Запретить обработку персональных данных: Запрет на обработку персональных данных: как составить письмо коллекторам и другим компаниям о прекращении использования своих сведений и отозвать выданное согласие?

Содержание

Запрет на обработку персональных данных: как составить письмо коллекторам и другим компаниям о прекращении использования своих сведений и отозвать выданное согласие?

При получении кредита банк всегда принимает и впоследствии обрабатывает персональные данные заёмщика. Без этого невозможно заключение договора, а также последующее сотрудничество между участниками правоотношений.

Но не всегда должники согласны с таким положением вещей и пытаются запретить банку использовать подобные сведения.

При этом важно понимать, как правильно отозвать свои персональные данные из банка, насколько это возможно и какие последствия у подобных действий.

Возможен ли отказ от обработки персональных данных

Основные правила, на основании которых производится такая обработка, прописаны в Федеральном законе № 152-ФЗ от 27 июля 2006 г. «О персональных данных».

Закон определяет, что под обработкой понимается любое действие, направленное на сбор, изменение, хранение, уточнение, предоставление и совершение иных действий с информацией о гражданине. При этом средства автоматической фиксации могут как и использоваться, так и не использоваться.

После подписания согласия на обработку, банк вправе использовать такие сведения для целей заключенного договора.

Понятие достаточно широкое и может включать различные действия, например, направление должнику писем, уведомление о просрочке платежа по телефону, а в некоторых, оговоренных случаях – даже передача третьим лицам. Но на практике не всегда клиенты банков довольны подобными действиями.

Отказ от согласия на обработку возможен на основании ФЗ «О персональных данных». Пункт 5 статьи 21 устанавливает, что такое действие должно быть произведено в течение тридцати дней.

Как оформить отказ

Согласие на обработку персональных данных оформляется при помощи подписания соглашения, которое может быть включено в текст основного договора. Чтобы оформить отказ, необходимо подготовить отдельное заявление.

В тексте документа обязательно должны быть указаны следующие реквизиты:

  • данные о банке, который обрабатывает данные;
  • реквизиты заявления;
  • информация о договоре, который был заключен между сторонами;
  • сведения о соглашении на обработку, в том числе дата, когда оно было подписано;
  • ссылка на правовые акты, которые позволяют совершить отказ об обработки;
  • чётко выраженное требование о прекращении обработки данных.

Скачать заявление на отзыв персональных данных из банка (образец/бланк)

Передать заявление можно лично, в отделение кредитора. Одна копия передаётся получателю, на второй он ставит отметку о принятии. Если заявление принимать отказываются, можно позвонить на горячую линию банка и попросить разобраться в ситуации.

Ещё один вариант – направить документ почтой. Лучше всего оформить заказное письмо с описью вложения, что подтвердит факт обращения.

Когда может потребоваться отказ

Банки не всегда действуют добросовестно. Довольно часто возможность обработки данных выливается в назойливые звонки из службы безопасности, в некоторых случаях могут звучать угрозы или оказываться психологическое давление. В такой ситуации отказ от обработки вполне справедлив и обоснован.

Ещё один вариант, когда действие обосновано – банк использует данные при полном отсутствии согласия. Чаще всего это случается, когда какой-то гражданин берёт кредит и указывает в качестве контактного лица родственника, коллегу, работодателя или иное лицо. В такой ситуации отказ является правомерным в полной мере, так как у банка письменное согласие отсутствовало вовсе.

Последствия заявления

Подача заявления не означает, что банк прекратит любое использование персональных данных в полной мере. Это невозможно в принципе, так как законодательство накладывает на финансовую организацию некоторые обязательства, да и наличие договора уже говорит о том, что определённые персональные данные обрабатываются, как минимум путём хранения, регулярно.

Так, подпункт 5 пункта 1 статьи 6 ФЗ «О персональных данных» устанавливает, что обработка необходима для исполнения условий договора.

Фактически, без таких действий невозможно исполнить обязательства перед должником и ЦБ РФ. То есть полный отказ невозможен, в принципе, но отказ от определённой части может быть осуществлён.

Чаще всего заёмщики просят прекратить обрабатывать только номер телефона. Это связано с постоянными звонками от банка или коллекторов. Такое требование вполне обосновано и может быть принято. Но банк, при этом, всё равно продолжит направлять письма по адресу должника или являться для личной беседы, если это не противоречит действующему законодательству.

Что делать, если отказ проигнорирован

Тут уж остаётся обращаться в соответствующие органы, например:

  1. Центральный Банк РФ. Он вправе применять штрафные санкции и привлекать к административной ответственности кредитные организации за финансовые нарушения;
  2. Прокуратура РФ. Жалобу можно подать даже в электронном виде, через официальный сайт;
  3. Полиция. Может оказать помощь, если представители банка реально нарушают законодательство, например, угрожают должнику или оказывают на него психологическое воздействие.

Каждый случай нужно рассматривать индивидуально. В одной ситуации после обращения в ЦБ РФ проблема реально устраняется, в другом требуется более серьёзная и детальная работа.

Подведем итоги

Отзыв персональных данных, которые вправе обрабатывать банк на основании договора и соглашения, возможен. Однако это не означает, что кредитор полностью прекратит любые действия со сведениями, связанными с должником, поскольку это невозможно в принципе.

Можно отозвать некоторые сведения, например, номер телефона, свой или третьих лиц, если такая информация была передана ранее.

Однако невозможно лишить банк возможности вовсе выходить на контакт с должником, поскольку условия договора всегда предусматривают для сторон отношений наличие «обратной» связи.

Прочтите: Как отозвать платежное поручение из банка

Как запретить коллекторам звонить и писать | юристы | БОЛЬШОЕ ДЕЛО

В СМИ периодически появляются страшилки про коллекторов. Но это не значит, что управы на них нет. С коллекторами, которые не боятся закона, можно и нужно бороться. Мы знаем, как это делать и сейчас расскажем вам.

«Постелить соломку» и частично уберечь себя от нападок коллекторов можно еще тогда, когда у вас нет просрочек, но вы понимаете, что скоро платить по кредиту перестанете. Например, потому, что все финансовые возможности исчерпаны, или потому, что планируете банкротство.

Что делать, если кредит вы еще платите, но скоро перестанете

Больше всего должников пугает то, что коллекторы будут названивать близким, угрожать им и требовать оплату долга.

Чтобы обезопасить своих родных от общения с кредиторами, нужно отозвать у кредитора ваше согласие на обработку персональных данных. Такое согласие вы подписывали при оформлении кредита, там вы указывали свои данные и данные третьих лиц. Но отозвать его имеете право в любой момент.

Отзыв нужно отправить кредитору заказным письмом с уведомлением. Получив такое письмо, кредиторы и коллекторы теряют право общаться с вашими родителями, знакомыми, коллегами, а значит — не будут звонить и писать им.

Правда, некоторые коллекторы даже после отзыва согласия продолжают названивать родственникам. Как мы будем им «напоминать» о законе — расскажем ниже.

Кстати, законную силу согласие на обработку персональных данных имеет только в одном случае: если оно оформлено в письменном виде отдельным документом. Но даже если вы такую бумагу не подписывали, или оформляли микрозайм/кредитную карту дистанционно, все равно лучше подстраховаться и отозвать согласие.

Что делать, если просрочки уже есть, коллекторы донимают звонками, сообщениями в соцсетях, смсками и угрожают

Нужно написать отказ от взаимодействия и отправить его почтовым письмом с уведомлением. Но дело в том, что сделать это вы имеете право не раньше, чем через 4 месяца после начала просрочки.

Как только кредитор или коллекторы получат такой отказ — беспокоить вас перестанут.

Самое безобидное нарушение — звонки или письма чаще положенного. Например, коллекторы названивают по 10 раз в день, хотя имеют право только на один звонок в сутки, да и то не каждый день. На такое нарушение нужно жаловаться в ФССП (приставам). Они контролируют деятельность коллекторов.

Но для начала нужно выяснить, а имеют ли вообще право вам звонить из коллекторского агентства?

Если кредитор решил привлечь коллекторов, он должен уведомить вас об этом в течение 30 дней. Если вы не получали никакого уведомления, а вам вдруг звонят из коллекторского агентства, можно смело жаловаться в полицию. Ведь эти люди вам неизвестны, вы им денег не должны, а они требуют. По факту это — вымогательство, и с этим должна разбираться полиция.

Вот еще поводы для обращения в правоохранительные органы:

  • нанесение вреда здоровью. Речь не обязательно об избиении. Даже просто толкнуть, пихнуть вас коллектор не имеет права. Кроме того, если коллектор в буквальном смысле портит ваше здоровье (то есть после общения с ним обостряются или появляются болезни), — это тоже повод для обращения в полицию;
  • порча имущества. Сейчас, может, коллекторы и не поджигают машины должников. Но ведь испорченная несмываемой краской входная дверь — это тоже ваше имущество;
  • угрозы нанести вред здоровью должника или его имуществу. Даже если нет прямых угроз («мы тебя покалечим»), но вы расцениваете слова коллекторов как угрожающие («жди, придем к тебе домой»), — жалуйтесь;
  • унижение чести и достоинства. Это могут быть как оскорбления, так и распространение порочащих должника сведений (в общественных местах или среди знакомых).

Недобросовестные коллекторы не звонят с официальных номеров агентства. Да и представиться они могут вымышленными именами. Поэтому в заявлении мы будем требовать возбудить уголовное дело в отношении неизвестного лица.

Но дело в том, что только лишь написать заявление в полицию — недостаточно. Нужны подтверждения незаконных действий коллекторов. И чем их будет больше — тем лучше.

Доказательствами могут быть:

  • аудиозаписи разговоров;
  • электронные письма, SMS;
  • свидетельские показания;
  • распечатка детализации звонков.

Многие люди думают, что жалобы в полицию — пустая трата времени, что полиция ничего делать не хочет и не будет. На самом деле это не так. Действительно, уголовное дело, скорее всего, не заведут, но это не значит, что обращение в полицию не даст результата: коллекторы побоятся впредь вас побеспокоить, поскольку полиция как минимум с ними свяжется.

