 2020 г. Президент России Владимир Путин подписал закон, запрещающий использовать общедоступные персональные данные без согласия их владельца, а также предоставляющий право требовать от оператора их удаления. Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. То есть теперь согласие субъекта персональных данных является «исключительным правовым основанием» для обработки сведений, сделанных общедоступными.

Согласно новому закону, любой гражданин может обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без доказывания факта их неправомерной обработки. Причем закон позволит верифицировать субъекта персональных данных без проведения дополнительных процедур идентификации. Также закон исключает возможные случаи сбора оператором избыточных персональных данных.

Как пишет «РИА Новости», законом вводится новый порядок удаления данных по требованию гражданина — теперь оператор персональных данных должен удалить указанную информацию в течение трех рабочих дней без требования доказательств со стороны пользователя. Сбор доказательств переносится на самого оператора. Если интернет-ресурс не выполнит требование гражданина, то будет оштрафован.

Принятие документа может повлечь другие законодательные изменения, например, увеличение штрафов за нарушения в работе с персональными данными, а также продление сроков давности по соответствующим составам правонарушений. Об этом писал ТАСС, ссылаясь на слова инициатора законопроекта Антона Горелкина.

Оформление согласия на обработку персональных данных предложено упростить

Письменное согласие на обработку персональных данных предлагают оформить сразу на несколько различных целей, а вместо номера паспорта — указать уникальный идентификатор. Такие новшества содержит правительственный законопроект, который Госдума планирует рассмотреть на пленарном заседании 16 февраля.

В профильном думском комитете поддержали документ, но настаивают на его доработке. А эксперты предупреждают, что необходимо уточнить формулировки, чтобы людей не стали вынуждать давать «комплексное» согласие на обработку информации о себе, например, при оформлении кредита.

Идентификаторы снова в законе

Госорганы и организации, которые обрабатывают личную информацию граждан, должны заручиться их согласием. В отдельных случаях необходимо письменное разрешение или подписанный электронной подписью документ. Правило распространяется на биометрические данные человека, по которым устанавливают его личность, например, банки. Также письменное согласие требуется, когда обрабатывают информацию о здоровье людей или передают данные за границу. При этом разрешение на обработку действительно, если в нём есть прописанные в законе реквизиты, в том числе ФИО, адрес и паспортные данные. Предложенный Правительством законопроект вместо этого допускает указывать «уникальный идентификатор субъекта персональных данных», который установят в соответствии с законодательством или соглашением сторон. Идентификатор должен обладать свойствами достоверно определять личность гражданина и устанавливать его волеизъявление, говорится в документе.

Как именно будет выглядеть идентификатор, пока не известно, сказал «Парламентской газете» глава Фонда развития цифровой экономики Герман Клименко. «Видимо, хотят ввести некий аналог СНИЛС или ИНН, но для Интернета. В любом случае идентификатор — комплекс информации, который позволяет определить особенности пользователя», — пояснил эксперт. При этом норма касается частного случая — использования идентификатора при оформлении письменного согласия на обработку персональных данных.

Комплексное согласие

Между тем предлагаемое нововведение даёт возможность оформить письменное согласие на обработку персональных данных сразу на несколько целей или нескольким лицам, которые обрабатывают информацию о гражданах по поручению оператора. Для каждой из целей человек выберет, какие именно данные можно использовать, в течение какого срока и как можно отозвать разрешение. В Правительстве отмечают, что это нужно для запуска новых сервисов и услуг, удалённого взаимодействия с клиентами и работниками, а также, чтобы уменьшить количество бумажных согласий.

Документ проанализировали в Комитете Госдумы по информационной политике, информационным технологиям и связи. «Мы считаем этот законопроект важным и необходимым, но требующим доработок. На заседании комитета мы рекомендовали его к принятию в первом чтении при условии, что он существенным образом будет доработан», — сказал «Парламентской газете» председатель комитета Александр Хинштейн.

По сути же, предложение оформлять комплексное разрешение уточняет уже принятый закон, который запрещает операторам передавать персональные данные граждан кому бы то ни было, пояснил Герман Клименко. Этот закон вступит в силу с 1 марта, чтобы защитить людей от навязчивых предложений партнёров оператора, которому человек доверил свои данные. А сейчас норму хотят дополнить, чтобы можно было получить данные на несколько целей один раз, не нарушив при этом право гражданина знать, куда идёт информация. Например, если человек оформляет кредит, он может одновременно разрешить обрабатывать данные банку и страховой компании, которая будет страховать заём, пояснил эксперт.

Читайте также:

С другой стороны, нужно чётко прописать условия оформления согласия на несколько целей, чтобы не было злоупотреблений, считает Клименко. Иначе могут возникнуть ситуации, когда банк станет настаивать, чтобы клиент дал разрешение на обработку данных банку, страховым компаниям, рекламному агентству и прочим, а при отсутствии согласия отказывать в кредите.