Отказ от обработки персональных данных: как написать заявление

[Собака]

Отказ от обработки персональных данных — это документ, который составляют, когда человек не разрешает предоставлять кому-либо информацию личного характера. Если согласие уже предоставлено, то вы вправе написать заявление на его отзыв в любое время.

Что относится к персональным данным​

Это понятие достаточно обширное. Федеральный закон № 152 от 27.07.2006 определяет его как любые индивидуальные сведения, прямо или косвенно относящиеся к человеку, позволяющие установить его личность (п. 1 ст. 3). Всего списка персональных сведений закон не предоставляет. Чтобы определить принадлежность конкретных сведений к этой категории, в каждом случае требуется анализировать, есть ли возможность при помощи этих данных определить личность физического лица. Если да, то их относят к персональным данным.
В первую очередь это касается:

• фамилии, имени и отчества;
• данных из удостоверения личности;
• СНИЛС, ИНН;
• даты и места рождения;
• адреса регистрации;
• сведений о заработной плате;
• контактных данных (номера телефона, e-mail) и др.

В законе указаны некоторые категории личных сведений. К первой категории относятся общедоступные данные — это те, на обработку которых дано согласие человека. Доступ к ним есть в справочниках, адресных книгах: ФИО, адрес, телефонный номер, профессия (ст. 8 ФЗ № 152). Вторая категория — специальные. К ним относятся национальность, религия, состояние здоровья, интимная жизнь, политические взгляды и т. д. (ст. 10 ФЗ № 152). Еще одна категория — биометрические — отпечатки пальцев, фото и видео с изображением лица, аудиозаписи голоса человека (ст. 11 ФЗ № 152) и др. К иным относят все остальное: о работе, стаже, семейном положении, интересах и др.

Куда нужно предоставлять персональные данные​

В современном мире предоставлять разрешение на обработку персональных данных требуют при обращении в большинство учреждений, например:

• в поликлинику;
• финансовые учреждения;
• в салоны сотовой связи;
• работодателю при трудоустройстве;
• в детсад, школу;
• при регистрации в интернет-порталах и др.

При запросе любого учреждения на обработку конфиденциальной информации личного характера человек принимает решение и дает согласие добровольно и по собственному интересу (п. 1 ст. 9 ФЗ № 152).

Можно ли отказаться предоставлять персональные данные​

Любой человек, не желающий предоставлять подробности индивидуальных сведений в сторонние организации, вправе написать заявление на отказ от их обработки. Если такое разрешение уже дано, а позже человек передумал, то он вправе отозвать его в любое время. Такую возможность предусматривает п. 2 ст. 9 ФЗ № 152.

После получения отзыва оператор обязан прекратить обработку личных сведений и уничтожить их не позже чем через 30 дней (п. 5 ст. 21 ФЗ № 152).

Необходимо подать оператору заявления на отказ от ОПД, если, по вашему мнению, их используют незаконно, передают третьим лицам, эти действия ущемляют ваши интересы и др. Но закон не предусматривает требование при подаче заявления обязательно объяснить причины отказа на обработку данных.

Только следует понимать, что без предоставления определенных документов не получится получить некоторые услуги — например, в образовательных организациях, в медицинских учреждениях (это не касается экстренной помощи) и др.

Что касается трудоустройства, то без определенных документов оформиться не получится (ч. 1 ст. 65 ТК РФ). Но требовать от претендента на вакансию другие документы незаконно (ч. 3 ст. 65 ТК РФ). В таком случае предоставить работодателю разрешение необходимо с указанием конкретных документов и целей, на обработку которых вы согласны. С этого момента ответственность за их сохранность ложится на работодателя. При расторжении трудового договора работник вправе написать заявление и отозвать согласие.

Как написать отказ​

Единого стандарта для написания заявления об отказе персональных данных в законе не установлено. Это означает, что составлять заявление на отказ вы вправе в произвольном виде. Подойдет обычный лист А5 или А4 или официальный бланк, если такая возможность предусмотрена в организации.
При написании заявления ориентируйтесь на общепринятую структуру по правилам делопроизводства:

• в правом верхнем углу пишут кому (фамилия и инициалы, должность главы компании или физлица, наименование фирмы) и от кого (фамилия, инициалы и паспортные данные заявителя);
• по центру пишут наименование документа: «Отказ от предоставления персональных данных»;
• в основной части — четко формулируете желание отказаться от предоставления оператору конфиденциальной информации;
• отметьте, что вам разъяснили последствия (если это сделано), и уточните о возможности обжаловать это в суде;
• дата и подпись заявителя.

Составляют заявление на запрет обработки личных данных в двух экземплярах: один для оператора, другой остается у гражданина (предварительно зарегистрируйте у секретаря).