А ещё всегда можно жаловаться в Прокуратуру. Это такой «универсальный» орган, который следит, чтобы другие органы (в том числе полиция и приставы) исполняли свои обязанности как надо. Можно пожаловаться на коллекторов в Прокуратуру, а та перешлёт жалобу приставам или в полицию с указанием, какие предпринять меры.

Коллекторы звонить перестанут, но долги-то никуда не денутся…

Жаль, что вместе со звонками не исчезают и долги. Поэтому рано или поздно кредиторы напомнят о себе, подав на вас в суд.

Поэтому основной целью должника должно быть не избавление от коллекторов, а избавление от долгов. Если нет возможности платить — нужно подавать на банкротство.

Выводы

Чтобы коллекторы не беспокоили ваших близких, нужно отозвать согласие на взаимодействие с третьими лицами.

По закону за коллекторами надзирает Федеральная служба судебных приставов. Приставам можно жаловаться на любое нарушение коллекторов.

Если коллекторы угрожают или вредят вашему здоровью или имуществу, нужно жаловаться на них в полицию.

К заявлению в полицию нужно приложить доказательства. Это могут быть, например, аудиозаписи телефонных разговоров, детализация звонков, свидетельские показания.

Отказаться от общения с коллекторами вы можете через 4 месяца после начала просрочки.

Автор публикации: Канатьева Елена

Составление запрета на обработку персональных данных: пошаговая инструкция и перечень необходимых документов

Комплекс законодательства, регулирующий работу юридических и физических лиц с персональными данными, предусматривает добровольное согласие субъекта ПДн на все манипуляции и оставляет за ним право в любой момент отозвать саму информацию, согласие на ее обработку или на конкретные действия.

Это касается как зарегистрированных операторов персональных данных, так и предприятий, не подлежащих регистрации в Роскомнадзоре, но нуждающихся в обработке персональных данных сотрудников, клиентов и прочих. Как правильно воспользоваться законным правом на конфиденциальность ПДн?

Скрыть содержание

Как составить обращение в компанию?

Отзыв персональных данных производится в письменной форме. Это обращение к организации, которой было дано право на обработку вашей личной информации (банку, работодателю, коммерческой структуре в рамках рекламной акции или программы скидок). Заявитель может отозвать разрешение полностью, или изменить перечень данных и манипуляций с ними, на которые он дает согласие.

Согласно ч.5 ст. 21 Федерального закона «О персональных данных», получив подобное обращение, компания обязана в течение месяца прекратить обработку данных и уничтожить информацию, если ее дальнейшее сохранение не требуется, прямо запрещается субъектом и не оговорено договором, стороной которого остается заявитель.

Справка! Закон предусматривает ряд ситуаций, в которых информация может обрабатываться и после официального отзыва согласия.

Кроме случаев исполнения законодательства, международных соглашений и договоров с самим субъектом, к ним относятся исполнительное производство и судебные процессы.

Также не будет прекращена работа с обезличенной статистической информацией и, данными, предоставленными гражданами при регистрации на порталах госуслуг.

Закон отдельно защищает права организаций на работу со сведениями о заемщиках.

Как отозвать своё согласие и какие документы потребуются?

Документы, сопровождающие процедуру отзыва персональных данных и введения запрета их обработки, во многом схожи. Основные отличия лежат в области формулировок в заявлении, и в том, откуда вы отзываете свое прежнее согласие. Чаще всего такая потребность возникает в отношениях с банками и торговыми компаниями, поэтому возьмем примерный перечень документов для обращения именно к ним.

Чтобы отозвать согласие на обработку ПДн у банка и торговой компании, понадобятся:

  • личное заявление в двух экземплярах;
  • копия договора с компанией-оператором;
  • копия паспорта.

Внимание! Направить заявление на отзыв согласия можно лично – тогда на втором экземпляре ставится штамп или роспись должностного лица о получении, по почте заказным письмом с описью и уведомлением, или в электронном виде с удостоверением цифровой подписью.

Типовой формы заявлений частных лиц об их согласии на обработку личной информации и отказе от этого согласия не существует. Заявитель не обязан указывать причины отзыва, но может это сделать, например, ссылаясь на прекращение действия кредитного или иного договора.

В обращении обязательно должны присутствовать:

  1. «Шапка» – в правом верхнем углу указываются адресат и адресант заявления. Например, управляющему банка «Икс» Иванову И.И. от Попова В.В., адрес прописки, номер договора.
  2. Информация о заявителе – ФИО полностью, паспортные данные, в том числе, когда и кем выдан, адрес регистрации.
  3. Суть обращения – согласно закону «О персональных данных», отзываю свое согласие на их обработку, данное банку «ИКС» при заключении договора №11111 от 1.01.2018 года. Прошу прекратить обработку моих данных в установленные законом сроки.
  4. Адрес для ответа – если желаете получить ответ организации не на адрес, указанный в заявлении, а, например, по электронной почте или другим способом, укажите их. Письменный ответ на заявление является подтверждением, что информация не будет использоваться, и будет удалена в положенные сроки.
  5. Приложения – перечень приложенных копий документов.
  6. Дата и подпись.

Важно! Исключению из информационных баз подлежат не все сведения, предоставленные вами кредитному учреждению.

Хранение информации о договоре, финансовых операциях по нему и прочие данные, часть которых можно отнести к личным данным субъекта, подпадает под фискальное и прочее законодательство, регламентирующее хранение подобной информации.

Как добиться запрета на использование личной информации?

Структура заявления на запрет обработки данных схожа с приведенной выше. Кроме полного запрета на обработку, что фактически дублирует отзыв ранее данного согласия, заявитель может запретить:

  • один из способов обработки – автоматизированный или неавтоматизированный;
  • отдельные действия, например, передачу третьим лицам;
  • обработку части предоставленных персональных данных (сведений о месте работы, контактную информацию родственников и подобное).

Согласно вашим целям, напишите заявление по образцу, дополнив графу «Суть обращения» нужной формулировкой, например:

  • «отзываю свое согласие на обработку предоставленной информации о месте работы и рабочих телефонах, служебной почте, адресах проживания, стационарных и мобильных телефонах родственников и членов семьи»;
  • «отзываю разрешение на передачу моих персональных данных третьим лицам и прошу обеспечить прекращение обработки моих персональных данных третьими лицами, согласно ст. 21 Федерального закона «О персональных данных».

Справка! Многие примеры подобных обращений содержат цитирование законодательства и выражение готовности заявителя защищать свое право на отзыв персональных данных. Но это не является обязательным – документ будет правомочен при соблюдении указанных выше норм.

Коллекторы могут оказывать услуги банку по работе с заемщиками, и тогда заявление на отзыв персональных данных подается непосредственно оператору, а коллекторам может быть направлена копия. Это обязывает обе организации сократить обработку данных до установленного законом уровня.

Или же долг, и персональные сведения вместе с ним, мог быть переуступлен самому агентству, и изымать данные из работы следует уже оттуда.

Корректное оформление самой передачи долга и информирования об этом заемщика лежит вне тематики данной статьи, но и с точки зрения защиты персональных данных процедура не однозначная – как минимум добровольного согласия на обработку субъект коллекторам не давал.Основные элементы письма-претензии по данному поводу:

  1. «Шапка» – шаблонное обращение на имя первого руководителя, с указанием ФИО и контактных данных заявителя. Здесь же указываются получатели копий, если таковые имеются.
  2. Информация о заявителе – ФИО, контактные данные или иная информация.
  3. Правовое обоснование – закон «О персональных данных», в частности его ст.6, 9, 21, которые регламентируют добровольную дачу согласия субъектом, право на отзыв и обязанность оператора, аффилированных с ним структур, и третьих лиц, которым информация была передана, не использовать отозванные данные.

    Если коллекторы нарушают другие нормы, например, не подтвердили свою правомочность в получении задолженности, прибегают к угрозам, разглашают банковскую и налоговую тайну, и прочее, сошлитесь на соответствующие законодательные акты.

  4. Перечень данных, которые запрещено обрабатывать – например, номера мобильного, стационарного и служебного телефона, контактная информация третьих лиц, упомянутых в кредитном договоре, информация о рабочем месте.
  5. Способ связи – укажите приемлемый для вас способ контактов – по электронной или обычной почте, отдельному телефону или через вашего юриста, чьи контакты прилагаются.
  6. Разрешение споров – в судебном порядке согласно законодательству РФ.
  7. Обращение о прекращении обработки данных – с момента получения заявления в установленные законом сроки.
  8. Подпись, дата.

Права кредитора на использование сведений о должнике прописаны в законе, и полностью изъять информацию нельзя, но можно оставить доступным минимум, удовлетворяющий целям обработки. В случае несоблюдения операторами требований по отзыву согласия на обработку персональных данных, субъект имеет право обратиться Роскомнадзор и в правоохранительные органы.

Отзыв персональных данных и запрет их использования – законное право гражданина, желающего избавиться от навязчивой рекламы, избежать излишнего распространения сведений о себе и близких, окончательно разорвать связи с бывшим работодателем, поставщиком услуг и прочими.

Но не следует рассматривать отзыв как панацею для недобросовестных заемщиков. Возможно, он поможет снизить коллекторскую активность, но до погашения кредита и завершения исполнений обязательств по договору, банк не забудет ни о вас, ни о ваших персональных данных.

Как отозвать согласие на обработку персональных данных

Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, расскажем в статье.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

  • Ф. И. О.;
  • адрес проживания;
  • паспортные данные;
  • сведения о месте рождения;
  • прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет.

Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно.

Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

  • суды при участии гражданина в судопроизводстве;
  • приставы при исполнении судебного акта;
  • государственные органы при исполнении своих полномочий;
  • стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
  • любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
  • журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
  • субъекты, участвующие в реализации международных договоров;
  • органы статистики, если личные данные обезличиваются.

Порядок отзыва индивидуальных данных

Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.

Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.

Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:

  1. Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
  2. Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
  3. В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Образец заявления на отзыв

Заявление на отзыв персональных данных составляется следующим образом:

  1. В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
  2. Ниже посередине — название документа.
  3. С красной строки — основной текст.
  4. В конце документа — дата и подпись.
  • Образец отзыва персональных данных из банка может выглядеть так:
  • Руководителю Центрально-Черноземного банка ПАО «Банк»
  • Воронеж, ул. 9 Января, 28
  • от Держаева Виктора Петровича
  • Воронеж, ул. Комарова, 28, 15
  • Заявление

Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.

Держаев В. П. /Держаев/

Дата: __ __ ____

Последствия отзыва

Согласно п. 5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.

Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.

Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений.

Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479).

Итоги

Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.

Еще больше про защиту персональных данных — в онлайн-курсе Центра обучения «Клерка». На него как раз сейчас скидка.

Отзыв персональных данных из банка: образец заявления (бланк)

При оформлении любого банковского кредита или займа от микрофинансовой организации заявитель оставляет свои персональные данные. И кредитная компания может использовать эти сведения по личному усмотрению. Если вы не желаете, чтобы информация была в сторонних руках, необходимо составить заявление на отзыв персональных данных из банка.

Покажем образец отзыва персональных данных из банка и расскажем, как и зачем подавать такое заявление. Есть случаи, когда личными данными клиента могут воспользоваться даже после официального отзыва. Подробности — на Бробанк.ру

Как персональные данные попадают в пользование банка

Это случается при любом заключении договора, не обязательно кредитного. Это нужно компании для работы с клиентом, для получения права на его обслуживание. Если вы откажетесь от обработки персональных данных, то не сможете получить нужную услугу.

Вы передаете личные данные банку при:

Здесь ситуация несколько двоякая. Любой договор предусматривает согласие клиента на обработку персональных данных. Даже если вы заказываете услугу онлайн, то после формирования анкеты нужно поставить галочку в поле согласия. Вроде как это добровольное действие клиента, но без его выполнения услуга не будет оказана.

Как банки используют персональные данные клиентов

Первостепенная задача — использование их при оказании услуги. Например, если речь о кредите. Эта информация будет нужна банку в случае просрочки, чтобы передать дело коллекторам или использовать собственные силы для организации процесса взыскания.

Другой момент — реклама. Имея огромную базу персональных данных, финансовая организация получает перечень потенциальных клиентов. Им регулярно шлют информацию о предоставлении персональных кредитов, кредитных карт, просто рекламируют услуги. И хотя это может раздражать, периодически встречаются действительно дельные предложения.

По закону банки не имеют права передать собранные сведения третьим лицам, но проколы случаются. Регулярно появляются новости о том, что в какой-то организации случилась утечка. Виной тому хакеры или сотрудники, которые, пользуясь служебным положением, преступным путем продают данные.

Понятно, что эти сведения мошенники используют для личного обогащения. Например, в последние годы они активно атакуют клиентов Сбербанка, представляясь его службой безопасности. Таким образом они выуживают у граждан сведения, которые помогают им красть деньги со счетов.

Можно ли подать заявление в банк на отзыв персональных данных

Есть закон о персональных данных, которые регулирует все, что связано с этим вопросом. Это ФЗ-152. Статья 9 разъясняет вопросы, связанные с согласием субъекта на сбор и хранение сведений о нем. Здесь же говорится и о его праве отозвать предоставленное ранее согласие.

Если вы придете в банк, чтобы оформить отказ от использования персональных данных, то ссылаться нужно на ФЗ-152 ст 9. Ее второй пункт как раз и гласит о том, что человек может отозвать свои персональные данные. Причем нет указаний ни по срокам, ни по иным условиям. Выполнить это действие можно в любой момент.

Это касается не только банковских клиентов. Сбором информации и их хранением занимаются мобильные операторы, магазины (выдают карты лояльности) и пр.

Как удалить персональные данные из банка

Требуется личное обращение в финансовую организацию и написание соответствующего заявления. Отказать в этом праве банкиры не могут, поэтому принимают запросы без проблем и выполняют просьбу клиента.

Как отозвать личные данные из банка:

  1. Посетить офис финансовой организации и выразить свое намерение отозвать данные. Если заявление вы составляли самостоятельно, оно должно быть в двух экземплярах (бланк и образец отзыва обработки персональных данных из банка — ниже).
  2. Вас спросят, как вы желаете получить информацию о результате. Можно выбрать отделение банка, почтовую или электронную рассылку.
  3. По итогу обработки заявителю сообщают, что его данные отозваны, больше банк их использовать не может.

Самостоятельно составлять заявление не обязательно, так как в банке в любом случае предоставят готовый бланк. А чаще заявление формирует менеджер и просто дает его на подписание клиенту. Но на всякий случай оставляем образец.

Образец отзыва согласия на обработку персональных данных →

Нужны именно два бланка. Один остается у банка для рассмотрения и выполнения требования, другой с отметками финансовой организации — у клиента. Его нужно хранить до момента выполнения банком действия и получения сообщения об этом.

Персональные данные убираются из банка в течение 30 дней после подачи заявления.

Исчезнут ли сведения полностью

Если клиенту просто надоела рекламная рассылка и бесконечные звонки с предложением взять кредит, это подействует. Некоторые банки действительно злоупотребляют спамом, шлют персональные предложения по СМС буквально каждый день. Это действует на нервы. Такая рассылка и обзвон должны прекратиться.

Но закон указывает, что полностью сведения из базы данных не исчезают. Есть основания для продолжения хранения, сбора и распространения данных:

  • если договорные отношения с кредитором не прекращены. Например, есть действующий кредит, кредитная или дебетовая карта, вклад и пр;
  • если лицо является участником судебных разбирательств;
  • обработка необходима для защиты жизни и здоровья гражданина;
  • информация может потребоваться для оказания медицинских услуг, установления диагноза, личности;
  • сведения потребуются в случае соблюдения законов о безопасности, противодействию терроризма, уголовного и исполнительного законодательства.

Подробное описание всех пунктов — в ст 10 части 2 ФЗ-152. Если вдруг информация понадобится для этих целей, она будет предоставлена финансовой организацией ведомству, которое ее запросило. То есть бесследно данные не исчезают.

Что делать, если заявление не подействовало

На практике банки стремятся соблюдать действующее законодательство. Им важна собственная репутация, и не нужны проблемы с Центральным Банком. Но если вдруг спустя 30 дней после подачи заявления вы не получили уведомление о положительном результате, или вас продолжают заваливать рекламой, нужно обращаться в вышестоящие инстанции.

Куда обращаться:

К сожалению, если произошла утечка данных, вас донимают спамеры и мошенники, ничего с этим не поделать. Единственный выход из ситуации — блокировать входящие номера, помечая их как спам. В итоге телефон просто не будет в следующий раз принимать эти звонки.

Поможет ли отзыв избавиться от коллекторов

Некоторые должники, совершившие просрочку, желают написать отзыв персональных данных, чтобы прекратить действий коллекторов и службы взыскания. Они хотят отозвать персональные данные из банка и прекратить натиск. Но не все так просто.

Так как кредитный договор действующий, отзыв персональных данных по закону будет невозможным.

В этом случае нужно действовать несколько иначе — нужно составлять отказ от взаимодействия с коллекторами. Это можно сделать спустя 4 месяца после фиксирования просрочки.

После написания банк коллекторы не будут правомочны общаться с должником. Подробная информация в материале — как отшить коллекторов.

Источник информации:

  1. Consultant.ru: ФЗ 152 О персональных данных.

Об авторе

Ирина Русанова — высшее образование в Международном Восточно-Европейском Университете по направлению «Банковское дело». С отличием окончила Российский экономический институт имени Г.В. Плеханова по профилю «Финансы и кредит».

Десятилетний опыт работы в ведущих банках России: Альфа-Банк, Ренессанс Кредит, Хоум Кредит Банк, Дельта Кредит, АТБ, Связной (закрылся). Является аналитиком и экспертом сервиса Бробанк по банковской деятельности и финансовой стабильности.

[email protected]

Эта статья полезная? Помогите нам узнать насколько эта статья помогла вам. Если чего-то не хватает или информация не точная, пожалуйста, сообщите об этом ниже в х или напишите нам на почту [email protected]

Заявление на запрет обработки персональных данных – отзыв о Восточном Банке от «s*******@gmail.com»

Номер  заявки: 13140183. 
На мой телефонный номер +7 925225хххх постоянно (каждый день и по несколько раз) поступают звонки из банка с требованием погасить задолженность по кредиту, выданному человеку, с которым я не общаюсь уже несколько лет. При выдаче кредита заемщик указал мой номер телефона как контактный, при этом моего согласия ни заемщик, ни банк не получали.

На основании 152-ФЗ «О персональных данных» я требую исключить мой номер телефона, а также любые данные, касающиеся меня (адрес проживания и т.п.) из базы данных банка, а также требую прекратить обработку и использование моих персональных данных. Данный запрет на использование и обработку персональных данных касается адреса моего места проживания и регистрации, адресов проживания моих родственников, знакомых и близких, а также бывших членов семьи, адресов моих работодателей. Также данный отзыв распространяется на мои сотовые и стационарные телефоны, а также сотовые и стационарные телефоны моих родственников и коллег.

В соответствии с 152-ФЗ «О персональных данных» в  случае запрета использования персональных данных оператор обязан прекратить их обработку. Также он должен обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.  В случае, если звонки на мой телефонный номер не прекратятся в течение 10 дней с даты направления настоящего запрета я обращусь с жалобой в Росконадзор и Центробанк РФ для защиты своих прав, а также с заявлением в суд о взыскании морального вреда.

На основании вышеизложенного, прошу:
1.  С момента получения данного заявления в трехдневный срок исключить мой номер телефона, а также любые данные, касающиеся меня (адрес проживания и т.п.) из базы данных банка и прекратить обработку и передачу моих персональных данных.
2.   Уведомить меня о результатах рассмотрения данного заявления на электронный адрес указанный в заявке в установленный законом срок.

