ЦБ предложил создать платформу для отзыва согласий на обработку персональных данных — Право на vc.ru

Персональные данные обзаводятся личным контролем

Банк России выступил за создание платформы согласий на коммерческое использование информации о потребителях

Банки и ЦБ хотят создать платформу, позволяющую россиянам давать и отзывать согласия на обработку своих данных не только на «Госуслугах», но и у бизнеса. Воплощению идеи может помешать закон «О персональных данных», говорит юрист

ЦБ предложил создать платформу для отзыва согласий на обработку персональных данных — Право на vc.ru

Банк России обсудит с кредитными организациями создание платформы согласий на использование коммерческих данных. Такой реестр должен дать возможность бизнесу и участникам финансового рынка отслеживать, кто из клиентов и на что дает или отзывает те или иные согласия, а самим гражданам — возможность управлять своими согласиями. Об этом рассказала первый зампред ЦБ Ольга Скоробогатова во время обсуждения с бизнесом проекта «Основные направления развития финансового рынка России» (ОНРФР) на 2022 год и период 2023 и 2024 годов (РБК ознакомился с видеозаписью встречи).

«Мы сделали такую платформу в рамках «Цифрового профиля», но она сейчас касается только предоставления информации с «Госуслуг», из госисточников. Мы двумя руками за то, чтобы такую платформу сделать для коммерческих согласий», — сказала Скоробогатова. Она добавила, что во время обсуждения проекта «Основные направления» ЦБ получил от участников рынка «огромное количество вопросов и уточнений», которые были связаны с созданием этой платформы.

«Цифровой профиль гражданина» был запущен в 2020 году. Эта система интегрирована в «Госуслуги» и позволяет давать или отзывать согласия на использование данных из госисточников в кредитных организациях. Сейчас «Цифровой профиль» объединяет 27 типов сведений: паспортные данные, адрес, ИНН, водительские права, место работы, перечень имущества в собственности и др.

Представитель ЦБ в ответ на запрос РБК пояснил, что в случае реализации проекта такая платформа позволит значительно упростить процесс предоставления данных из разных коммерческих источников с согласия гражданина и управлять этими согласиями. «Банк России считает идею перспективной и целесообразной для реализации», — сказал он, добавив, что регулятор готов изучить этот вопрос на площадке Ассоциации ФинТех (АФТ). АФТ уже начала работу над проектом и создаст по нему рабочую группу, рассказал ее представитель.

«Платформа может стать неким агрегатором персональных данных. То есть различные сферы бизнеса могут получать персональные данные пользователей, которые еще не являются их клиентами», — говорит руководитель направления «Разрешение IT & IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.

Зачем банкам нужна платформа коммерческих согласий

К коммерческим согласиям может относиться согласие клиента банка, сотового оператора, сервиса такси и т. на передачу компанией накопленных данных о нем за время пользования услугами. Участники рынка предлагали учитывать коммерческие согласия еще при обсуждении «Цифрового профиля» в 2017 году, вспоминает директор по инновациям СКБ-банка Виталий Копысов. «Создание коммерческого модуля согласий могло бы сформировать удобный и прозрачный для всех механизм предоставления негосударственных коммерческих данных на коммерческой или безвозмездной основе. Такое решение позволит обогатить рынок большими объемами коммерческих данных, накопленными отдельными участниками рынка, и монетизировать этот рынок», — объясняет он. Эта информация также может быть использована банками для скоринга клиента, приводит пример Копысов.

Люди смогут давать или отзывать согласия на обработку своих персональных данных другими банками, клиентами которых они пока не являются, и это повысит эффективность продаж, считает заместитель председателя правления Московского кредитного банка Сергей Путятинский. Управление согласиями через отдельную платформу может стать удобным инструментом, полагает и представитель Промсвязьбанка: «Пользователь через единую платформу сможет отслеживать все организации, которым он давал согласия на обработку данных, а при необходимости клиент сможет их отозвать дистанционно».

Создание платформы позволит существенно упростить клиентский путь, а банки смогут получать объективную информацию в максимально короткий срок и существенно сократят сроки обслуживания клиентов, считает представитель ВТБ. Сейчас, как правило, для отзыва согласия клиенту необходимо лично посетить финансовую организацию, отмечают в ПСБ. Крупные игроки могут самостоятельно закрывать эти потребности, но такая платформа может быть важна для малого и среднего бизнеса, например финтех-стартапов, полагает вице-президент, начальник управления по развитию цифрового бизнеса банка «Ренессанс Кредит» Андраник Захарян.