Образец отказа от предоставления персональных данных​

Вот как выглядит образец заявления для работодателя при трудоустройстве:

А это образец заявления на отзыв выданного ранее согласия на обработку личных сведений при увольнении:

Для просмотра ссылки необходимо нажать Вход или Регистрация

 

[Marat_1162]

Как не нужно составлять согласие на обработку персональных данных​

И какие согласия не стоит подписывать.

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.
Текст согласия начинается со слов:

Согласие дается мною для целей заключения с Банком любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Банком услугах и распространяется на следующую информацию: фамилия, имя, отчество… и любая иная информация, относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Банку (далее — «Персональные данные»)

Здесь прекрасно все. Даю свое согласие на обработку любых персональных данных с любыми целями. Ага, щас. Вот что нам говорит об этом федеральный закон №152-ФЗ «О персональных данных»:

Для просмотра ссылки необходимо нажать Вход или Регистрация

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Разжевывать не буду. На Хабре люди умные, сами понимаете какие тут коллизии формулировок согласия и закона. А еще немного заставила потупить фраза «любой конкретный момент времени». Хотя может с этой конструкцией и все нормально, если есть филологи, добро пожаловать в комментарии.

Едем дальше. Текст согласия (орфография и пунктуация сохранены):

Настоящее согласие действует в течении 5 (пяти) лет после истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации и договорными отношениями, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия.

Мне жаль огорчать Банк, но согласие в соответствии с

Для просмотра ссылки необходимо нажать Вход или Регистрация

все того же закона «О персональных данных» может быть отозвано в любой момент. Да и вообще что за бред — согласие может быть отозвано только после завершения срока действия согласия?

Далее идет абзац о действиях, которые можно совершать с моими персональными данными. Я даже не буду приводить оттуда цитату. Думаю итак понятно, что действия могут совершаться любые.

Ну и последний абзац тоже шедеврален (орфография и пунктуация сохранены):

Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе некредитной и небанковской организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия.

Просто шикарно. Мало того, что Банк может делать что хочет с моими ЛЮБЫМИ персональными данными, так он еще и имеет право передавать их кому угодно, как угодно, в каком угодно объеме.

Что говорит закон?

Для просмотра ссылки необходимо нажать Вход или Регистрация

:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Извините, но ЭТО назвать «информированным и конкретным» язык не поворачивается.

При этом и регуляторы на проверках по нашему опыту за такие «согласия» сразу выписывают штраф. Я, в общем-то, и начал подписывать не глядя, думая, что такие тексты сгинули где-нибудь в 2012 году, а то и раньше. Печально видеть такое от финансовой организации, в которой наверняка сидит орава юристов.

Что же делать вам как организации? Составлять действительно конкретные и информированные согласия. Четко и не двусмысленно формулировать цели обработки и конкретные категории персональных данных, которые не являются излишними по заявлению к указанным целям. Если планируете передавать персональные данные третьим лицам, то придется попотеть и указать конкретные третьи лица, конкретные передаваемые персональные данные и конкретные цели такой передачи (важно помнить, что здесь не нужно указывать, то что вы обязаны передавать в соответствии с какими-либо Федеральными законами).

Что вам делать как субъекту персональных данных, если видите такое согласие? Тут все зависит от конкретной ситуации. Если вы откажитесь подписать согласие, то вам скорее всего сообщат, что в таком случае вам не смогут оказать услугу. Если услуга вам очень нужна, подписывайте согласие, получайте услугу, но потом можно нажаловаться на нарушение закона «О персональных данных» например

Для просмотра ссылки необходимо нажать Вход или Регистрация

.

И помните, что если вы что-то где-то подписали, то это еще не значит, что Банк или кто-либо еще после этого может творить что захочет с вашими персональными данными. Любые договоры, согласия и прочие документы, прямо противоречащие действующему законодательству являются незаконными.

Что касается конкретной истории, то «куда надо» я сообщил. Ждем развития ситуации. Собственно поэтому пока что не разглашаем название Банка, вдруг одумается и исправится. Если нет, то, видимо, будет вторая часть — продолжение, в том числе с оглашением имен «героев» и реакцией регуляторов.

UPD 29.11.2019:
Пришел ответ от РКН на мое обращение:
… сначала идут цитаты из 152-ФЗ на 2 страницы..., затем:

Дополнительно сообщаю, что оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российский Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора.
В соответствии с пп. «б» п. 8 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13.02.2019 № 146 (далее – Правила), внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных.
Вместе с тем, обстоятельства, указанные в Вашем обращении, не подпадают под основания, установленные Правилами, в связи с чем, Ваше обращение не является основанием для проведения Управлением Роскомнадзора по Приморскому краю внеплановой проверки.
Вы имеете право самостоятельного обращения в суд с исковым заявлением, если полагаете, что нарушены Ваши права как субъекта персональных данных. С порядком защиты Ваших прав можете ознакомиться в главе 3 «Права субъекта персональных данных».

Чего и требовалось ожидать: «Спи спокойно, гражданин, твои права не нарушаются»