Отзыв согласия на обработку персональных данных – образец 2021

Когда требуется отзыв данных

Как правило, необходимость отменить согласие на использование личных сведений возникает, когда речь идет о передаче их третьим лицам. Например, сотрудник по каким-либо причинам больше не желает, чтобы информация о нем размещалась на сайте компании или употреблялась в рекламных материалах. В другом случае соискатель на вакантную должность может передумать участвовать в конкурсе и запретить передачу данных в службу безопасности. Нередко клиент какой-либо организации хочет отказаться от получения рассылки смс или электронных писем. Наиболее злободневной ситуацией является предоставление коллекторам личных сведений о заемщике банка. Один из способов, которым можно попытаться себя обезопасить, — отозвать разрешение на обработку персональных данных.

Что говорит закон

Возможность и порядок отзыва согласия на обработку персональных данных описаны в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». Рассмотрим, какие наступают последствия отзыва согласия на обработку персональных данных.

После получения заявления о запрете использования личных сведений оператор обязан прекратить работу с данными и, если это возможно, обеспечить их уничтожение. Срок, в который оператор должен выполнить настоящее обязательство, в соответствии с п. 5 ст. 21 закона № 152-ФЗ, не превышает тридцати дней. Но Федеральный закон накладывает определенные ограничения на отзыв разрешения на обработку информации. Например, оператор, невзирая на получение отзыва разрешения, обрабатывает и передает данные, если это необходимо для свершения правосудия (п. 2 ч. 2 ст. 11 152-ФЗ) или защиты жизни (здоровья) субъекта (п. 6 ч. 2 ст. 11 152-ФЗ). Кроме того, работа с информацией продолжается независимо от отмены разрешения для обеспечения пенсионных выплат, уплаты налогов, обязательного медицинского и социального страхования.

Как написать заявление об отзыве персональных данных

Для того чтобы отозвать разрешение на использование персональных данных, достаточно направить оператору соответствующее заявление – это единственный способ, как отозвать персональные данные, предусмотренный законом. Заявление пишется в свободной форме, рекомендуется указать в нем следующие моменты:

  • полное наименование организации;
  • юридический адрес, а также фактический адрес отделения, если речь идет о банке;
  • данные заявителя: ФИО, паспортные данные, адрес регистрации;
  • ссылка на законодательные акты.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя. Если заявление направляется в банк, к нему следует приложить ксерокопию паспорта и кредитного договора.

Образец отзыва согласия на обработку персональных данных у работодателя в 2020 г.

Как организовать уничтожение персональных данных

После того, как оператору от владельца поступит отзыв согласия на обработку, у него есть определенное время для того чтобы организоваться и уничтожить сведения об их владельце. Уничтожение персональных данных — это такие действия оператора, в результате которых материальные носители с этими сведениями либо полностью уничтожаются (бумага) либо, если сведения хранятся на машинах, они стираются чтобы было невозможно восстановить исходники (см. подпункты 3, 8 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ).

Срок уничтожения

Время для исполнения Основание для ликвидации Ссылка на норму Федерального закона от 27.07.2006 № 152-ФЗ
7 рабочих дней При представлении субъектом ПД или его представителем сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки

часть 1 стать 14, часть 3 статьи 20

10 рабочих дней При выявлении незаконной обработки ПД, если невозможно обеспечить ее правомерность

часть 3 статьи 21

30 рабочих дней При достижении цели обработки ПД

часть 4 статьи 21

30 рабочих дней При отзыве субъектом ПД согласия, если их сохранение более не требуется для целей обработки

часть 5 статьи 21

Нюансы

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного таблице выше, оператор обязан заблокировать эти сведения и в срок не превышающий 6 месяцев уничтожить их, если иной срок не установлен иным законом (см. часть 6 стать 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Последние инициативы

1 августа 2020 года Минкомсвязи подготовило проект изменений в Федеральный закон от 27.07.2006 № 152-ФЗ. Нововведения касаются порядка уточнения требований к уничтожению персональных данных. Так, статья 21 Федерального закона от 27.07.2006 N 152-ФЗ устанавливает обязательство оператора по устранению нарушений закона, допущенных при обработке ПД, в том числе, по уничтожению ПД. Однако, указанная норма не содержит требований к уничтожению самих данных.

В целях устранения указанной коллизии Минкомсвязи предложило дополнить стать 21 частью 7 следующего содержания:

«Уничтожение персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.».

По мнению чиновников, изменение направлено на устранение коллизии в отношении уничтожения персональных данных, и на исключение возможности разносторонней трактовки понимания действий, подтверждающих со стороны оператора факт уничтожения персональных данных.

Как организовать работу с персональными данными на предприятии, видео

Битва за персональные данные

Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне

Драться – плохо. Но если дерешься – побеждай!

(из х/ф «Парень-каратист»)

Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:

«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»

И так с десяток звонков ежедневно, включая выходные.

Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:

«Еще раз спрашиваю, вы – Наталья Михайловна?»

Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.

Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.

Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.

Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?

Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.

Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.

Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.

Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:

  • если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».

В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.

Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).

(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)

Как происходит утечка персональных данных?

Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.

В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.

Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.

Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.

Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.

Какими могут быть последствия утечки данных?

В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.

Что делать, если в распространении личной информации виноват банк?

Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.

Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания обработки данных;
  • цели и применяемые оператором способы обработки данных;
  • наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
  • обрабатываемые персональные данные и источник их получения;
  • сроки обработки данных, в том числе сроки их хранения;
  • информация об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.

После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.

Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.

Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.

«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.


1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).

Политика обработки персональных данных — Совкомбанк

1. Общие положения

1.1. ПАО «Совкомбанк» (далее по тексту — Банк) является оператором по обработке персональных данных.

1.2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3. Субъекты персональных данных в Банке:

  • клиент – физическое или юридическое лицо, находящееся на обслуживании в Банке, а так же лицо, являющиеся, в соответствии с законодательством Российской Федерации, представителями клиента, выгодоприобретателями и бенефициарными владельцами;
  • акционер – физическое лицо, которое владеет одной или несколькими акциями в капитале Банка;
  • контрагент — любое российское или иностранное юридическое или физическое лицо, с которым Банк вступает в договорные отношения, за исключением трудовых отношений;
  • сотрудник – физическое лицо, которое вступило в трудовые отношения с Банком.

1.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации (с помощью средств вычислительной техники) или без использования таких средств (на материальных носителях информации) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Политика обработки персональных данных Банка (далее по тексту — Политика) является общедоступным документом, который отражает общие требования и принципы организации работ по обработке и защите персональных данных.

1.6. Политика разработана в соответствии с нормами законодательства Российской Федерации (далее по тексту — РФ) о персональных данных и учитывает требования нормативных документов Банка России.

1.7. Действие настоящей Политики распространяется на деятельность всех сотрудников Банка, участвующих в процессе обработки персональных данных.

1.8. Пересмотр настоящей Политики может осуществляться в следующих случаях:

  • если произошли изменения в категориях обрабатываемых персональных данных субъектов персональных данных;
  • если произошли изменения требований по обработке и защите персональных данных субъектов персональных данных в законодательстве РФ и/или нормативных документах Банка России.

1.9. В Политике используются термины в соответствии с законодательством РФ о персональных данных и нормативными документами Банка России.

2. Категории субъектов персональных данных

2.1. Банк может обрабатывать следующие категории субъектов персональных данных:

  • персональные данные клиентов/контрагентов (физ. лиц), представителей/работников клиентов/контрагентов (юридических лиц) – ФИО; паспортные данные или данные иного документа, удостоверяющего личность; гражданство; данные миграционной карты или иного документа, подтверждающего право иностранца или лица без гражданства на пребывание в РФ; адрес регистрации в стране, подданным которой является; адрес фактического проживания или временной регистрации в стране пребывания; информация о принадлежности к иностранным публичным должностным лицам; номера телефонов; информация о трудовой деятельности; сведения о заработной плате; сведения о семейном положении; сведения о доходах; сведения об имуществе; ценные бумаги и иные сведения, предусмотренные действующим законодательством РФ и внутренними документами Банка;
  • персональные данные сотрудников/бывших сотрудников, кандидатов на замещение вакантных должностей, а также родственников сотрудников – ФИО; паспортные данные; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования; данные водительского удостоверения; сведения об образовании, в том числе, информация об учебном заведении, дата окончания, номер диплома, специальность и квалификация по диплому, сертификаты и удостоверения о повышении квалификации; выполняемая работа с начала трудовой деятельности; данные справки, выданной органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, сведения о близких родственниках; сведения о воинском учете, медицинское заключение по установленной форме об отсутствии противопоказаний для работы, и иные сведения предусмотренные действующим законодательством РФ и внутренними документами Банка.

2.2. В соответствии с установленными законодательством РФ категориями персональных данных, в Банке обрабатываются персональные данные, относящиеся к общедоступным и иным категориям персональных данных сотрудников, клиентов, контрагентов и акционеров Банка.

3. Цели и принципы обработки персональных данных

3.1. Целью обработки персональных данных сотрудников, клиентов, акционеров и контрагентов Банка является выполнение функций, возложенных на Банк законодательством Российской Федерации и нормативными документами Банка России, в том числе:

  • Трудовым кодексом РФ;
  • Федеральным закономом «О банках и банковской деятельности» № 395-1 от 02.12.1990г.;
  • Федеральным законом «О судебных приставах» № 118-ФЗ от 21.07.1997г.;
  • Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» № 115-ФЗ от 07.08.2001г.;
  • Федеральным законом «О страховании вкладов физических лиц в банках Российской Федерации» № 177-ФЗ от 23.12.2003г.;
  • Федеральным законом «О кредитных историях» № 218-ФЗ от 30.12.2004г.;
  • Федеральным законом «О персональных данных» № 152-ФЗ от от 27.07.2006г.;
  • Федеральным законом «О рынке ценных бумаг» №39-ФЗ от 22.04.1996г.;
  • Положение Центрального Банка РФ «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма» № 499-П, утвержденное Банком России 15.10.2015г.;
  • Инструкцией Банка России № 153-И «Об открытии и закрытии банковских счетов, счетов по вкладам, депозитных счетов» от 30.05.2014г.;
  • другими нормативными документами.