Какие проблемы возникают при создании платформы

Основная сложность, которая возникает у банков сейчас, — это децентрализация подобных платформ, указывает Путятинский: «Каждый банк несет трудозатраты на создание аналогичных платформ, необходимы ресурсы на создание надежных хранилищ согласий, находящихся в защищенных периметрах ИТ банка. Кроме того, каждый банк создает свою собственную систему управления согласиями, не имея общих стандартов, и делается это, конечно, с различными интеграционными индивидуальными особенностями». Простого и прозрачного механизма для рынка обмена коммерческими данными между гражданами и организациями сейчас не существует, указывает Копысов.

Впрочем, реализация проекта может «упереться» в федеральное законодательство, а также в нежелание граждан передавать свои данные фактически неограниченному кругу лиц, предупреждает Шицле.

«На каких бы принципах обмена данными ни выстраивалась эта система, она должна отвечать нормам ФЗ «О персональных данных», который не допускает сбор, хранение, обработку и передачу третьим лицам такой информации без согласия субъекта, то есть лица, к которому данные относятся и которого определяют. Нужно учитывать, что субъект персональных данных имеет закрепленное законом право в любой момент отозвать разрешение на использование его персональных данных любым доступным ему способом, и требовать от него отозвать свое разрешение именно через некую платформу оператор не может», — отмечает юрист. Неясно, зачем физлицу «вообще предоставлять свое согласие на такое использование своих данных, поскольку очевидно, что такое согласие дает почти безграничные права по их передаче и использованию третьими лицами, причем кем именно и в каких целях, не очень понятно», заключает он.

Политика конфиденциальности в отношении персональных данных, обрабатываемых на портале государственных и муниципальных услуг Республики Татарстан

  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту данных).
  • Оператор персональных данных (Оператор) – Государственное казенное учреждение «Центр цифровой трансформации Республики Татарстан»; 420074, Республика Татарстан, г. Казань, ул. Петербургская, 52, офис 410; ОГРН: 1191690093649; ИНН: 1655427395.
  • Обработка персональных данных –действие (операция) или совокупность действий (операций) с персональными данными, перечень которых определен п. 4.3 настоящей Политики.
  • Предоставление (или передача) персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
  • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Поставщик услуг – организация или индивидуальный предприниматель, услуги которых возможно оплатить с использованием функций Портала с целью исполнения договора, заключенного с Пользователем, или договора, по которому Пользователь является выгодоприобретателем.
  • Организация, размещенная на Портале – организация или индивидуальный предприниматель, за оказанием услуг которых возможно обратиться с использованием функций Портала.
  • Пользователь – субъект персональных данных, использующий Портал.

Общие положения

  • 1.1. Настоящая Политика конфиденциальности в отношении персональных данных, обрабатываемых на портале государственных и муниципальных услуг Республики Татарстан (далее – «Политика») является документом, определяющим политику Оператора в отношении обработки персональных данных Пользователей.
  • 1.2. Настоящая Политика разработана во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, и действует в отношении всех персональных данных Пользователей, обрабатываемых оператором персональных данных.
  • 1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
  • 1.6. Регистрация (или авторизация) Пользователем на Портале и (или) любое использование Портала означает согласие Пользователя с условиями настоящей Политики.
  • 1.7. Регистрируясь (или осуществляя процесс авторизации) на Портале и (или) используя Портал, Пользователь выражает Оператору согласие на обработку его персональных данных в объеме и на условиях, предусмотренных настоящей Политикой, в том числе на передачу лицам, указанным в п. 4.5 Политики.
  • 1.8. В случае внесения изменений в настоящую Политику, Оператор уведомляет Пользователя о внесении изменений путем размещения изменений на Портале. Актуальная редакция Политики вступает в силу с момента ее публикации в соответствии с п. 1.3 Политики и всегда доступна в месте ее размещения.
  • 1.9. Пользователь всегда может ознакомиться с актуальной версией настоящей Политики в информационно-телекоммуникационной сети «Интернет» на Портале. Продолжая пользоваться Порталом, Пользователь подтверждает согласие с внесенными изменениями в Политику.

Цели обработки персональных данных

  • -исполнение возложенных на Оператора обязанностей по эксплуатации Портала;
  • -обеспечение предоставления Пользователю в электронной форме государственных и муниципальных услуг, сервисов;
  • -информирование Пользователей согласно п. 4.6 Политики.

