Вы нашли свои данные там, где их быть не должно. Имя, номер телефона, адрес, может быть, паспортные данные - всё это висит в открытом доступе или оказалось у посторонних людей. Компания, которой вы когда-то это доверили, игнорирует или отмахивается. Знакомо?
Хорошая новость! Вы можете заставить компанию убрать ваши данные. Без юриста и без больших расходов, но только если вы не совершите ошибки, которые позволяют компании законно вам отказать.
Что вообще считается персональными данными
Персональные данные - это любая информация, которая прямо или косвенно идентифицирует вас как человека. Определение закреплено в ст. 3 Федерального закона № 152-ФЗ «О персональных данных».
Что сюда входит:
- Имя, фамилия, отчество
- Номер телефона, адрес электронной почты
- Домашний адрес
- Паспортные данные
- Фото и видео, по которым вас можно опознать
- ИНН, СНИЛС
- IP-адрес в сочетании с другими данными - в ряде случаев тоже
То есть даже связка «имя + телефон» уже персональные данные. Если она оказалась в открытом доступе без вашего согласия - это нарушение.
Кто несёт ответственность за утечку персональных данных
Компания, которая собрала ваши данные и допустила утечку или продолжает их использовать без оснований, называется оператором персональных данных. Это может быть интернет-магазин, банк, клиника, агрегатор, работодатель, сервис доставки - любая организация или даже ИП.
Оператор обязан:
- Обрабатывать данные только при наличии законного основания (вашего согласия, если иное не предусмотрено законом)
- Удалить данные по вашему требованию, если основания для обработки отпали
- Уведомлять Роскомнадзор об утечках
Если он этого не делает - он нарушает закон. И это уже интересно.
По закону
В 2022 году в 152-ФЗ внесли изменения (Федеральный закон № 266-ФЗ от 14.07.2022). Ужесточили требования к операторам, расширили права граждан и увеличили ответственность компаний.
В 2024 году пошли дальше: приняли закон, который ввёл уголовную ответственность за крупные утечки персональных данных. Административные штрафы по ст. 13.11 КоАП РФ тоже выросли - сейчас они могут достигать нескольких миллионов рублей для организаций.
Компании это почувствовали. Жалоба в Роскомнадзор сегодня это реальный риск для бизнеса. И они об этом знают.
Как защитить свои персональные данные
1. Пишем заявление оператору персональных данных
По ст. 21 Федерального закона № 152-ФЗ, оператор обязан прекратить обработку ваших данных и уничтожить их в течение 30 дней с момента получения вашего заявления - если у него нет законных оснований продолжать обработку.
Если обработка изначально незаконна (например, данные были получены без вашего согласия) - срок 10 рабочих дней.
Что писать в заявлении
Закон не требует специальной формы. Но чтобы заявление сработало, в нём должно быть:
1. Ваши ФИО и контактные данные
2. Чёткое указание, какие именно данные нужно удалить (или перечень)
3. Требование прекратить обработку и уничтожить данные
4. Ссылка на ст. 21 Федерального закона № 152-ФЗ
5. Дата и подпись.
Шаблон заявления можно найти на сайте Роскомнадзора или составить самостоятельно - никакой нотариус не нужен.
Как отправить заявление
Я всегда советую отправлять ценным письмом с описью, так у вас есть доказательство что и кому вы отправляли. Можно отправить через официальный сайт компании - если там есть форма обращений, сделайте скриншот с датой и номером обращения. Либо по электронной почте - с запросом уведомления о прочтении. Скриншот письма и подтверждение отправки сохраните.
У вас должно остаться подтверждение того, что компания получила заявление и когда именно.
2. Жалоба в Роскомнадзор - бесплатно и онлайн
Если через 30 дней (или 10 рабочих дней при незаконной обработке) компания не ответила, отказала без оснований или ответила отпиской - идём в Роскомнадзор.
