Запрет на использование персональных данных

В Думу внесли законопроект о праве требовать удаления опубликованных персональных данных

МОСКВА, 17 ноября. /ТАСС/. Член комитета Госдумы по информационной политике Антон Горелкин во вторник внес в Госдуму законопроект, запрещающий использовать общедоступные персональные данные без согласия владельца, а также предоставляющий право требовать от оператора их удаления. Текст во вторник размещен в электронной базе данных нижней палаты.

Согласно законопроекту, согласие субъекта персональных данных является «исключительным правовым основанием» для обработки сведений, сделанных общедоступными. Содержание такого согласия должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные персональные данные. Оно может быть предоставлено оператору непосредственно либо с использованием информационной системы Роскомнадзора. «Оператор обязан обеспечить субъекту персональных данных возможность определить перечень общедоступных персональных данных по каждой категории персональных данных, указанной в согласии», — говорится в проекте. Не допускается получение оператором согласия «по умолчанию или бездействию субъекта персональных данных», уточняется в документе.

«Дополнительно вводится право субъекта персональных данных установить запрет на осуществление неограниченным кругом лиц обработки его общедоступных персональных данных (кроме получения доступа) и условия такой обработки, а также обязанность оператора информировать указанных лиц об имеющихся условиях и запретах», — указывается в законопроекте.

Инициатива дополняет понятие «общедоступные персональные данные» формулировкой о необходимости соблюдения условий и запретов на обработку личных сведений. «Если законопроект будет принят, каждый сайт, на котором вы регистрируетесь, обязан будет спросить вас, что из данных о себе вы разрешаете публичить и передавать третьим лицам. А если сайт нарушит условия соглашения с вами — он получит штраф за нарушение обработки персональных данных», — пояснил Горелкин в своем Telegram-канале.

По его словам, смысл законопроекта состоит в том, чтобы каждый пользователь сам решал, какую информацию о себе он готов предоставить интернет-ресурсам и на каких условиях. «А главное, чтобы мог ее удалить по своему желанию», — заключил Горелкин.

В новость были внесены изменения (21:44 мск) — дополняется второй абзац, четвертый абзац приводится в новой редакции, добавлены комментарии депутата.

Вступил в силу закон о праве требовать удаления персональных данных в интернете

Вступил в силу закон о праве требовать удаления персональных данных в интернете

МОСКВА, 1 марта. /ТАСС/. Закон о запрете распространения персональных данных граждан России без их специального согласия вступил в силу с 1 марта. Операторы теперь обязаны удалять персональные данные по первому запросу их владельца.

Автор закона — депутат, член комитета Госдумы по информполитике Антон Горелкин пояснил ТАСС, что с 1 марта каждый гражданин России впервые станет полноправным хозяином своих персональных данных в интернете.

Теперь граждане могут потребовать от любого ресурса в сети (сайт, соцсеть, мессенджер и так далее) прекратить распространять персональные данные. У администрации ресурса будет три дня на рассмотрение заявки и принятие решения по ней. Если через три дня ресурс продолжает распространять данные, гражданин вправе подать в суд.

«Отказать в удовлетворении требования могут, только если распространение ваших персональных данных представляет общественную значимость. Например, ваше имя упоминается в журналистской публикации на важную тему или связано с обнародованием материалов резонансного уголовного дела. Но даже в этих случаях у вас все равно остается право на суд, и владельцы ресурса должны будут доказать законность публикации ваших персональных данных в каждом конкретном случае», — пояснил Горелкин.

Он также сказал, что все это касается даже той информации, которую гражданин сам о себе выложил в публичный доступ. «Увидели опубликованный скрин вашей открытой страницы в соцсети — уже можете требовать его удалить. Аналогично с номером телефона, домашним адресом и даже просто вашим лицом. И тот факт, что информация взята из открытого источника, не будет оправданием для ее распространителя», — указал депутат.