Перечень обрабатываемых персональных данных

  • 3.1. Оператор осуществляет обработку данных Пользователя в следующем объеме:
  • 3.1.1. в случае регистрации на Портале по номеру телефона – номер телефона, а также персональные данные, перечисленные в пунктах 3.1.3–3.1.4 Политики;
    3.1.2. в случае регистрации (или авторизации) на Портале с использованием ЕСИА Оператор получает доступ к следующим персональным данным Пользователя из ЕСИА: список организаций Пользователя, ИНН, данные о документе, удостоверяющем личность, данные личного кабинета в федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг (функций)» (интерактивные формы), фамилия, имя и отчество, адрес регистрации и адрес проживания, номер мобильного телефона, дата рождения, пол, СНИЛС, адрес электронной почты;
    3.1.3. персональные данные, предоставляемые Пользователем при использовании Портала, в том числе, но не ограничиваясь, номера лицевых счетов, сведения о договорах, заключенных с Поставщиками услуг, а также иные данные;
    3.1.4. персональные данные Пользователя, полученные Оператором от Поставщиков услуг.
  • 3.1.1. в случае регистрации на Портале по номеру телефона – номер телефона, а также персональные данные, перечисленные в пунктах 3.1.3–3.1.4 Политики;
  • 3.1.2. в случае регистрации (или авторизации) на Портале с использованием ЕСИА Оператор получает доступ к следующим персональным данным Пользователя из ЕСИА: список организаций Пользователя, ИНН, данные о документе, удостоверяющем личность, данные личного кабинета в федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг (функций)» (интерактивные формы), фамилия, имя и отчество, адрес регистрации и адрес проживания, номер мобильного телефона, дата рождения, пол, СНИЛС, адрес электронной почты;
  • 3.1.3. персональные данные, предоставляемые Пользователем при использовании Портала, в том числе, но не ограничиваясь, номера лицевых счетов, сведения о договорах, заключенных с Поставщиками услуг, а также иные данные;
  • 3.1.4. персональные данные Пользователя, полученные Оператором от Поставщиков услуг.

Условия обработки персональных данных

  • 5.1. Пользователь имеет право:

    -использовать свои персональные данные в любых законных целях;
    -направлять Оператору (по его адресу) запросы на получение информации, касающейся обработки его персональных данных;
    -оспаривать и обжаловать действия Оператора в сфере обработки персональных данных в порядке, установленном законодательством Российской Федерации;
    -направлять Оператору (по его адресу) свои предложения, вопросы и жалобы по использованию Портала;
    -потребовать прекращения обработки своих персональных данных посредством направления Оператору (по его адресу) соответствующего требования;
    – отозвать согласие на информирование путем изменения Настроек уведомлений посредством исключения отметки о согласии на информирование («галочки») за исключением случаев, предусмотренных п. 4.6. настоящей Политики;
    -реализовывать иные права, предоставленные ему законодательством Российской Федерации в сфере персональных данных.

  • -использовать свои персональные данные в любых законных целях;
  • -направлять Оператору (по его адресу) запросы на получение информации, касающейся обработки его персональных данных;
  • -оспаривать и обжаловать действия Оператора в сфере обработки персональных данных в порядке, установленном законодательством Российской Федерации;
  • -направлять Оператору (по его адресу) свои предложения, вопросы и жалобы по использованию Портала;
  • -потребовать прекращения обработки своих персональных данных посредством направления Оператору (по его адресу) соответствующего требования;
  • – отозвать согласие на информирование путем изменения Настроек уведомлений посредством исключения отметки о согласии на информирование («галочки») за исключением случаев, предусмотренных п. 4.6. настоящей Политики;
  • -реализовывать иные права, предоставленные ему законодательством Российской Федерации в сфере персональных данных.
  • 5.2. Пользователь обязан:

    -обеспечивать сохранность данных доступа к личному кабинету на Портале;
    -обеспечивать актуальность данных, размещенных на Портале;
    -при оплате на Портале услуг Поставщиков услуг и иных лиц указывать номера лицевых счетов, сведения о заключенных договорах, платежные и иные данные, относящиеся только к Пользователю.

  • -обеспечивать сохранность данных доступа к личному кабинету на Портале;
  • -обеспечивать актуальность данных, размещенных на Портале;
  • -при оплате на Портале услуг Поставщиков услуг и иных лиц указывать номера лицевых счетов, сведения о заключенных договорах, платежные и иные данные, относящиеся только к Пользователю.

Меры защиты персональных данных

  • 6.1. Оператор обязуется обеспечить конфиденциальность персональных данных Пользователя при их обработке.
  • 6.2. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
  • 6.3. Оператор при обработке персональных данных обязан принимать предусмотренные Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Какие данные относятся к персональным?

О том, какие данные могут считаться персональными (личными), а также кто и каким образом может с ними работать, прописано в специальном, достаточно новом федеральном законе от 27. 2006 № 152-ФЗ. Он так и называется — «О персональных данных». В законе имеется статья 3, которая гласит, что такими данными считаются сведения, которые прямо или косвенно принадлежат «определенному или определяемому физическому лицу (субъекту персональных данных)».

Статья 3 закона «О персональных данных»

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Статьи 3-8 закона

  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

В частности, к персональным данным относятся:

  • Фамилия, имя, отчество субъекта;
  • адрес проживания или регистрации;
  • паспортные данные;
  • сведения о месте рождения;
  • номер загранпаспорта;
  • номер страхового свидетельства в Пенсионном фонде (СНИЛС);
  • сведения о семейном или социальном положении;
  • другие данные, по которым можно идентифицировать гражданина.

