Темы использования персональных данных мошенниками вследствие утечек информации регулярно возникают в СМИ. Получение нежелательных звонков, смс-сообщений и рассылок на электронную почту от неизвестных лиц — все это невольно заставляет задуматься о том, насколько защищена наша частная жизнь.
Заполняя анкеты программ лояльности, проставляя галочки на сайтах интернет-магазинов, мы становимся более внимательными к вопросам, что за информация о нас, а главное кому она передается.
Что такое персональные данные?
Законодательство относит к персональным данным любую информацию, относящуюся прямо или косвенно к определенному гражданину (субъекту персональных данных).
Конкретный перечень относящейся к гражданину информации законом не определен. К таким обычно относят:
- ФИО;
- адрес проживания;
- мобильный телефон, email и т.п.;
- пол, возраст, факты биографии;
- заработная плата и иные источники дохода;
- фотографии, медицинские факты;
- паспортные данные, СНИЛС.
В то же время законодательное определение персональных данных нельзя воспринимать буквально. Не каждый номер телефона или адрес почты будет отнесен к персональным данным.
Разобраться, что же является персональными данными, помогает ответ на вопрос: можно ли с помощью какой-то информации идентифицировать конкретного человека? Сведения о религиозных взглядах группы студентов без указания ФИО не позволяют определить вероисповедание определенного человека. Сам по себе адрес электронной почты, не содержащий в себе имени и фамилии гражданина, также не будет охраняться в качестве персональных данных.
Персональные данные можно отнести к трем категориям:
- Общие (базовые, привычные для всех ФИО, номер телефона и т.п.).
- Специальные (расовая, национальная принадлежность, факты о состоянии здоровья, личной жизни, судимости);
- Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, такие как результаты анализов, отпечатки пальцев).
Отличие специальных и биометрических персональных данных в том, что к их защите предъявляются повышенные требования. Их использование возможно только при наличии письменного согласия гражданина и в строго определенных законом случаях.
Где требуется предоставить персональные данные?
С необходимостью предоставления персональных данных мы сталкиваемся повсеместно: при приеме на работу, оформлении кредита, получении медицинских услуг и т. д. Иногда ситуации использования персональных данных не так очевидны (оформление заказа на сайте интернет-магазина, заполнение обратных форм связи, заполнение анкеты для получения карты лояльности).
Согласие субъекта персональных данных — обязательное условие их использования. Но и здесь имеются исключения. Никто не будет получать согласие, если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (человек находится без сознания).
Важно понимать, что согласие не всегда может быть выражено в виде отдельного бумажного документа с соответствующим ожидаемым названием. Оно может проявляться в виде любых действий (нажатие кнопки, открытие страницы и т. п.).
Согласие на обработку получают «операторы» — лица, обрабатывающие персональные данные. Чаще всего это организации или государственные органы.
Обработка подразумевает любые действия, совершаемые оператором с данными (хранение, передача, уничтожение и др.).
Из всех действий можно особо выделить распространение, предполагающее передачу персональной информации неопределенному кругу лиц (например, публикация в СМИ).
В марте 2021 года нормы законодательства ужесточили, и для распространения персональных данных операторам приходится получать отдельное письменное согласие.
Цель, которую преследует оператор, обрабатывая данные граждан, обязательно должна быть определена и доведена до субъекта. Сбор информации ради самой информации не допускается.
Как и кто может отозвать согласие на обработку персональных данных?
Закон предписывает операторам персональных данных обеспечить их гарантированную защиту с помощью технических средств. На практике же часто встречаются ситуации, когда работа с личной информацией организована очень слабо.
Кроме того, сам гражданин может утратить интерес к тому, чтобы его личная информация хранилась у организации в течение длительного времени.
В таких ситуациях возникает вопрос: можно ли отозвать согласие на обработку персональных данных? На него закон дает положительный ответ. Причем сделать это допускается в любое время без каких-либо ограничений.
Подробная поэтапная процедура отзыва согласия законодателем не предусмотрена. Отсутствует также утвержденная форма заявления оператору о прекращении обработки данных.
Основным правилом, требующим соблюдения, здесь будет являться явно выраженное намерение гражданина о прекращении использования его личной информации. Причем в той же самой форме, в какой было дано согласие.
Заявление оператору может быть направлено:
- в письменной форме заказным письмом с уведомлением по адресу места нахождения оператора;
- в электронном виде по адресу, указанному оператором на сайте.
В случае передачи заявления лично оператору (при самостоятельном обращении гражданина по указанному адресу) следует обратить внимание представителя организации на необходимости проставления отметки о получении обращения на втором бланке заявления.
С даты получения оператором обращения гражданина начинает течь срок, в течение которого оператор обязан осуществить необходимые действия по прекращению обработки данных (например, уничтожение) – 30 дней. Именно поэтому важно, чтобы заявление об отзыве содержало дату, позволяющую рассчитать срок правильно.
Существует ряд ситуаций, при которых оператор вправе продолжить обработку персональных данных даже после получения обращения об отзыве. В первую очередь это касается банков, имеющих право хранить персональные данные в течение 5 лет в целях борьбы с легализацией доходов, полученных преступным путем. Также во всех иных ситуациях, связанных со взаимодействием с государственными органами (выплата пенсий, участие в судебном разбирательстве, исполнительное производство и т.д.), отзыв согласия на обработку данных не всегда будет означать прекращение их использования.
Самым эффективным, хотя и не указанным в законе, способом защиты персональных данных является внимательное отношение к личной информации каждого из нас. Здесь важно понимание не только того, что конкретно мы предоставляем в пользование третьим лицам, но и для чего, в каких целях эта информация запрашивается. Действительно ли магазину, в котором мы планируем забирать заказ самостоятельно, требуется наш адрес проживания? Насколько необходимо предъявление паспортных данных в случае записи на курс английского языка?
Каждый раз, сообщая о себе чуть больше, чем следовало, мы рискуем, что наши персональные данные могут быть использованы в недобросовестных целях.
Если же случается так, что:
- персональные данные собраны без получения согласия;
- персональные данные распространены;
- персональные данные использованы неправомерно,
необходимо защитить свои интересы путем подачи жалобы в профильный орган – Роскомнадзор.
Роскомнадзор по сведениям, указанным в жалобе, обязан провести проверку. В случае подтверждения факта незаконного использования персональных данных виновное лицо может быть привлечено к административной ответственности.
Здесь следует учитывать, что за последнее время размеры штрафов для организаций – операторов персональных данных значительно выросли (максимальный размер составляет 75 тыс. руб.), поэтому жалоба в государственный орган может оказаться действенной мерой в защите своих прав.
В случае же, если третьи лица незаконно распространили сведения о частной жизни лица, составляющие его личную или семейную тайну, то виновное лицо может быть привлечено к уголовной ответственности.