3.2. В процессе обработки персональных данных, Банк руководствуется следующими основными принципами:

  • обработка персональных данных осуществляется на законном и справедливом основании;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями их обработки;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки, содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
  • обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • неполные или неточные персональные данные уточняются или удаляются;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

4. Процесс обработки персональных данных

4.1. Персональные данные в Банке получают непосредственно от субъекта персональных данных или его представителем, за исключением случая, указанного в п.4.2. настоящей Политики, путем:

  • заполнения утвержденных форм документов;
  • заполнения утвержденных форм веб-заявок;
  • копирования оригиналов документов;
  • получения оригиналов документов;
  • внесения полученных персональных данных в учетные формы документов и информационные системы персональных данных.

4.2. В случаях, установленных законодательством РФ, персональные данные могут быть получены Банком от третьих лиц, в том числе и от государственных органов.

4.3. Банк берет согласие на обработку персональных данных субъекта персональных данных, которое содержится в утвержденных формах документов Банка, в установленных формах для систем переводов денежных средств или в качестве отдельного согласия (в любом случае в форме, позволяющей подтвердить факт его получения).

4.4. Согласие на обработку персональных данных субъектов персональных данных Банк не берет в следующих случаях:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Банк функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.5. Банк может поручить обработку персональных данных субъектов персональных данных третьему лицу, с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В договоре определяется: перечень действий с персональными данными, цели их обработки, требования по обеспечению конфиденциальности персональных данных, а так же требования к защите персональных данных.

4.6. Субъект персональных данных может отозвать согласие на обработку своих персональных данных, написав в Банк соответствующее заявление.

4.7. В случае если цель обработки персональных данных субъектов персональных данных, на материальных носителях и в информационных системах Банка, достигнута, то персональные данные уничтожаются.

5. Защита персональных данных

5.1. Защита персональных данных, обрабатываемых в информационных системах персональных данных и на бумажных носителях информации, обеспечивается системой информационной безопасности Банка.

5.2. Система информационной безопасности Банка реализует следующий набор защитных мер:

  • антивирусная защита персональных данных;
  • идентификация, аутентификация и авторизация сотрудников в информационных системах персональных данных;
  • управление логическим и физическим доступом к информационным системам персональных данных;
  • управление средствами криптографической защиты и их ключевыми системами;
  • контроль целостности, применяемого программного обеспечения;
  • контроль использования сети Интернет и корпоративной электронной почты;
  • безопасное межсетевое взаимодействие информационных систем персональных данных;
  • регистрация и мониторинг событий информационной безопасности;
  • резервное копирование баз данных, информационных систем персональных данных.

5.3. Система обеспечения информационной безопасности Банка строится с учетом требований законодательства РФ.

6. Рассмотрение запросов субъектов персональных данных

6.1. Субъект персональных данных или его законный представитель имеет право на получение в Банке, следующей информации об обработке его персональных данных:

  • подтверждение факта обработки персональных данных Банком;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Банком способы обработки персональных данных;
  • наименование и место нахождения Банка, сведения о лицах (за исключением сотрудников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ о персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу.
  • информацию о трансграничной передаче данных;
  • иные сведения, предусмотренные федеральными законами.

6.2. Банк предоставит субъекту персональных данных информацию, касающуюся обработки его персональных данных, или мотивированный отказ в предоставлении такой информации, а также возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения Запроса субъекта персональных данных или его представителя, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.3. Запрос должен содержать:

  • фамилию, имя, отчество субъекта персональных данных или его представителя;
  • серию, номер, а так же дату и наименование органа, выдавшего основной документ, удостоверяющий личность субъекта персональных данных и его представителя;
  • номер и дату доверенности, выданной субъектом персональных данных его представителю, необходимой для осуществления законных прав и интересов субъекта персональных данных
  • номер и дату заключения договора/договоров с Банком, либо сведения, иным образом подтверждающие участие субъекта персональных данных в отношениях с Банком;
  • подпись субъекта персональных данных или его представителя;
  • обоснование повторно направленного запроса до истечения тридцати дней с момента отправки первичного запроса.

В случае если Запрос оформляется представителем субъекта персональных данных, то к Запросу должен быть приложен оригинал или надлежащим образом заверенная копия доверенности представителя.

6.4. В случае если сведения, указанные в п. 6.1. настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его Запросу, субъект персональных данных имеет право отправлять повторный запрос по истечении тридцати дней с момента первоначального обращения или отправки первоначального запроса, за исключением случая, когда запрашиваемая субъектом персональных данных или его законным представителем информация не была предоставлена ему в полном объеме.

6.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе:

  • обработка персональных данных субъекта персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.6. Субъект персональных данных или его законный представитель может требовать от Банка изменения его персональных данных в случае, если персональные данные являются неактуальными неполными, неточными, или уничтожения его персональных данных, если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.7. В случае выявления неправомерной обработки при обращении субъекта персональных данных или его представителя либо по их запросу или либо уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или либо уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в течение семи рабочих дней со дня представления таких сведений и снимает блокировку персональных данных.

Банк обязан уничтожить персональные данные субъекта персональных данных в течение семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели.

6.8. По результатам внесенных изменений и/или уничтожения персональных данных субъекта персональных данных Банк уведомляет субъекта персональных данных или его законного представителя о факте уничтожения/внесенных изменений в его персональных данных, в порядке, установленном внутренними документами Банка, а также принимает меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7. Контроль и ответственность

7.1. В целях гарантии надлежащего исполнения Банком своих обязанностей, установленных законодательством РФ о персональных данных, Банком назначено лицо ответственное за организацию процесса обработки персональных данных

7.2. Общее руководство процессом организации процесса обработки и защиты персональных данных осуществляет Председатель Правления Банка.

7.3. Сотрудники Банка, участвующие в процессе обработки персональных данных, несут ответственность за несоблюдение требований настоящей Политики.

Новые правила распространения персональных данных — Аналитика

21 января 2021

Новые правила распространения персональных данных

30 декабря 2020 года принят закон¹, устанавливающий новые правила распространения (раскрытия неопределенному кругу лиц) персональных данных и обработки персональных данных из открытых источников. Изменения вступают в силу 1 марта 2021 года.

Новые правила касаются всех операторов персональных данных и любого распространения персональных данных с согласия гражданина (не только онлайн, но и офлайн).

Особенно важно обратить внимание на новые правила владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц, а также операторам, использующим в своей деятельности информацию из открытых источников (в частности, СМИ, компаниям, использующим системы мониторинга поведения в сети Интернет).

ОСНОВНЫЕ НОВОВВЕДЕНИЯ      

1. Изменена терминология

Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исключено и введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения». При этом сохранилось отдельное понятие «общедоступные источники персональных данных» (например, справочники, адресные книги), которые могут создаваться в информационных целях и в которые (с письменного согласия гражданина) могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные данные. Пока не ясно, будут ли положения об особенностях распространения персональных данных и получения соответствующего согласия, установленные новым законом, применяться на практике при формировании и использовании общедоступных источников персональных данных.

Также новым законом не разъяснены статус персональных данных, содержащихся в публичных реестрах, и основания их обработки. Исходя из положений Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», есть основания полагать, что персональные данные, содержащиеся в публично доступных разделах реестров, могут рассматриваться как общедоступная информация, которая может использоваться любыми лицами при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

2. Необходимость получения отдельных и более конкретных согласий на раскрытие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – «согласие на распространение»), должно быть оформлено отдельно от иных согласий субъекта персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение. Молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием.

Согласие на распространение может быть предоставлено оператору непосредственно или с использованием специальной информационной системы Роскомнадзора (она еще не функционирует).

Особое внимание на новые требования необходимо обратить владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Например, социальные сети, сайты объявлений и пр. могут быть вынуждены либо сделать профили своих клиентов полностью закрытыми, либо получать дополнительное расширенное согласие. При этом не ясно, будет ли требоваться такое отдельное согласие на распространение персональных данных пользователей, чьи профили были зарегистрированы до 1 марта 2021 г.

Ранее операторы зачастую оформляли право распространять персональные данные, просто включив в текст общего согласия на обработку персональных данных слово «распространение» при указании перечня действий с персональными данными, на которые дается согласие, или сделав отсылку к п. 3 ст. 3 Федерального закона «О персональных данных», который содержит определение «обработки персональных данных», или указав, что согласие дается на любые не запрещенные законом действия с персональными данными. Теперь формулировки согласия должны прямо и недвусмысленно разрешать распространение персональных данных, при этом должен быть указан четкий перечень персональных данных, в отношении которых разрешено распространение. Неоднозначные и неясные формулировки будут трактоваться в пользу субъекта персональных данных.

Важно: Закон не содержит требования об обязательной письменной форме согласия на распространение. При этом закон предполагает, что требования к содержанию (но не к форме) согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет, и пока не ясно, насколько жесткими могут оказаться требования к таким согласиям. Неопределенность в этом вопросе создаст дополнительные риски для операторов, если не будет устранена своевременно.

3. Право субъекта персональных данных установить запреты на обработку / условия обработки раскрытых данных

В согласии на распространение могут быть установлены запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Это означает, в частности, что пользователи социальных сетей и иных Интернет-ресурсов, позволяющих пользователям делиться информацией с неограниченным кругом лиц, смогут установить запрет на обработку опубликованных ими персональных данных неограниченным кругом лиц или в определенных целях.

Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий.

Установленные субъектом персональных данных запреты / условия обработки не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. Данное исключение, на наш взгляд, станет одним из краеугольных камней при толковании и применении новых правил.

Важно:

  • В согласии на распространение следует четко указать, в отношении каких персональных данных установлены запреты и условия последующей обработки раскрытых данных, а факт отсутствия каких-либо запретов или условий обработки должен недвусмысленно следовать из формулировок согласия. Если из согласия не следует отсутствие запретов / условий обработки раскрытых данных или не определено, в отношении каких персональных данных они установлены, то такие персональные данные обрабатываются оператором, которому они предоставлены, без передачи и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
  • Операторы обязаны в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

4. Обязанность каждого оператора доказать законность обработки персональных данных из открытых источников

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, а также в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. На практике данное требование может создать дополнительные сложности при использовании компаниями различных систем мониторинга активности в сети Интернет, например, при подборе кадров HR-службами.

