Пользователи вынуждены предоставлять свое согласие на обработку персональных данных во множестве ситуаций: при использовании различных интернет-сервисов, осуществлении покупок в магазинах и даже трудоустройстве. В этой статье мы расскажем, как отозвать свое согласие на обработку персональных данных и защитить себя от нежелательного использования личной информации.
Отзыв согласий на обработку персональных данных, прекращение передачи персональных данных, разрешенных для распространения
Среднестатистический человек вынужден предоставлять свое согласие на обработку персональных данных во множестве ситуаций: при использовании различных интернет-сервисов, осуществлении покупок в магазинах и даже трудоустройстве.
В то же время существуют случаи, в которых субъект персональных данных может пожелать отозвать ранее предоставленное согласие на обработку своих персональных данных. Например, если субъект персональных данных больше не заинтересован в сервисе, в котором регистрировался, или потерял доверие к оператору персональных данных.
Закон о персональных данных предоставляет субъекту право отозвать свое согласие на обработку персональных данных. Право на отзыв согласия является важным инструментом для обеспечения контроля над своей личной информацией и защиты приватности в цифровой эпохе.
В данной статье мы рассмотрим механизмы отзыва согласия на обработку персональных данных в соответствии с ФЗ «О персональных данных», а также предоставим практические рекомендации по осуществлению отзыва согласия в соответствии с требованиями закона.
Как отозвать согласие на обработку персональных данных
Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в любой момент. Субъект не обязан объяснять причины отзыва согласия на обрабоку персональных данных оператору, а сам отзыв согласия может быть написан в свободной форме. Пример формы отзыва согласия можно просмотреть на сайте Роскомндзора.
Роскомнадзор рекомендует отзывать согласие на обработку персональных данных тем же путем, каким субъект персональных данных соглашался на обработку персональных данных: если согласие было предоставлено онлайн – отзыв необходимо направлять так же, если документ подписывался на бумаге – письменно.
Зачастую сервисы, в которых есть личные кабинеты, разрабатывают отдельный функционал для настроек предоставленных согласий на обработку персональных данных. Способ отзыва согласия может быть прописан самим оператором персональных данных в его опубликованных документах, зачастую указанные данные публикуются в политике конфиденциальности.
Как найти информацию о порядке отзыва согласия?
1. Просмотрите согласие на обработку персональных данных, если оно вам доступно
Способ отзыва согласия на обработку персональных данных должен быть указан в согласии на обработку персональных данных в соответствии с требованием ст. 9 ФЗ «О персональных данных».
Отправьте запрос оператору персональных данных в соответствии с той инструкцией, что написана в тексте согласия на обработку персональных данных. Если оператор просит указать в таком запросе определенную информацию, укажите ее. Такие данные могут помочь оператору найти ваши данные в своей базе и быстрее их уничтожить.
2. Просмотрите Политику конфиденциальности оператора персональных данных
Операторы персональных данных обязаны опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных в соответствии с требованиями ст. 18.1 ФЗ «О персональных данных».
Зачастую в тексте политик операторы персональных данных прописывают порядок отзыва согласия на обработку персональных данных либо указываются адреса или иные контактные сведения для направления обращений субъектами персональных данных. Так же как и в предыдущем случае, направьте заявление оператору в соответствии с теми правилами, что прописаны в тексте политики.
Пример из Политики конфиденциальности Skillbox https://skillbox.ru/privacy_policy.pdf
3. Если вы хотите отозвать согласие на обработку персональных данных, предоставленное интернет-сервису, просмотрите его сайт или приложение. Механизм отзыва согласия на обработку персональных данных может быть предусмотрен в самом сервисе, и вам не нужно будет писать обращение оператору персональных данных.
Пример сервсиса Яндекс ID
4. Напишите запрос на любой публичный адрес электронной почты оператора персональных данных.
Если вы не смогли найти информацию о способе отзыва согласия на обработку персональных данных в личном кабинете или в опубликованных документах оператора, поищите публичный адрес электронной почты оператора персональных данных.
Зачастую он может быть на сайте оператора в разделе «Контакты» или в футере любой страницы сайта оператора. Если вы нашли такой адрес, напишите заявление в свободной форме и отправьте на этот адрес. Однако, оператору персональных данных могут потребоваться дополнительные данные о вас, чтобы найти вашу запись в базе данных и затем ее удалить.
5. Если ни один из способов выше не подходит, отправьте отзыв согласия на обработку персональных данных заказным письмом с уведомлением на юридический адрес оператора персональных данных.
Оператор персональных данных обязан прекратить обработку и уничтожить персональные данные, по общему правилу, в течение тридцати дней с даты поступления отзыва.
Однако бывают ситуации, в которых оператор персональных данных может продолжать обрабатывать ваши персональные данные даже после отзыва согласия на обработку персональных данных. Это случается, например, когда ваши персональные данные необходимы для исполнения требований законодательства или положений договора, в которой вы являетесь стороной или выгодоприобретателем. Также оператор не сможет уничтожить ваши персональные данные при участии в гражданском или арбитражном судопроизводстве или иных случаях, описанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.
Прекращение обработки персональных данных, разрешенных для распространения
В некоторых случаях операторы вынуждены получать у субъекта персональных данных согласие на обработку персональных данных, разрешенных для распространения. Такое согласие должно быть получено от вас, если ваши персональные данные (например, ваша фамилия, имя, отчество, место работы и должность) публикуются на сайте вашей компании или в случае размещения вашего неанонимного отзыва о продукте или услуге. Распространением персональных данных будет и публикация данных победителей конкурса.