Надо отметить, что исчерпывающего, однозначно трактуемого как «самый полный перечень», списка сведений, которые могут быть отнесены к личным данным, в законодательстве не прописано. Поэтому в каждом отдельном случае необходимо устанавливать — достаточно ли имеющейся информации, чтобы по ней точно установить личность человека или все же недостаточно.

Например, если о человеке известно только то, что он родился в таком-то году в таком-то городе, это не будет считаться персональными данными. А вот те же сведения, но в сочетании с ФИО — однозначно будут.

Отдельно следует отметить, что компании или организации, которые при оформлении отношений с гражданином требуют у него согласие на обработку данных, называются в законе «операторами».

Где требуется предоставить персональные данные?

Согласие на обработку персональных данных может потребоваться в самых разных организациях и при самых разных обстоятельствах. Практически все финансовые операции сейчас происходят только при наличии между клиентом и финкомпанией такого соглашения. Разумеется, согласие подписывается не перед каждой операцией, а при заключении договора об обслуживании.

Запрашивает личные данные и работодатель у будущего работника. Более того, запрашивать он может (и регулярно это делает) не только сведения о самом работнике, но и о членах его семьи. Однако в данном случае гражданин может отказаться предоставлять сведения о родственниках. В этой ситуации в его анкете останутся незаполненные графы, но никаких препятствий при трудоустройстве это причинять не должно. Права по этой причине отказать в приеме на работу у компании-работодателя нет.

Когда можно отозвать согласие на обработку данных?

В любое время. Так написано в законодательстве. Например, в банк можно обратиться при расторжении или исполнении договора: закрытия в нем счетов или погашения имевшегося кредита. Зачем отзывать, если отношения и так завершены? Для того, чтобы кредитная организация не донимала в дальнейшем бывшего клиента рекламными предложениями.

Но помните — отозвать свои данные из банка можно только тогда, когда у вас закончились с ним все отношения, и вы ему больше ни копейки не должны.

Менее очевидным видится отзыв персональных данных у работодателя после увольнения. Если трудовые отношения между сторонами прекращены, то у работодателя не остается необходимости работать с этими данными. Они списываются в архив и хранятся там. Срок хранения — три года. Но самое главное, что хранятся они там в течение тех же трех лет, даже если гражданин отзовет свое согласие на их обработку. Работать с ними в этом случае нельзя, но и уничтожить тоже.

Отозвать согласие можно при переводе ребенка в другое учебное заведение или после завершения его учебы. Также личные данные имеются у сотовых операторов. И при смене такового можно также потребовать назад свое разрешение на работу с ними.

Подавать заявление на отзыв согласия необходимо в организацию-оператор. Сделать это можно в письменном виде или по электронной почте. Лучше всего такое заявление подавать тем же путем, каким вы давали и свое согласие на обработку персональных данных.

Если согласие давалось в электронном виде, то и отзывайте его по электронным каналам общения. Или, например, если вы пытаетесь отозвать свои данные из банка и вам не лень до него прогуляться, то можете и зайти в отделение с листом бумаги формата А4 и шариковой ручкой.

Кто может отозвать персональные данные

По закону отозвать свое согласие на обработку персональных данных может любой человек, который такое согласие дал. Но сделать это он может только сам. Третьи лица — родственники, друзья, представители и т. обращаться к оператору с требованием прекратить пользоваться личными сведениями права не имеют.

Куда подавать заявление?

Как уже было сказано, заявление может быть направлено организации-оператору тремя способами: бумажное заявление, составленное в двух экземплярах можно отнести непосредственно в экспедицию (место, где принимают корреспонденцию), заказным письмом с уведомлением или по электронной почте, если это допускается функционалом страницы оператора. Обычно сейчас свои официальные электронные адреса есть у всех организаций.

Отдельно стоит коротко остановиться на таком аспекте работы с персональными данными, как их отзыв у коллекторов — профессиональных взыскателей долгов. Дело в том, что коллекторы могут работать с персональными данными, не запрашивая на это согласия должника. Это допускается нормами закона № 152-ФЗ. Коллекторы приобретают базу персональных данных заемщиков у банков или МФО вместе с портфелем кредитов (займов) по договору переуступки прав требования (цессии).

Тем не менее, отзыв согласия на обработку персональных данных возможен и в данной ситуации, причем тем же самым способом — письменным. После отзыва согласия коллекторы не будут иметь возможности активно работать с данными должника (звонить ему по имеющимся номерам, писать по имеющимся электронным адресам, слать смс-сообщения).