До обработки персональных данных из открытых источников будет необходимо убедиться в наличии согласия субъекта персональных данных на распространение его персональных данных оператором, раскрывшим персональные данные, и проверить наличие условий / ограничений на обработку данных другими операторами. При отсутствии информации о согласии субъекта персональных данных на распространение его персональных данных или в случае раскрытия персональных данных неограниченному кругу лиц самим субъектом персональных данных (например, при публикации на своем сайте) будет необходимо проверить наличие иных законных оснований для обработки из числа указанных в ч. 1 ст. 6 Федерального закона «О персональных данных».

Важно: с 1 марта 2021 г. утрачивает силу п. 10 ч. 1 ст. 6 Федерального закона «О персональных данных», допускающий обработку персональных данных, сделанных общедоступными субъектом персональных данных, любым лицом без согласия субъекта персональных данных.  

5. Право субъекта персональных данных в любой момент потребовать прекращения передачи персональных данных

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена оператором в любое время по требованию субъекта персональных данных. Субъект персональных данных вправе обратиться с аналогичным требованием к любому лицу, обрабатывающему его персональные данные в нарушение новых правил, или в суд.

РЕКОМЕНДАЦИИ

  • Оцените текущие процессы и решения, используемые при обработке персональных данных, на предмет их соответствия новым требованиям и при необходимости скорректируйте их.
  • Отслеживайте рекомендации регулирующих органов и правоприменительную практику.

Авторы: советник Елена Агаева, юрист Елена Квартникова, паралигал Марина Петрова


¹Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

Без грифа секретности: избыточный сбор персональных данных запретят | Статьи

Правительство внесло в Госдуму законопроект, запрещающий отказывать в заключении или исполнении договора потребителю, который не хочет предоставлять свои персональные данные в случаях, когда это не предусмотрено законом. За понуждение будет введена административная ответственность. Специалисты считают, что эти правила нужно распространить и на данные, собираемые сайтами в интернете. Каковы основные источники утечек наших данных, когда можно поделиться личной информацией, а когда лучше воздержаться от этого — в материале «Известий».

Тайны и обманы

Правительство России внесло в Государственную думу проект федерального закона «О внесении изменения в статью 14.8 Кодекса РФ об административных правонарушениях», предусматривающий запрет на отказ в заключении, изменении, расторжении или исполнении договора потребителю, отказывающемуся предоставлять свои персональные данные в случаях, когда это не оговорено законом, сообщили «Известиям» в комитете по государственному строительству и законодательству.

Говоря проще, предлагаемые поправки должны наложить запрет на принудительный сбор персональных данных россиян. Юридическим языком это формулируется как «запрет на понуждение потребителя под угрозами отказа в осуществлении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ и не связано с совершением сделки по реализации товаров, работ, услуг». Кроме того, устанавливается перечень недопустимых условий договора, ущемляющих права покупателей или потребителей услуг.

Фото: ИЗВЕСТИЯ/Константин Кокошкин

К недопустимым, к примеру, относятся условия, предоставляющие продавцу право на односторонний отказ от исполнения обязательства или одностороннее изменение его условий — о предмете, цене, сроке и иных согласованных с потребителем условий. «К недопустимым отнесены и условия, которые обусловливают приобретение одних товаров обязательным приобретением других товаров, создают для потребителя иные обременения, в том числе предусматривают обязательное заключение иных договоров, а также предусматривают оказание допуслуг за плату без получения согласия потребителя», — следует из проекта правительственного законопроекта.

— Новый проект закона создан для дополнительной защиты потребителей при сборе и обработке их персональных данных, — разъясняет эксперт Московского финансово-юридического университета (МФЮА) и руководитель адвокатского кабинета «Законъ» Анна Макеева. — Его разработке предшествовало большое количество жалоб со стороны потребителей.

В Роспотребнадзоре рассказали «Известиям» о типичных нарушениях, выявляемых в ходе проверок компаний: «несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации, обработка избыточных персональных данных по отношению к заявленным целям их обработки, нарушение права потребителя на свободный доступ к товарам (работам, услугам) путем его ограничения на свободное распоряжение своими персональными данными».

Положения действующего закона «О защите прав потребителей» в нынешней редакции не позволяют в подобных случаях бороться с нарушениями.

Законное «воровство»

Чаще всего персональные данные воруют инсайдеры — люди, имеющие непосредственное отношение к системам, в которых происходит обработка персональных данных и данных в связи с действиями людей, уточняет эксперт по информационной безопасности компании «Акронис Инфозащита» Евгений Родыгин. Иногда информация о внешних «взломах» от потерпевших компаний может оказаться попыткой скрыть такие внутренние инциденты. Часто за утечки выдается вполне осознанная передача данных между заинтересованными лицами в целях развития их бизнеса, подчеркивает эксперт.

80% опрошенных компанией «СёрчИнформ» респондентов сочли «внутренние» (инсайдерские) инциденты более опасными. При этом по данным экспертов, программы для контроля действий сотрудников с информацией и персональными данными (DLP) стоят только в трети крупных организаций, в малом и среднем бизнесе их число еще меньше.

Фото: ИЗВЕСТИЯ/Виталий Безруких

Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд утверждает, что взлом баз данных — не самая частая причина утечек. Проблема скорее в том, что эти сведения сейчас собирает и хранит едва ли не каждая организация. Попросту говоря, злоумышленникам гораздо проще собирать информацию, которая и так «плохо лежит».

— Первый вариант — парсить данные (собирать на определенных сайтах, с помощью специальных программ), которые пользователи или организации сами выкладывают в интернет, не озаботившись настройками безопасности. Другой вариант для злоумышленников — найти плохо защищенные базы данных. Сплошь и рядом в компаниях забывают о настройках безопасности, в результате базы с персональными данными лежат, по сути, в открытом доступе.

Но новым вызовом в сфере защиты данных является проблема обеспечения сохранности биометрических образцов. А это отдельная категория персональных данных, предупреждают специалисты. Пока же новости про дипфейки появляются всё чаще, а скорость распространения подобных технологий зависит от того, насколько быстро нейросети учатся качественно синтезировать чужую речь и какой объем образца голоса им потребуется.

Дыры и их обитатели

Сейчас в России утечки происходят в четырех секторах обработки персональных данных, рассказывает руководитель проектов департамента ИТ-аутсорсинга компании «КОРУС Консалтинг» Владимир Бобров.

На первом месте — сотовые операторы и телеком-компании. У них большой штат, и доступ к данным имеет огромное количество сотрудников. Основная причина в этом случае — умышленный вывод данных. На втором — банковский сектор. В этой области утечки происходят на этапе сбора данных потенциальных клиентов через сторонние сайты, размещающие рекламу услуг. Также они происходят и через ИТ-специалистов, имеющих доступ к резервным копиям баз данных.

Фото: ИЗВЕСТИЯ/Александр Казаков

Третье место занимают государственные компании и ресурсы, где, как правило, утечки возможны из-за брешей в системе безопасности сайтов. И последнее — частный бизнес, где причиной утечки становятся ошибки и уязвимости на корпоративных сайтах и в CRM-системах.

Беда еще и в том, что объявления о продаже персональных данных встречаются в Сети всё чаще, подчеркивает руководитель информационной безопасности компании «МойОфис» Александр Буравцов. Злоумышленники активно пытаются получить доступ как к информационным системам государственного сектора, так и к коммерческим базам данных. Так, совсем недавно стало известно об утечке конфиденциальных данных сотен российских компаний из-за небрежного использования программного обеспечения для управления проектами — Trello.

Умолчание — золото

В каких ситуациях потребителю лучше отказываться от предоставления своих данных и почему? Прежде всего в тех случаях, когда покупка товаров или предоставление услуг не связаны с наличием у продавца персональных данных потребителя, объясняет член Ассоциации юристов России (АЮР) Николай Пивоваров. Например, не нужно предоставлять свои персональные данные при публичной оферте, которая адресована неопределенному кругу лиц.

Фото: ИЗВЕСТИЯ/Татьяна Полевая

— Не нужно лишний раз предоставлять свои данные при покупке продовольствия в магазине, покупке билета в кино, заказе еды в местах общественного питания — кафе и ресторанах, приобретении одежды, бытовой техники и так далее. Выполнение условий такой сделки купли-продажи и предоставления услуг в форме публичной оферты не зависит от предоставления потребителем его персональных данных — в этом просто нет необходимости, — замечает Пивоваров.

Однако, оговаривается юрист, есть такие услуги и сделки, когда исполнителю необходимо знать ваши персональные данные, так как иначе обязательства не могут быть выполнены, а наличие персональных данных является обязательным условием договора/публичной оферты. Скажем, услуги по доставке продуктов, банковские услуги, услуги страхования и другие, где поставщику услуг/продавцу необходимы паспортные данные, адрес потребителя, его телефонный номер, ИНН, СНИЛС или фотография.

— Вместе с тем не стоит предоставлять свои персональные данные организациям и другим лицам, которые не вызывают у вас доверия, особенно по средствам телефонной связи, — предупреждает специалист.

По мнению президента НП «РУССОФТ» Валентина Макарова, свобода распоряжения личностью своими персональными данными должна быть отражена в Конституции и строго охраняться законом.

Фото: Depositphotos

Катехизис потребителя

Обязательно уточняйте, действительно ли это обязательно, задавайте вопросы: как и кем данные будут использованы, где они будут храниться, как можно запросить их удаление и т.д. Если не уверены, что вам это нужно — откажитесь от передачи. Передача избыточных данных — обычное дело при регистрации на сайтах и в социальных сетях. Избегайте ввода таких данных, помните, что в большинстве случаев вы не обязаны предоставлять полную информацию о себе.

Так же важно разделять информацию, которую вы можете сменить быстро (адрес электронной почты, номер телефона и т.п.), и ту, что изменить сложно или невозможно (имя, адрес, возраст, пол, номер паспорта), резюмируют специалисты.