Согласие на обработку персональных данных, разрешенных для распространения, предоставляется отдельно от иных согласий на обработку персональных данных. При этом субъект персональных данных при предоставлении такого согласия на обработку персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
Оператор обязан опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Это означает, что иные операторы персональных данных будут знать, могут ли они использовать ваши персональные данные.
Пример публикации информации об условиях и запретах на сайте www.unicon.ru
Субъект персональных данных вправе требовать прекращения обработки персональных данных, разрешенных для распространения. Требование субъекта персональных данных должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
С момента поступления оператору требования о прекращении обработки персональных данных, действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается.
Вы можете проверить прекращение обработки персональных данных оператором персональных данных. На сайте оператора должна отсутствовать информация о вас и об установленных вами запретах или условиях.
Как операторы персональных данных могут путать субъектов персональных данных и продлевать обработку ПДн
Операторы персональных данных не любят прощаться с персональными данными пользователей своих услуг по нескольким причинам:
– данные необходимы им для изучения аналитики поведения и принятия бизнес решений. Чем больше данных у оператора персональных данных, тем более точные решения он примет;
– если личные сведения используются для направления рекламных рассылок, при отзыве согласия субъектом «горячая» база клиентов уменьшается;
– обеспечение уничтожения персональных данных – трудоемкий процесс. Оператору персональных данных нужно найти ваши данные во всех своих информационных системах и на бумаге, уничтожить их, составить акт, подтверждающий, что персональные данные были уничтожены.
В связи с этим, операторы персональных данных могут использовать некоторые хитрости или dark patterns:
1. Операторы могут прекратить обработку персональных данных только с одной целью, но продолжать обрабатывать те же самые персональные данные в иных целях
Чаще всего это происходит у крупных сервисов. Вы получаете рассылки от сервиса, отписываетесь от них, что равно отзыву согласия на обработку персональных данных, но рассылки продолжают приходить. В таком случае лучше просмотреть, от всех ли рассылок вы отписались. Иногда бывает, что субъект персональных данных отписывается только от конкретной темы рассылки, а чтобы вовсе не получать письма, нужно отдельно отписаться от рассылок по каждой тематике.
Пример сервсиса Яндекс ID
Пример сервсиса Актион
2. Затруднение процесса отзыва согласия
Это dark pattern. Его цель, оставить ваши данные у оператора персональных данных путем создания искусственных сложностей в процессе отзыва согласия. Например, это может быть достигнуто через многоэтапные формы, малозаметные кнопки отзыва или многочисленные подтверждения, необходимые для завершения процесса отзыва согласия.
Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.
Добрый день. Есть ряд вопросов при отзыве согласия на обработку ПДн:
1. Обязан ли оператор ПДн обеспечить прекращение обработки ПДн третьими лицами, кому он передал ПДн субъекта, например в целях направления рекламы?
2. Обязан ли оператор ПДн информировать субъекта о прекращении обработки его ПДн? А то бывает отправишь отзыв согласия, а в ответ - тишина.
1. Если третье лицо обрабатывает данные по поручению оператора, то обязан оператор обеспечить прекращение обработки
2. Обязан только в том случае, если прекращение обработки было вызвано реализацией права физического лица
1. Вопрос не "по поручению", а когда оператор передаёт ПДн 100500 компаниям "для целей информирования об услугах".
2. На какую статью ссылаться? А то РКН отвечает:
"нормой ст. 21 Закона не предусмотрена обязанность оператора персональных данных информировать субъекта персональных данных об итогах рассмотрения отзыва согласия на обработку персональных данных".
1. Вопрос не совсем понятен: если оператор работает с третьими лицами по поручению, то оператор может контролировать процесс обработки ПДн таким третьим лицом (обработчиком), и после получения отзыва согласия может обеспечить уничтожение на своей стороне, и на стороне обработчика.
В случае же, если оператор передает данные другому самостоятельному оператору – то в этом случае после передачи ПДн первый оператор теряет контроль над процессом обработки ПДн вторым оператором, и для прекращения обработки ПДн таким вторым оператором субъект самостоятельно должен обратиться к такому самостоятельному оператору.
Чаще всего, при передаче ПДн самостоятельным операторам, такой самостоятельный оператор обеспечивает себе собственное правовое основание для обработки ПДн (будь то согласие на обработку ПДн или принятие договора оферты/пользовательского соглашения), поэтому здесь у субъекта, чаще всего, есть инструменты для воздействия на такого самостоятельного оператора.
2. В ст.21 152-ФЗ только в ч.3 закреплена прямая обязанность уведомлять субъекта об уничтожении его ПДн. В остальных случаях такой обязанности не предусмотрено, что не отменяет того факта, что оператор может в инициативном порядке направить подтверждение уничтожения ПДн субъекта во избежание дальнейших запросов с его стороны.
Даже если оператор инициативно не уведомляет субъекта об уничтожении, у оператора есть обязанность зафиксировать факт уничтожения ПДн. Поэтому в случае повторного запроса со стороны субъекта, или запроса со стороны надзорного органа, оператор при помощи акта об уничтожении ПДн сможет подтвердить факт уничтожения.