В этом случае отзыв персональных данных называется несколько иначе — отказ от взаимодействия. После подачи отказа от взаимодействия с коллекторами они имеют право общаться с должником обычными бумажными письмами через Почту России.

Однако следует помнить, что сам долг от этого никуда не денется. И коллекторы останутся при своем праве подать на вас в суд и получить судебный приказ или полноценное решение суда. А потом передать документы судебным приставам, которые проведут полноценное исполнительное производство по розыску вашего имущества, по аресту счетов и списания с них денег. Помните — судебная практика в этом вопросе всегда на стороне тех граждан или юр лиц, которым вы задолжали деньги.

А вот после того, как вы расплатитесь с коллекторами полностью, и получите на руки документ о погашении долга — вы сможете отозвать свои персональные данные у этих кровопийцев (или рыцарей плаща и кинжала, это как уж вам удобнее их называть).

После получения заявления на отзыв оператор обязан в течение 30 дней прекратить работу с указанными данными, изъять их отовсюду (из всех своих баз) и уничтожить. Но хотя закон и говорит, что отозвать согласие можно в любое время, на самом деле в нормативных актах предусмотрен целый перечень случаев, когда обработка персональных данных после отзыва согласия продолжается и без согласия гражданина.

Как защитить свои персональные данные и права, если они были нарушены

Если гражданин столкнулся с нарушением своих прав в области защиты персональных данных, ему необходимо обратиться в Роскомнадзор. Сделать это можно с помощью онлайн-сервиса на официальном портале ведомства. Также жалобу можно подать в письменном виде и отправить заказным письмом с уведомлением о вручении.

Права можно считать нарушенными, если оператор продолжает пользоваться личными данными бывшего клиента (или сотрудника) или тем более, если передает их третьим лицам.

Если права клиента по работе с его персональными данными нарушают финансовая организация (банк или МФО), пожаловаться можно в Центральный банк Российской Федерации. Во всех случаях в течение 30 дней указанные ведомства должны дать ответ о принятых мерах. На операторов-нарушителей может быть наложена административная ответственность (штраф) и даже возбуждено уголовное дело.

Согласно статье 13. 11 КоАП РФ размер штрафа может составить:

  • для физических лиц — от 6 000 до 10 000 рублей;
  • для должностных лиц — от 20 000 до 40 000 рублей;
  • для организаций — от 30 000 до 150 000 рублей.

Если у вас есть сомнения в том, что ваши персональные данные находятся под надежным замком, а банк или МФО, с которыми вы уже давно не сотрудничаете, отказываются прекратить их обработку, то обращайтесь за помощью к нашим юристам!

Бесплатная консультация по списанию долгов

Оставьте свой телефон, специалист перезвонит вам в течение 1 минуты

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27. 2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

  • Ф. И. О.;
  • адрес проживания;
  • паспортные данные;
  • сведения о месте рождения;
  • прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Персональные данные без штрафов

Время прохождения около 5 мин. Пройти тест

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Каков срок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку? Ответ на данный вопрос есть в КонсультантПлюс. Изучите материал, получив пробный доступ к системе К+ бесплатно.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

  • суды при участии гражданина в судопроизводстве;
  • приставы при исполнении судебного акта;
  • государственные органы при исполнении своих полномочий;
  • стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
  • любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
  • журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
  • субъекты, участвующие в реализации международных договоров;
  • органы статистики, если личные данные обезличиваются.

Правомерна ли обработка персональных данных налоговыми органами без согласия субъекта персональных данных, узнайте в КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Можно ли отозвать свои персональные данные у коллекторов

Банки и МФО получают согласие заемщика на обработку персональных данных при заключении договора на кредит или займ. В отношении коллекторов такой порядок неприменим. Правоотношения между коллекторским агентством и должником возникают не на основании договора между ними.

Коллекторы выкупают задолженность у банка или МФО по договору цессии. Должник не является непосредственной стороной этого договора, поэтому изначально не может давать согласие или выражать запрет на работу со своими персональными данными.

Особенности получения, хранения и обработки персональной информации коллекторскими фирмами заключаются в следующем:

  • правовое регулирование вопроса осуществляется в соответствии с законом № 152-ФЗ;
  • коллекторская компания становится оператором персональных данных в отношении должника-гражданина сразу после заключения договора цессии и получения документов на задолженность;
  • коллекторы могут не запрашивать согласие должника на работу с его личными данными, так как это допускается в силу норм закона № 152-ФЗ;
  • для обработки и использования личных данных на иных лиц (кроме должника) коллекторам всегда нужно запрашивать письменное согласие-разрешение.