Отдельное согласие

Также с 1 марта у граждан РФ должны будут спрашивать отдельное согласие на распространение личной информации. При регистрации на любых интернет-ресурсах, сказал Горелкин, уже недостаточно будет «галочки» под пользовательским соглашением: «Должен быть отдельный вопрос с возможностью прямого ответа на него. Никаких «подразумевается по умолчанию» и прочего юридического камуфляжа».

Перерегистрироваться на тех платформах, где уже есть аккаунты, не понадобится. Дополнительных запросов со стороны соцсетей или мессенджеров по поводу персональных данных пользователя сейчас тоже не будет. Но при перезаключении пользовательского соглашения, например, после очередного обновления ресурса, у пользователя уже должны будут спросить согласие в соответствии с новой нормой. Горелкин отметил, что на практике взаимодействие пользователя с интернет-ресурсами принципиально не изменится. Свои запросы по поводу персональных данных можно писать в той же форме обратной связи, которая использовалась на сайте до этого. Или же направлять их на официальный почтовый ящик организации, которая владеет ресурсом.

В пресс-службе Роскомнадзора ТАСС пояснили, что новый закон определяет согласие гражданина как единственное условие для распространения персональных данных. Он дает возможность определить перечень тех сведений, которые он готов сделать общедоступными. Кроме того, подчеркнули в ведомстве, операторы теперь обязаны удалять персональные данные по первому запросу их владельца.

До вступления закона в силу персональными данными, размещенными в общем доступе, например, открытыми профилями в социальных сетях, анкетами поиска работы на рекрутинговых сайтах и так далее мог воспользоваться неограниченный круг лиц. В частности, скопировать и далее распространить их на иных интернет-ресурсах без соответствующего согласия гражданина. Теперь в ситуации, когда персональные данные оказалась доступны неограниченному кругу лиц в результате правонарушения, преступления или форс-мажора, любой оператор, допустивший их дальнейшее распространение и тиражирование, обязан будет подтвердить законность своих действий или принять меры по прекращению такого распространения.

Например, пояснили в ведомстве, если произошла утечка базы данных какой-либо организации, ресурс или пользователь, разместивший у себя на веб-сайте или на странице в социальных сетях эту базу или ее часть, будет обязан доказать законность ее копирования, распространения и обработки. Если доказать законность обработки не удастся, то сайт должен удалить персональные данные либо его владелец будет оштрафован.

24 февраля был опубликован закон, согласно которому размер штрафов будет достигать 100 тыс. рублей. Штраф за повторное правонарушение может достигать 300 тыс. рублей. Закон вступит в силу через 30 дней со дня опубликования. Сейчас штраф за подобные нарушения достигает 50 тыс. рублей.

Эксперимент. Легко ли забрать у банка свои персональные данные? А узнать, как их хранят?

Эксперимент. Легко ли забрать у банка свои персональные данные? А узнать, как их хранят?

Мы разрешаем использовать свои личные данные, когда устанавливаем приложение, регистрируемся на сайте, получаем карту клиента в фитнес-клубе, оформляем кредит или зарплатную карту в банке, покупаем сим-карту мобильного оператора и общаемся в соцсетях.

Трудно представить человека, способного назвать примерное число компаний, у которых есть копии его паспорта, данные о доходе, образовании, профессии, адрес и телефон. Если вы не отшельник, а обычный житель города, — сотни организаций хранят о вас эти сведения.

Эти данные нужны им, чтобы обслуживать нас, а еще рекламировать услуги — предлагать кредит, авиабилеты или тренировки в спортзале. Но проблема не только в том, что нам предлагают что-то, когда мы об этом не просим. А в том, что базы с нашими данными передаются третьим лицам. Легально, когда мы сами (обычно не глядя) подписываем согласие с такими условиями. Нелегально — ими торгуют сотрудники. А еще базы данных воруют хакеры. И в итоге вам звонят из компаний, в которых вы не обслуживались, или вашим родителям звонят незнакомые и просят прислать деньги, потому что вы якобы в беде.