Роскомнадзор - это федеральный орган, который надзирает за соблюдением законодательства о персональных данных. Жалоба туда бесплатная и подаётся онлайн.
Как подать жалобу
Способ 1 - через сайт Роскомнадзора:
Перейдите на rkn.gov.ru → раздел «Обращения граждан» → «Подать обращение». Выберите тему, связанную с нарушением обработки персональных данных.
Способ 2 - через Госуслуги:
На портале gosuslugi.ru можно найти услугу «Подача жалобы на нарушение обработки персональных данных» и подать обращение авторизованно - это удобнее, данные подтягиваются автоматически.
Что приложить к жалобе
- Копию вашего заявления оператору
- Подтверждение его получения (трек-номер, скриншот, уведомление)
- Ответ компании (если был) или объяснение, что ответа нет
- Описание, где именно находятся ваши данные и какие именно
Чем конкретнее жалоба - тем лучше. Напишите не «там где-то мои данные», а «на сайте (название), в разделе (ссылка), опубликованы мои ФИО и номер телефона».
РКН рассматривает жалобу и может провести проверку оператора, выдать предписание об устранении нарушения, составить протокол об административном правонарушении.
Для компании это уже серьёзно. Штрафы по ст. 13.11 КоАП РФ реальные и с каждым годом становятся больше.
3. Суд - и это не так страшно, как кажется
Если РКН не помог или вы хотите получить компенсацию - остаётся суд. По ст. 17 Федерального закона № 152-ФЗ вы вправе защищать свои интересы в судебном порядке.
Сразу скажу: юрист для этого не обязателен. ГПК РФ разрешает гражданам представлять свои интересы в суде самостоятельно.
Что можно требовать через суд
- Обязать компанию удалить данные
- Взыскать компенсацию морального вреда
- Взыскать убытки, если они доказаны
Но вы должны учитывать, что суд - это время, нервы и не гарантированный результат. Если цена вопроса небольшая, суд может обойтись дороже, чем дать. Но если данные серьёзные (паспорт, медицинская информация, финансовые данные) и компания явно нарушает закон - вполне можете пойти через судебный порядок.
3 ошибки, из-за которых вы не получили результат
Вы сделали всё правильно, но ничего не вышло? Скорее всего, дело в одной из этих ошибок.
- Ошибка 1. Отправили заявление, но не сохранили доказательств
Устная просьба в чате - не заявление. Если нет подтверждения факта обращения, для компании его как будто не было.
- Ошибка 2. Требовали «удалить всё» без конкретики
«Удалите мои данные» - это не работающее требование. Оператор должен понять, какие именно данные, откуда и на каком основании. Чем конкретнее написано, тем сложнее законно отказать.
- Ошибка 3. Не учли, что у компании может быть законное основание продолжать обработку
Это самый неприятный момент. Оператор вправе отказать в удалении, если обработка данных нужна:
- Для исполнения договора с вами
- Для соблюдения требований закона (например, хранение документов по налоговому законодательству)
- Для защиты своих прав в суде
Если такое основание есть - закон на их стороне. Поэтому прежде чем писать заявление, подумайте: нет ли у вас с компанией действующего договора? Не должны ли вы им что-то? Не идёт ли судебный спор? Если всё чисто - требование законно и у компании нет оснований отказывать.
Если данные слил не один оператор и они уже расползлись по разным сайтам
Каждый сайт, который хранит или публикует ваши данные, является самостоятельным оператором. С каждым придётся работать отдельно.
Если данные появились в поисковой выдаче, у них есть отдельная процедура «права на забвение». Яндекс, например, принимает заявки на удаление из поиска через специальную форму на support.yandex.ru - при наличии оснований.
Защищайте свои персональные данные и ничего не бойтесь!
Если статья была полезной, сохраните её, она может пригодиться. А если уже сталкивались с утечкой данных, напишите в комментариях, как разрешилась ситуация.