Закон позволяет обходиться без получения согласия на обработку персональных данных, если это нужно для исполнения договора, стороной которого является гражданин. С коллекторами должник не заключает договоров, кроме как в процессе взыскания. Но и без заключения договора коллекторская фирма может работать с личными сведения о должнике. Это прямо разрешено пунктом 7 ч. 1 ст. 6 закона № 152-ФЗ.

Если от должника не требуется согласие на работу с персональными данными, можно ли его вообще отозвать? Да, можно, но от долга такое заявление не спасает. Многое зависит от стадии взаимодействия с коллекторами, от целей подачи заявления. Коллекторы однозначно обязаны прекратить работу с личной информацией после того, как взыскание будет завершено. Также можно отозвать разрешение в части передачи данных иным лицам, которых коллекторы привлекают к взысканию. Подробнее об этом расскажем ниже.

Заявить запрет на работу со своими персональными данными может только сам гражданин. Соответственно, это может быть только сам должник, с которого требует деньги коллекторское агентство. Не могут обратиться с заявлением иные лица, в том числе родственники, друзья, знакомые.

По умолчанию, при взыскании выкупленной просрочки коллекторы имеют право взаимодействовать только с самим должником. Но в процессе взыскания иные лица могут давать добровольное согласие на обработку, хранение и использование их личных данных. Если такое согласие было дано, то его можно отозвать по письменному или электронному заявлению. При этом отзыв со стороны третьих лиц влечет полный и однозначный запрет на дальнейшую работу с персональными данными.

Как отозвать свои персональные данные у коллекторов

Порядок отзыва своих персональных данных прописан в законе № 152-ФЗ. Основанием для этого будет являться личное заявление гражданина. Основным вариантом является подача заявления в письменном виде. Направить электронный отзыв можно, если это позволяет функционал сайта коллекторского агентства. Подпись на электронном заявлении заверяется ЭЦП или учетной записью госуслуг (ЕСИА).

Как получить информацию о коллекторском агентстве

Чтобы направить заявление на отзыв, нужно сначала уточнить данные о коллекторской компании, которая занимается взысканием. Проще всего это сделать из документов, которые коллекторы направляют должнику — уведомление о выкупе задолженности, претензии, требования, письма. Если таких документов нет, то можно уточнить информацию через банк, который продавал задолженность. Полученные сведения можно сверить с реестром ФССП, где есть информация о каждой легальной коллекторской организации.

  • название и регистрационные данные коллекторского агентства (ИНН, ОГРН, адрес и т.д.);
  • сведения о заявителе, который просит прекратить обработку персональных данных;
  • просьба о прекращении всех действий, связанных с получением (сбором), хранением, обработкой и использованием персональной информации;
  • дата, подпись.

В заявлении можно описать нарушения режима защиты персональных данных, если они допущены в работе коллекторской фирмы. Такие нарушения должны быть незамедлительно устранены, иначе виновных лиц привлекут к ответственности.

Срок рассмотрения

После получения заявления от должника коллекторское агентство обязано дать ответ в течение 30 дней. Ответ направляется тем же способом, что и подавалось заявление на отзыв персональных данных. Если в этот срок ответ не дан, либо коллекторы незаконно отказываются прекратить работу с персональной информацией, на них можно подать жалобу.

Куда жаловать на нарушение закона о персональных данных

Контроль за защитой персональных сведений о граждан возложен на Роскомнадзор. Именно в это ведомство можно обратиться с жалобой по следующим вопросам:

  • если коллекторы отказываются принять заявление на отзыв персональных данных;
  • если на заявление незаконно вынесен отказ, либо коллекторская организация не прекратила обработку персональных сведений;
  • если в течение 30 дней не получен ответ на отзыв.

ЦБ предложил создать платформу для отзыва согласий на обработку персональных данных — Право на vc.ru

Электронная приемная Роскомнадзора

Самый простой способ подать жалобу — воспользоваться онлайн-сервисом на сайте Роскомнадзора. Ответ на жалобу будет направлен в течение 30 дней.

Жалобу на коллекторов в Роскомнадзор можно написать и на бумаге. Отправить ее лучше всего заказным письмом через отделение Почты России.

В какие организации можно подать заявление

В законе № 152-ФЗ есть такое понятие, как оператор персональных данных.

Это может быть: орган власти, организация, предприниматель или частное лицо, которое получит от человека согласие на работу с его личными сведениями. Соответственно, отзыв нужно подавать тому же оператору, которому ранее давалось согласие.

Как правило, это такие организации:

  • банк или МФО — например, отзыв можно подать после расторжения договора кредитования, после закрытия счетов и сдачи карт;
  • медицинская организация — после оказания услуг по договору, после снятия с учета и приписке к другой поликлинике и т.д.;
  • работодатель — при увольнении с работы, издании приказа о расторжении трудового договора;
  • школа или иное образовательное учреждение — после перевода ребенка на учебу в другое место, после завершения обучения и т.д.