Любой человек по закону может просить у компаний отчитаться, как используют его личные данные, а также запрещать им продолжать обработку. Мы проверили — насколько легко реализовать эти права. Один редактор ТАСС отзывает персональные данные у банка, второй — требует отчет у мобильного оператора, а третий — «чистит» смартфон.

Эксперимент № 1. Запретить банку использовать личные данные

Анастасия Степанова, редактор неновостных материалов ТАСС. Отзывает у банка согласие на обработку персональных данных.

Я захожу в московское отделение Райффайзенбанка на Страстном бульваре и говорю то, что менеджеры слышат от клиентов не каждый день: «Мне нужно отозвать свои персональные данные у вашего банка».

У меня была зарплатная карта в этом банке. Пару лет назад истек срок действия. Два-три раза в год мне приходят sms с предложением кредита. Меня не раздражают сообщения, но я знаю, что утечки данных клиентов крупных компаний случаются довольно часто. И если можно снизить риски, забрав личные сведения у организации, где вы уже не обслуживаетесь, то почему так не сделать?

Я не нахожу новостей о массовых утечках персональных данных клиентов конкретно Райффайзенбанка. Хотя Google выдает неприятную историю о специалисте службы поддержки компании, который передавал заказчикам данные некоторых клиентов. Информация о каждом стоила две тысячи рублей. Покупатели хотели знать, где фактически живет человек, его семейное положение, сколько у него детей, адрес электронной почты, телефон.

Я приготовилась отвечать на вопросы менеджеров вроде: «Зачем вам отзывать данные? Что-то случилось?» «Я часто вижу новости об утечках персональных данных. Это вызывает беспокойство», — повторила я про себя. И еще — цитировать статьи из Закона о персональных данных (смотрите ст. 14−15 ФЗ). Но мне не задают вопросов, сотрудник ресепшен быстро понимает, что мне нужно, и назначает менеджера.

Менеджер выдает мне бланк заявления об отзыве персональных данных. Я, как следует из него, прошу «прекратить обработку моих персональных данных в срок, не превышающий 30 дней с момента подачи заявления». Я могу выбрать, как узнать о решении банка, — прийти в отделение, получить ответ по «Почте России» или по электронной почте. Удобнее всего, конечно, получить письмо на электронную почту. И я, чтобы отозвать персональные данные, уже имеющиеся у банка, оставляю адрес электронной почты, который он не знал.

Мне отдают копию заявления и согласия на обработку персональных данных, подписанного мной несколько лет назад. В согласии сообщается, что банк вправе отказаться уничтожать мои личные данные. Прошу юриста объяснить, в каких случаях так может произойти.

  • Что написано в согласии на обработку персональных данных:

«Есть ряд оснований, по которым оператор имеет право обрабатывать персональные данные. И наличие согласия субъекта — только одно из оснований», — объясняет Людмила Космовская, адвокат. Если у вас заключен любой договор с банком, то он имеет право продолжать обрабатывать данные по следующим причинам (кроме согласия):

  • для целей исполнения договора (п. 5 ч. 1 ст. 6 Закона о персональных данных);
  • банк обязан сохранять идентифицирующие клиента документы в течение не менее пяти лет с момента истечения договора (ч. 4 ст. 7 ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»);
  • обязан хранить первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет (ч. 1 ст. 17 ФЗ «О бухгалтерском учете»).

«Вы вправе запросить в банке акт о прекращении обработки ваших персональных данных, — уточняет Людмила Космовская. — Какое-то время вам могут продолжать звонить с предложениями услуг. Информация о прекращении обработки данных может идти в кол-центры банка пару недель. И часто банки дают заказ на обзвон физлиц сторонним кол-центрам, которым передают свои базы данных с вашими контактами. Если вы хотите таким образом прекратить звонки с предложениями кредитов — не факт, что у вас это получится. Но это не означает, что банк не будет нести ответственности перед клиентом за звонки кол-центров. Согласно закону, оператор несет ответственность перед субъектом, даже если поручает обработку данных другому лицу».