Арт. 9 GDPR — Обработка особых категорий персональных данных

Ст. 9 GDPR — Обработка особых категорий персональных данных — Общий регламент по защите данных (GDPR) перейти к содержанию
  1. Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических данных, биометрических данных с целью однозначной идентификации физического лица, данных, касающихся здоровья или данных, касающихся сексуальная жизнь или сексуальная ориентация физического лица запрещены.
  2. Параграф 1 не применяется, если применяется одно из следующих условий:
    1. субъект данных дал явное согласие на обработку этих личных данных для одной или нескольких указанных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что запрет, упомянутый в параграфе 1, не может быть отменен субъектом данных;
    2. Обработка
    3. необходима для выполнения обязательств и реализации определенных прав контролера или субъекта данных в области занятости, социального обеспечения и законодательства о социальной защите в той мере, в какой это разрешено законодательством Союза или государства-члена, или коллективный договор в соответствии с законодательством государства-члена, предусматривающий соответствующие гарантии основных прав и интересов субъекта данных;
    4. Обработка
    5. необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, если субъект данных физически или юридически не может дать согласие;
    6. Обработка
    7. осуществляется в ходе законной деятельности с соответствующими гарантиями фондом, ассоциацией или любым другим некоммерческим органом с политической, философской, религиозной или профсоюзной целью и при условии, что обработка касается исключительно членам или бывшим членам органа или лицам, которые регулярно контактируют с ним в связи с его целями, и чтобы личные данные не разглашались за пределами этого органа без согласия субъектов данных;
    8. Обработка
    9. относится к личным данным, которые явно публикуются субъектом данных;
    10. обработка необходима для установления, исполнения или защиты судебных исков или всякий раз, когда суды действуют в своем судебном качестве;
    11. Обработка
    12. необходима по причинам существенного общественного интереса на основании законодательства Союза или государства-члена, которое должно быть соразмерным преследуемой цели, уважать сущность права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав. и интересы субъекта данных;
    13. Обработка
    14. необходима для целей профилактической медицины или медицины труда, для оценки работоспособности сотрудника, медицинского диагноза, оказания медицинской или социальной помощи или лечения или управления системами и услугами здравоохранения или социальной помощи на основании законодательства Союза или государства-члена или в соответствии с контрактом со специалистом в области здравоохранения и в соответствии с условиями и гарантиями, указанными в параграфе 3;
    15. Обработка
    16. необходима по причинам общественного интереса в области общественного здравоохранения, таким как защита от серьезных трансграничных угроз здоровью или обеспечение высоких стандартов качества и безопасности медицинской помощи и лекарственных продуктов или медицинских устройств на основе Закон Союза или государства-члена, который предусматривает подходящие и конкретные меры для защиты прав и свобод субъекта данных, в частности профессиональной тайны;
    17. Обработка
    18. необходима для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях в соответствии со Статьей 89 (1) на основании законодательства Союза или государства-члена, которое должно быть соразмерным преследуемой цели, уважать сущность права для защиты данных и предусмотреть подходящие и конкретные меры для защиты основных прав и интересов субъекта данных.
  3. Персональные данные, упомянутые в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда эти данные обрабатываются профессионалом или под его ответственность в соответствии с обязательством сохранения профессиональной тайны в соответствии с законодательством Союза или государства-члена. или правила, установленные национальными компетентными органами или другим лицом, также подлежащим обязательству сохранения секретности в соответствии с законодательством Союза или государства-члена или правилами, установленными национальными компетентными органами.
  4. Государства-члены могут поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья.

Общий регламент по защите данных (GDPR)

Обработка персональных данных обычно запрещена, если это прямо не разрешено законом или если субъект данных не дал согласия на обработку. Согласие является одной из наиболее известных правовых основ для обработки персональных данных, но это лишь одна из шести оснований, упомянутых в Общем регламенте защиты данных (GDPR). К другим относятся: договор, юридические обязательства, жизненно важные интересы субъекта данных, общественный интерес и законный интерес, как указано в статье 6 (1) GDPR.

Основные требования для эффективности действующего законного согласия определены в статье 7 и подробно описаны в пункте 32 GDPR. Согласие должно быть добровольным, конкретным, информированным и недвусмысленным. Чтобы получить свободно данное согласие, оно должно быть дано на добровольной основе. Элемент «бесплатно» подразумевает реальный выбор субъектом данных. Любой элемент ненадлежащего давления или влияния, который может повлиять на результат такого выбора, делает согласие недействительным. При этом юридический текст учитывает определенный дисбаланс между контроллером и субъектом данных.Например, в отношениях между работодателем и работником: работник может беспокоиться о том, что его отказ дать согласие может иметь серьезные негативные последствия для его трудовых отношений, поэтому согласие может быть законным основанием для обработки только в некоторых исключительных обстоятельствах. Кроме того, применяется так называемый «запрет сцепления» или «запрет сцепления или связывания». Таким образом, выполнение контракта не может зависеть от согласия на обработку дополнительных персональных данных, которые не нужны для выполнения этого контракта.

Для того, чтобы согласие было информированным и конкретным, субъект данных должен, по крайней мере, быть уведомлен о личности контролера, о том, какие данные будут обрабатываться, как они будут использоваться, и о цели операций обработки в качестве защиты от «расползания функций» . Субъект данных также должен быть проинформирован о своем праве отозвать согласие в любое время. Отзыв должен быть таким же простым, как и согласие. В соответствующих случаях контролер также должен информировать об использовании данных для автоматизированного принятия решений, возможных рисках передачи данных из-за отсутствия решения об адекватности или других соответствующих мер безопасности.

Согласие должно быть связано с одной или несколькими конкретными целями, которые затем должны быть подробно объяснены. Если согласие должно узаконить обработку особых категорий персональных данных, информация о субъекте данных должна прямо относиться к этому.
Всегда должно быть четкое различие между информацией, необходимой для получения информированного согласия, и информацией о других договорных вопросах.

И последнее, но не менее важное: согласие должно быть недвусмысленным, что означает, что оно требует либо заявления, либо четкого утвердительного действия.Согласие не может быть подразумеваемым и всегда должно быть дано посредством согласия, заявления или активного ходатайства, чтобы не возникло недопонимания, что субъект данных дал согласие на конкретную обработку. При этом не требуется формы согласия, даже если письменное согласие рекомендуется из-за подотчетности контролера. Поэтому его также можно подавать в электронном виде. В этом отношении согласие детей и подростков на услуги информационного общества является особым случаем.Для лиц моложе 16 лет требуется дополнительное согласие или разрешение от лица, несущего родительскую ответственность. Возрастное ограничение регулируется положением о гибкости. Государства-члены могут установить более низкий возраст в соответствии с национальным законодательством при условии, что этот возраст не ниже 13 лет. Когда предложение услуг явно не адресовано детям, оно освобождается от этого правила. Однако это не относится к предложениям, адресованным как детям, так и взрослым.

Как видите, согласие — не панацея, когда дело касается обработки персональных данных.Особенно с учетом того, что европейские органы по защите данных четко дали понять, «что если контролер решит полагаться на согласие для какой-либо части обработки, он должен быть готов уважать этот выбор и остановить эту часть обработки, если физическое лицо отзовет согласие. ” Строго говоря, это означает, что контроллеру не разрешается переходить от согласия на законной основе к законному интересу после того, как субъект данных отзовет свое согласие. Это применимо, даже если изначально существовал законный законный интерес.Поэтому согласие всегда следует выбирать в качестве последнего варианта обработки персональных данных.

Внешние ссылки

Органы власти

  • Управление по защите данных, Великобритания ► Руководство по согласию GDPR (ссылка)
  • Управление по защите данных, Великобритания ► Согласие (ссылка)
  • Управление по защите данных Остров Мэн ► Согласие (Ссылка)
  • Рабочая группа по защите данных, статья 29 ► Рабочий документ WP 259 — Руководство по согласию (ссылка)
  • Европейская комиссия ► Основания для обработки (ссылка)
  • Европейская комиссия ► Когда действительно согласие? (Ссылка)
  • Публикации ЕС ► Справочник по европейскому законодательству о защите данных — Согласие, стр. 111 (Ссылка)

Экспертный вклад

  • Лукас Золейник ► Как: GDPR, согласие и обработка данных (ссылка)
  • IAPP ► Руководство по UX для получения согласия (ссылка)
  • Тилбургский университет ► Согласие время от времени (Ссылка)
  • CIPL ► Внедрение GDPR в отношении данных и согласия детей (ссылка)
  • CIPL ► Рекомендации по обеспечению прозрачности, согласия и законного интереса в соответствии с GDPR (ссылка)
  • Oxford University Press ► Комментарий к Общему регламенту ЕС по защите данных (GDPR) — Законность обработки, стр. 32 (Ссылка)

Когда разрешена обработка персональных данных?

Правовые основы обработки персональных данных

Для обработки персональных данных всегда требуется правовая основа, которая должна быть определена до начала обработки.После того, как обработка персональных данных была привязана к основанию для обработки, основание не может быть изменено. Основа обработки существенно влияет на права субъектов данных по отношению к контроллеру.

Дополнительная информация: Какие права имеют субъекты данных в различных ситуациях

Общий регламент по защите данных (GDPR) содержит шесть оснований, разрешающих обработку персональных данных:

Особые категории персональных данных, такие как данные об этническом происхождении или состоянии здоровья, принципиально запрещены.Однако такая обработка может быть разрешена, если исключение из запрета на обработку предусмотрено GDPR или национальным законодательством.

Дополнительная информация: Обработка особых категорий персональных данных

Согласие субъекта данных

Субъект данных может дать свое согласие на обработку личных данных субъекта данных. Такое согласие должно быть свободно предоставленным, конкретным, информированным и недвусмысленным указанием согласия субъекта данных на обработку относящихся к нему персональных данных.Субъект данных может дать письменное или устное заявление о своем согласии или выразить его каким-либо другим четким позитивным действием, например, отметив поле на веб-сайте. Отозвать согласие должно быть так же легко, как и дать его.

Контроллер должен иметь возможность продемонстрировать, что субъект данных дал законное согласие на операцию обработки.

Дополнительная информация: Согласие субъекта данных

Контракт

Если субъект данных является стороной контракта, его или ее личные данные могут быть обработаны для выполнения контракта.Если, например, субъект данных заказывает товары через Интернет, компании разрешается обрабатывать его или ее адресные данные для доставки товаров.