Естественно, это только примерный перечень операторов персональных данных. Многие структуры могут вообще получать личную информацию о гражданине и работать с ними без согласия. Например, это может быть суд или правоохранительный орган, если в отношении гражданина возбуждено уголовное дело. Соответственно, в указанных ситуациях отзыв не повлечет запрет за работу с информацией персонального характера.

В некоторых правоотношениях оператором может быть иное лицо, которому напрямую не давалось разрешение на обработку данных. Приведем пример. Если при подаче заявки на кредит дать согласие на все виды действий с персональной информацией, то банк может передать ее страховой компании, в Бюро кредитных историй.

Поэтому отзыва согласия только в адрес банка может оказаться недостаточно, так как личные данные уже есть у третьих лиц. В страховую компанию можно подать отдельный отзыв с запретом на обработку информации персонального характера.

А вот в БКИ подавать такое заявление бесполезно. Бюро обрабатывают информацию и ведут вашу кредитную историю согласно тем функциям, которыми их наделил закон об их профессиональной деятельности. Этот же закон им запрещает разглашать данную информацию кому-то, кроме самого владельца КИ, финансовых организаций, когда человек подает запрос на кредит или займ, и еще ряда юр лиц (тех же правоохранительных органов).

Когда данные могут обрабатывать без разрешения гражданина

Прежде чем рассказать о порядке заполнения отзыва согласия на обработку своих персональных данных, отметим несколько исключений. Даже после подачи отзыва передачи персональной информации может продолжиться работа с ней:

  • если это нужно для исполнения ранее заключенного договора — например, если у вас есть незакрытый договор на кредит или на счет, то для предоставления услуг банк сможет работать с персональными данными даже после отзыва. Но в этом случае и сам отзыв писать бессмысленно;
  • если гражданин является участником гражданских, арбитражных, административных или уголовных дел — например, если истец взыскивает долг и подает в суд договор (расписку), то отзыв не будет действовать в рамках судопроизводства;
  • если гражданин является получателем пенсий, социальных пособий, выплат и льгот — для предоставления таких мер поддержки государственные ведомства вправе сами запрашивать и обрабатывать информацию, даже если гражданин подал отзыв;
  • если гражданин получает медицинскую помощь и социальные услуги — защита данных будет гарантирована врачебной тайной, а получать и обрабатывать информацию медики могут для спасения и лечения пациента.

Полный список исключений, когда заявление не повлечет запрет на работу с личной информацией о человеке, можно найти в статьях 6, 10 и 11 закона № 152-ФЗ.

Заявление на отзыв персональных данных подается тому оператору, которому ранее и давалось согласие на работу с перс. информацией

После подачи отзыва оператор обязан прекратить любые действия с персональными данными. Но все-таки он не обязан удалять их из своей базы. Нарушение этого правила грозит ответственность по КоАП РФ. В некоторых случаях, указанных в законе № 152-ФЗ, допускается обработка данных без согласия гражданина или после подачи отзыва согласия.

Отдельно отметим правила отзыва данных из банка, МФО, коллекторских организаций. Отзыв повлечет запрет на работу с информацией, только если у гражданина нет действующих обязательств с указанными структурами.

Поэтому заявление на отзыв персональных данных из банка, МФО или коллекторской фирмы не имеет смысла подавать в случаях, если:

  • если у вас есть незакрытый договор на кредит или микрозайм;
  • если у вас в банке открыты счета или вклады, получены карты;
  • если коллекторское бюро легально занимается взысканием долга, соблюдает ограничения и запреты законов № 152-ФЗ и закона, регламентирующего коллекторскую деятельность — 230-ФЗ.

В перечисленных случаях обработка данных нужна, чтобы обеспечить исполнение обязательств.

Вернее будет сказать так — если у вас есть долг перед конкретным банком или МФО, и вас замучили звонками и смсками, а платить вам нечем, то вы имеете право написать заявление на отзыв согласия. Это право появляется после 4 месяцев от начала вашей просрочки по уплате взносов по кредиту (займу).

Кредиторы и коллекторы обязаны прекратить с вами личное общение. Но не забывайте, что ваш долг от этого никуда не исчезнет — кредиторы будут вправе переписываться с вами по обычной почте. И, конечно, за ними остается опция — подать на вас в суд за неуплату долга.

Что грозит за отказ по заявлению

Если оператор продолжит обработку персональной информации после получения отзыва согласия, ему грозит штраф по ч. 2 ст. 11 КоАП РФ.

  • для физических лиц — от 6 000 до 10 000 рублей;
  • для должностных лиц — от 20 000 до 40 000 рублей;
  • для организаций — от 30 000 до 150 000 рублей.

Жалобы по факту нарушений нужно подавать в Роскомнадзор. Сделать это можно по почте или через сайт ведомства.