В процессе обслуживания менеджер банка ответил мне, что клиенты редко обращаются с такими запросами. В пресс-службе компании отказались сообщать, сколько человек просят прекратить использовать их личные данные ежегодно или ежемесячно.

Эксперимент № 2. Получить у мобильного оператора отчет о работе с персональными данными

Арина Раксина, редактор неновостных материалов ТАСС. Пытается узнать, какие ее персональные данные есть у мобильного оператора и что он с ними делает.

Я пользуюсь услугами «Билайна» уже десять лет. Ни договора, ни тем более подписанного согласия на обработку персональных данных на руках у меня давно нет. Поэтому первым делом звоню в службу поддержки и спрашиваю, могу ли получить отчет о моих персональных данных, которые есть у компании.

Первая реакция ожидаемая — сотрудница кол-центра не понимает, что именно мне нужно. Уточняю, что хочу знать, какие мои данные есть у компании, что она с ними делает, для каких целей, и передавала ли третьим лицам. Я имею право знать об этом, как говорится в 7 части ст. 14 закона «О персональных данных». Оператор пытается узнать, не случилось ли у меня что-то и почему я переживаю за сохранность данных. Отвечаю, мол, нет, просто я — сознательный пользователь и беспокоюсь о безопасности своих данных.

Любопытство, не связанное с какой-то проблемой, обычно удивляет. Недавно работник одного сервисного центра точно также недоумевал, зачем проверять, «белый» у меня смартфон или нет, если все и так нормально работает.

Оператор предлагает мне обратиться в офис. Там я по второму кругу прохожу через непонимание, вопросы, все ли в порядке, и заверения, что данные не могли никуда утечь. Менеджер признается, что к ним никто не обращался с таким запросом. И сразу она мне помочь не может. Во внутренней поддержке для сотрудников ей отвечают, что подробную информацию о персональных данных могут выдать только по запросу правоохранительных органов. Вот если бы я просто хотела отозвать согласие — все было гораздо проще.

Ситуацию спасает второй сотрудник. Он предполагает, что нужная информация указана в согласии на обработку персональных данных. Это действительно так. В распечатанном согласии, кроме моих паспортных данных и своего юридического адреса, оператор перечисляет:

  • Зачем он собирает данные.

Ведущий эксперт правового консалтинга «Гарант» Лариса Амирова говорит, что не стала бы подписывать такое согласие: «Оператор собирает информацию в маркетинговых целях, а не только для оказания услуг связи». Она считает, что согласие на обработку данных в указанных целях можно и отозвать.

Кстати, документ о политике «Обработки персональных данных» от 2017 года самого «Билайна» в списке целей разносит взаимодействие в рамках заключенных договоров об оказании услуг связи и продвижение товаров, работ и услуг оператора и его партнеров.

  • Что оператор делает с данными.
  • Какую именно информацию оператор обрабатывает.

В Национальном бюро кредитных историй (НБКИ) удивились формулировке про информацию, полученную от кредитных бюро: непонятно, с какой целью и на каком основании оператор собирает эти данные.

Мне приходится еще раз обратиться в компанию. Теперь сотрудник отвечает, что «как вариант, данные могут собираться для составления истории плательщика. Если не оплачивать задолженность по услугам связи, то долг может быть передан в коллекторское агентство для его дальнейшей оплаты».

Заместитель директора по маркетингу НБКИ Владимир Шикин подтверждает, что поправки 2014 года в закон «О кредитных историях» дают поставщикам услуг ЖКХ и связи право (но не обязанность) передавать в кредитную историю долги, подтвержденные судом. «Если пользователь не оплачивает услуги, есть решение суда о признании долга, и этот человек в течение десяти дней с даты решения не передал данные, то поставщик услуг может направить информацию в НБКИ. Этой возможностью активно пользуются поставщики ЖКУ, но не мобильные операторы», — объяснил эксперт.

В Объединенном кредитном бюро (ОКБ) рассказали, что у них мобильные операторы не запрашивают информацию о кредитной истории граждан. Но теоретически сделать это может любое юрлицо или индивидуальный предприниматель при наличии согласия. Информация о том, кто интересовался кредитной историей человека, кстати, остается в этой истории, и ее можно узнать.

