Почему обязательно нужно отзывать согласие на обработку персональных данных

Вряд-ли кто-то точно вспомнит, скольким организациям он дал согласие на обработку (а зачастую вместе с этим передачу, распространение и предоставление третьим лицам) своих персональных данных. Такое согласие просят банки, сотовые операторы, различные сервисы и социальные сети, службы и организации и много кто еще. Однако почти все слышали о случаях утечки персональных данных, а некоторые даже успели от этого пострадать.

Проще сказать, у кого нет ваших данных

Да, именно в этом и заключается проблема. Если речь идет не о каком-нибудь отшельнике, который живет исключительно сельским хозяйством и натуральным обменом с соседями, а об обычном рядовом жителе города, который получает на карту пенсию или зарплату, ходит в магазины и использует дисконтные карты, пользуется телефоном и Интернетом, общается в соцсетях и мессенджерах, хоть изредка, но совершает крупные покупки и т.д., то его данные имеются у десятков, а то и у сотен различных организаций.

Ведь он сам, может быть того не замечая, много раз давал согласие на обработку и передачу своих персональных данных, и информация о нем вполне легально была передана даже в те компании, о которых он не слышал. Есть и нелегальные пути попадания данных в посторонние базы – продажа недобросовестными сотрудниками или кража баз хакерами. Но это уже другая история.

Как правило, согласие дается на достаточно длительный срок. Допустим, сейчас гражданин четко усвоил правила сохранности своих персональных данных, не разбрасывается ими и тщательно изучает любое соглашение, прежде чем принять его. Но несколько лет назад он относился к этому вопросу проще и раздавал согласие любым организациям, не особенно об этом задумываясь. Современная ответственность не гарантирует ему спокойной жизни – у десятков источников различной степени надежности, которые он даже не вспомнит, сохранилось до сих пор действующее согласие на обработку и передачу третьим лицам его данных.

Серьезные изменения в законе на руку простым гражданам

Весной этого года произошли важные изменения. Федеральный закон № 519-ФЗ от 30 декабря 2020 года существенно ужесточил требования к работе с персональными данными. В частности, он запретил считать молчание гражданина его согласием на обработку своих данных, обязал операторов давать гражданам возможность определять перечень указанных в согласии данных, а также дал самим гражданам возможность ограничивать обработку своих данных.

Например, если гражданин регистрируется на сайте по продаже билетов, и в согласии отсутствует разрешение на распространение и передачу персональных данных, сайт не может передать их, например, стоматологиям, интернет-провайдерам или кому-то еще. Он может только обрабатывать их, без распространения.

Отменить свое согласие на передачу данных

Но не обращающий на все эти моменты гражданин может раздавать свое согласие, особо не задумываясь, что именно он разрешил той или иной организации. И вполне возможно, что навязчивые рекламные звонки, при которых к нему обращаются по имени и отчеству, начались оттого, что номера клиентов попали в руки рекламщикам не из каких-то «черных» украденных баз, а были переданы с его же невнимательного одобрения.

Однако разрешение можно и отозвать, и здесь федеральный закон № 519-ФЗ вновь упростил людям жизнь. Теперь для этого достаточно направить получившей согласие организации заявление с перечнем персональных данных, обработку которых надо прекратить. Исполняется это требование в течение 3 дней с момента его получения.

За нарушение требования грозит административная ответственность с крупным штрафом, а при повторном нарушении штрафные санкции становятся еще жестче.

Когда ваше согласие даже не спросят

Представьте себе, что гражданин решил оформить новую банковскую карту с выгодными условиями. Вскоре оказалось, что условия не такие уж и выгодные, не очень нужны и вообще поменялись. Он решил отказаться от услуг банка, он закрыл карту, а заодно потребовал прекратить обработку своих персональных данных. Однако это не значит, что банк перестанет их хранить и больше никому не передаст.

Дело в том, что существует целый ряд оснований, по которым операторы могут обрабатывать персональные данные без согласия субъектов. Так, согласно статье 7 федерального закона № 115-ФЗ от 7 августа 2001 года, банки обязаны хранить документы клиента не меньше 5 лет после прекращения договора.

Банки и другие операторы могут без согласия обрабатывать персональные данные для исполнения договора, стороной которого является субъект персональных данных. Кроме того, обезличенные данные могут быть использованы для статистики и исследований.

Не нужно согласие и в других случаях, указанных в статье 6 федерального закона № 152-ФЗ от 27 июля 2006 года.

Итог

Как я уже говорил, обеспечить полное отсутствие своих данных в базах различных операторов практически невозможно. Тем более даже одного будет достаточно для утечки, если не повезет. Итог один – или принимать правила игры, или вообще ничем не пользоваться.

Однако кое-что гражданин все же может сделать, чтобы его данные распространялись меньше. Для этого не следует давать согласие, не изучив полный текст. Помните, что закон дает субъекту право ограничить возможность распространения своих данных.

На возможность обработки и передачи персональных данных без согласия субъекта в оговоренных случаях это никак не повлияет и от незаконных утечек не защитит. Но подумайте сами, ведь самый простой способ – не взламывать базы или покупать их у нечистых на руку сотрудников, а просто воспользоваться законным правом, тем более, если есть разрешение от самого субъекта.

Так что лучше не давать разрешение на обработку данных сомнительным ресурсам, запоминать, кому вы доверили информацию, и не забывать отзывать согласие, когда необходимость в нем исчезла. Это дополнительная работа, стоит ли она повышения надежности защиты ваших личных данных – решать только вам.