При повторном нарушении будет применяться уже ч. 3 ст. 11 КоАП РФ. Там штрафы еще больше. Если неисполнение требований в отзыве повлекло разглашение сведений в сфере частной жизни, личной и семейной тайны, то нарушителю грозит уголовная ответственность по статье 137 УК РФ.

Если у вас возникли вопросы, связанные с отзывом своих персональных данных, обращайтесь к нашим специалистам. Мы поможем даже в самой сложной ситуации!

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27. 2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 11 КоАП РФ):

  • 6–10 тыс. руб. — на граждан;
  • 20–40 тыс. руб. — на должностных лиц;
  • 30–150 тыс. руб. — на юридических лиц.

ВНИМАНИЕ! С 27. 2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от КонсультантПлюс. Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Что дает отзыв персональных данных для должника

Целью отзыва персональных данных всегда является запрет на дальнейшую работу с ними со стороны оператора. Также на основании заявления гражданина вся личная информация должна быть удалена из сегмента активной работы с ее правообладателем в течение 30 дней.

За нарушение этих норм оператора могут привлечь к административной и уголовной ответственности. То есть операторы имеют право и дальше хранить информацию, но не могут пользоваться ей для активной работы — рассылки сообщений, электронных писем или для звонков, например, в рекламных целях.

Понятно, что коллекторы вряд ли станут забрасывать должника сообщениями из серии «возьми еще один кредит». Но вот продать свою базу клиентов банку или МФО они могут. Да еще и с примечаниями о том, как обслуживал тот или иной должник свои долги. А для кредиторов эта информация бесценна.

Вот и гуляют по сети объявления о продаже той или иной ворованной или «взломанной хакерами» базе клиентов то банка, то МФО. Банки давно решили проблему «левого копирования» своих баз своими же сотрудниками. Все действия работника, имеющего доступ к базе, фиксируются, и за несанкционированное подключение к базе и попытку копирования человека просто уволят, да еще и «с волчьим билетом» — записи в трудовой книжке о том, что человек неблагонадежен для работы в финансовом институте.

А вот в МФО, как правило, небольших компаниях в регионе, и уже тем более — у коллекторов, этот запрет соблюдается не так свято.

В некоторых случаях, прямо указанных в законе, подача заявления на отзыв персональных данных не повлечет никаких последствий. Это касается не только ситуации с взысканием долга коллекторами. Без согласия гражданина или после отзыва обработки с его стороны личные данные могут использовать в судебных делах, для оказания врачебной помощи, в ряде иных случаев.

До завершения взыскания

Пока должник не закроет все обязательства перед коллекторской фирмой, то есть не вернет всю сумму долга вместе с процентами, или не договорится о погашении долга с дисконтом, его отзыв персональных данных не повлечет никаких последствий. Закон № 152-ФЗ позволяет продолжить работу с личной информацией, если осуществляется возврат просроченной задолженности.

Поэтому даже после получения отзыва коллекторы смогут:

  • использовать личные данные должника для взаимодействия с ним, для направления запросов в государственные, муниципальные и иные ведомства;
  • передавать информацию в бюро кредитных историй;
  • собирать персональные данные из законных источников;
  • хранить личные сведения о гражданине, обеспечивая защиту от неправомерного доступа третьих лиц.

Коллекторам, как оператору персональных данных, запрещено разглашать их третьим лицам, использовать в иных противоправных целях. Например, закон запрещает раскрывать личные сведения о должнике в открытом доступе через интернет или в СМИ.

Несмотря на указанные правила, коллекторское агентство будет обязано отреагировать на заявление должника. В ответе будет указано, что запрет на отзыв данных не распространяется на возврат просроченной задолженности.

После завершения взыскания

Ситуация в корне изменится, если должник выплатит всю требуемую сумму. В этом случае коллекторская фирма обязана после получения отзыва:

  • указать в ответе, что отзыв гражданина удовлетворен, а дальнейшая работа с персональными данными прекращена;
  • в течение 30 дней удалить всю личную информацию о гражданине. Да, по сути, после погашения долга эта информация коллектору уже больше и не нужна;
  • прекратить ее сбор и обработку, передачу по запросам иных лиц.

Отозвать персональные данные у коллекторов можно по письменному или электронному заявлению

Пока идет взыскание просроченной задолженности, отзыв со стороны должника не повлечет запрета на работу с персональными данными. Если отзыв подан после завершения взыскания, коллекторы обязаны прекратить обработку персональных данных в течение 30 дней.

На ответ по заявлению коллекторам дается 30 дней. За нарушение этого срока, равно как и за отсутствие ответа или неправомерный отказ по заявлению, коллекторской организации грозит крупный штраф.

Ваш-контроль:  Эффективно подать жалобу на Росбанк за 5 шагов