  • Сроки обработки данных и сколько они будут храниться у оператора.

Мне не удается получить внятного ответа, могу ли я отозвать согласие и остаться клиентом компании. Если верить сайту , то могу. Но оператор все равно вправе продолжить обработку персональных данных. В силу статьи 53 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» «согласие субъекта персональных данных при исполнении договора об оказании услуг связи не требуется».

В пресс-службе Роскомнадзора отметили, что «субъект персональных данных вправе отозвать согласие на обработку персональных данных в целях продвижения товаров, работ и услуг. И обработка персональных данных для подобного рода услуг осуществляться не будет при условии отсутствия иных правовых оснований, предусмотренных статьей 6 закона «О персональных данных».

  • Сведения о третьих лицах, которые могут получить доступ к персональным данным.

Я нахожу список лиц , «для продвижения товаров, работ и услуг которых осуществляется обработка персональных данных и на получение информации от которых получено согласие». Он не очень большой — 18 компаний, 11 из них — банки, микрофинансовая компания и небанковская кредитная организация, две страховые, две сервисные компании, одно транспортное предприятие, одно торгово-сервисное и организация, отвечающая за хранение документов. Также отдельно на сайте можно отыскать и перечень лиц, привлекаемых к обработке персональных данных.

Корректно ли мне ответили? Эксперты объясняют, что закон не предусматривает конкретной формы, как должен выглядеть ответ на подобный запрос. Документ только перечисляет информацию, которую оператор данных должен сообщить. В Роскомнадзоре уточнили, что предоставлять информацию, касающуюся обработки персональных данных, тот должен в бумажной или электронной форме. И, по сути, всю предполагаемую законом информацию я узнала. Кстати, я обратилась еще в несколько офисов с этим запросом, ситуация та же — в лучшем случае мне предлагали распечатать согласие на обработку данных.

Лариса Амирова напоминала, что в законе есть такой пункт, как «иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами”. Человек, по сути, может попытаться узнать о своих персональных данных любую информацию.

Закон предполагает, что человек должен получить ответ в «доступной форме». Но стандартов этой формы тоже нет. Эксперты уточняют: это означает, что человек должен понять предоставленные ему данные. Но то, что понятно одному, может быть непонятно другому. Менеджер, распечатавшая мне копию согласия на обработку данных, призналась, что не понимает, о чем в нем говорится. Поняла ли я? В общем, да. Понадобились ли мне уточнения? Конечно — в интернете, службе поддержки самого оператора, в законах.

Был ли эксперимент полезен? Тоже да. По крайней мере, стало очевидно, что ответ будет не персональным, а обобщенным. И основная информация уже есть в форме согласия на обработку данных, которое стоит внимательно читать перед тем, как подписывать, даже если речь идет об онлайн-сервисе.

В пресс-службе «Билайна» не стали комментировать, запрашивают ли их клиенты отчеты об использовании своих персональных данных и как часто это происходит.

Эксперимент №3. Забрать у Facebook доступ к личным данным

Артур Громов, редактор неновостных материалов ТАСС. Забрал у Facebook права доступа к некоторым функциям и рассказывает, что изменилось для него как для пользователя.

Если вы обыкновенный пользователь Facebook, то, скорее всего, сами того не зная, уже «слили» соцсети все свои персональные данные. Я интуитивно понимал это еще до скандалов c Cambridge Analytica и показаний основателя соцсети Марка Цукерберга в Конгрессе США. Поэтому старался поменьше лайкать, не проходил никаких подозрительных тестов и вообще минимизировал свое присутствие в Facebook.

Сейчас же в качестве эксперимента я запретил iOS-приложению Facebook доступ к моей геопозиции, контактам, фото, микрофону и камере. Но скрыться от «большого брата» Цукерберга мне, конечно же, не удалось.

Оцените статью:
[Всего голосов: 0 Средняя оценка: 0]
Добавить комментарий