Важно определить точное содержание и основную цель контракта, поскольку они используются для оценки необходимости обработки. Обработка ограничивается необходимыми персональными данными.

Эта основа для обработки также охватывает операции обработки, выполненные до заключения контракта по запросу субъекта данных.Например, кредитор может обработать данные, необходимые для оценки кредитоспособности, до заключения кредитного соглашения.

Юридическое обязательство

От контролера может потребоваться обработка личных данных для выполнения юридического обязательства. Юридические обязательства могут в равной степени применяться к контролерам в частном и государственном секторах и могут включать, например, обязательство работодателя сообщать информацию о заработной плате своих сотрудников в налоговые органы или обязательство финансовых учреждений сообщать о подозрительных операциях в налоговые органы. власти.

Юридические обязательства могут быть основаны только на законодательстве Союза или государства-члена. Обязательства, основанные на законодательстве третьих стран, не подпадают под эту основу, если они не включены в правовой режим Европейского Союза или государства-члена, например, международным договором.

Защита жизненно важных интересов

Обработка персональных данных разрешена, когда это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица.Например, защита жизненно важных интересов является подходящей основой для обработки в ситуациях жизни и смерти или в случае угроз, которые могут нанести вред субъекту данных или другому лицу или иным образом нанести ущерб здоровью.

Обработка персональных данных может быть жизненно важной во время гуманитарных катастроф, таких как стихийные бедствия или эпидемии, когда это может быть необходимо для отслеживания распространения эпидемии.

Общественные интересы и авторитет

Обработка персональных данных разрешена, если этого требуют общественные интересы или осуществление государственных полномочий, возложенных на контролера.Эта основа для обработки может использоваться как в частном, так и в государственном секторах в ситуациях, которые связаны с общественными интересами или осуществлением государственных полномочий в Европейском Союзе или государстве-члене.

Задача, выполняемая в общественных интересах или в государственных органах, должна основываться на законе или других правовых положениях. Например, обработка в общественных интересах может включать обработку персональных данных для научных или исторических исследований или сбор статистики.

Законные интересы контролера

Обработка персональных данных разрешена, когда это необходимо для законных интересов, преследуемых контролером или третьей стороной. Легитимность интереса может быть определена с помощью так называемого теста баланса. В тесте интересы контролера или третьей стороны сопоставляются с интересами и основными правами субъекта данных.

Законный интерес может существовать, например, при наличии соответствующих отношений между субъектом данных и контролером.На практике это означает, что субъект данных является заказчиком или подчиненным контролера.

Дополнительная информация: Законные интересы контролера

Могу ли я попросить компанию / организацию прекратить обработку моих персональных данных?

Ответ

У вас есть право возразить против обработки ваших персональных данных и попросить компанию / организацию прекратить обработку ваших персональных данных, если они обрабатываются с целью:

  • прямой маркетинг ;
  • научные / исторические исследования и статистика;
  • свои собственные законные интересы или в выполнении задачи в общественных интересах / для официального органа.

Если вы возражаете против прямого маркетинга, компания должна прекратить использование ваших личных данных и выполнить ваш запрос, не требуя вознаграждения.

Однако компания / организация может продолжить обработку ваших личных данных, несмотря на ваши возражения, если:

  • в случае обработки для целей научных / исторических исследований и статистики, обработка необходима для выполнения задачи, выполняемой по причинам общественного интереса;
  • в случае обработки, основанной на законных интересах или выполнении задачи в общественных интересах / осуществлении официальных полномочий, они могут доказать, что у них есть веские законные основания, которые имеют приоритет над вашими интересами, правами и свободами.Следовательно, требуется упражнение на балансировку.

Компания должна проинформировать вас о вашем праве на возражение при первом контакте с вами.

Пример

Вы купили два билета на концерт любимой группы через билетную компанию. После этого вас засыпают рекламой концертов и мероприятий, которые вам неинтересны. Вы сообщаете компании, предоставляющей услуги по продаже билетов, о том, что не хотите получать дополнительные рекламные материалы.Компания должна прекратить обработку ваших личных данных для прямого маркетинга, и вскоре после этого вы больше не должны получать от них электронные письма. Они не должны брать с вас плату.

Список литературы

правовых оснований для правомерной обработки персональных данных

Общий регламент по защите данных (GDPR) упоминает несколько юридических оснований для законности обработки персональных данных субъектов данных. Законное основание для обработки персональных данных состоит как минимум из одного из этих юридических оснований и может варьироваться в зависимости от деятельности и цели обработки персональных данных.

Необходимость в законном основании для обработки персональных данных в соответствии с GDPR (с необходимыми исключениями) не нова. В своих декларациях и статьях GDPR говорит примерно то же, что и его предшественник, Директива о защите данных (Директива 95/46 / EC) по нескольким направлениям. Но есть и важные изменения.

Основные декларации и статьи о законной обработке и законных основаниях обработки как таковые, для начала, относятся к числу тех, в которых не так много изменилось.

В декларации

39 GDPR говорится о законности, справедливости, прозрачности и цели обработки персональных данных: любая обработка персональных данных должна быть законной и справедливой, она должна быть прозрачной для субъектов данных, которые обрабатывают персональные данные, касающиеся их, и принцип прозрачности требует, чтобы ЛЮБАЯ информация и сообщения, касающиеся обработки персональных данных, были легкодоступными и понятными. Наряду с необходимостью использовать ясный и простой язык, последний прямо упоминается в рамках целей обработки.Помните цель, она возвращается.

Изложение 40 GDPR гласит, что для того, чтобы обработка была законной, личные данные должны обрабатываться на основе согласия соответствующего субъекта данных или на каком-либо другом законном основании.

Эта законная основа должна быть заложена в законе, при этом закон должен быть самим Общим регламентом защиты данных или другими законами ЕС или его государств-членов.

В жизни и юридических основаниях для законной обработки больше, чем согласие

Хотя согласие (что не совсем то же самое, что явное согласие, даже если де-факто граница может быть очень тонкой) является наиболее известным из юридических оснований, поскольку они резюмированы в статье 6 GDPR текста GDPR на законность обработки, это не всегда лучший путь.

Для каждого действия по обработке персональных данных важно определить наилучшее правовое основание, что также рекомендуется в руководящих принципах Рабочей группы (Европейский совет по защите данных) по статье 29 о согласии с конца ноября 2017 года. Лучшая правовая основа для законности каждой операции обработки начинается до фактической обработки. И, очевидно, в рамках соблюдения GDPR это означает, что у вас уже есть список и обязательная запись ваших действий по обработке персональных данных.

В упомянутых руководящих принципах подчеркивается, что согласие является одной из шести законных оснований для обработки персональных данных, как указано в статье 6. Тем не менее, в то же время, когда контролер инициирует действия, связанные с обработкой персональных данных, следует рассмотреть вопрос о том, является ли согласие является наиболее подходящим правовым основанием для законной обработки или может быть лучше другое. Помните, что когда согласие выбирается для какой-либо конкретной обработки, вам также необходимо соблюдать все правила и права в отношении согласия.

Шесть основных правовых оснований законности обработки персональных данных

Конечно, не всегда можно выбрать другой, и нужно быть уверенным. Это начинается со знания и понимания всех шести юридических оснований для обработки персональных данных. Так что бегло взгляните на них в качестве напоминания.

Также помните, что законность обработки означает, что применимо, ПО МЕНЯ, одно из шести правовых оснований, другими словами: одного достаточно.

1. Согласие как правовое основание для законной обработки

В статьях GDPR согласие упоминается в первую очередь как правовое основание для законности обработки персональных данных как в статье 6, так и в статье 40.

В то время как общие правила, касающиеся законного основания для согласия, не сильно изменились, новые правила о согласии как законном основании имеют большое влияние на организации (как контроллеры данных, так и обработчики данных) .

Согласие означает, что субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей. Как уже упоминалось, понятие цели здесь является ключевым. Если субъект данных, то есть физическое лицо, дает согласие на обработку, не зная (нескольких) целей (целей) в полном объеме и в понятной форме, то согласие не является законным основанием для обработки, поскольку оно по определению не предоставляется свободно, конкретно , информированный и недвусмысленный. Более того, согласие не может быть объединено.Итак, для каждого действия по обработке данных в рамках одной более широкой операции общее правило заключается в том, что согласие недействительно, если оно предназначено для всех действий сразу. В качестве примера: давать согласие на ряд маркетинговых целей недействительно.

Статья 6 GDPR гласит, что согласие субъекта данных должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных имеет выбор в отношении каждой из них. Это ясно: конкретные цели. Наряду со всеми обязанностями по предоставлению информации, несколько прав субъектов данных после получения согласия используются в качестве законного основания для обработки и, что гораздо важнее, это не всегда идеальный выбор, мягко говоря.Однако GDPR и его несколько юридических оснований для законной обработки не похожи на меню. Правило таково и остается тем, что для целей всех операций по обработке персональных данных выбирается наиболее подходящее правовое основание для каждой цели / деятельности.

2. Договорная необходимость как законное основание для обработки

Вторым правовым основанием для законной обработки, упомянутым в статье 6 GDPR, является необходимость обработки персональных данных для контракта.

Физическое лицо или субъект данных является стороной в контракте или должно предпринять шаги для заключения контракта по его или ее запросу, и для заключения контракта или выполнения контракта необходимо и согласовано, что обработка персональных данных происходит в рамках этого договора. Это не новость по сравнению с Директивой, замененной GDPR.

GDPR Recital 40 упоминает «выполнение контракта, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения контракта» как законное основание для законной обработки и GDPR Recital 44 просто говорится, что обработка должна быть законной, если это необходимо в контексте контракта или намерения заключить контракт.

Каждый договор по определению означает обработку персональных данных. Вы не можете вступать в какие-либо договорные отношения без предоставления личных данных и идентификаторов, в зависимости от характера договора. По крайней мере, это касается контактной информации, в определенных типах договоров, таких как договор страхования, требуется гораздо больше. Лучше не растягивать определение контракта слишком далеко, например, чтобы избежать необходимости использовать согласие. В конце концов, все можно рассматривать как контракт, и будут случаи, когда контролеры будут использовать слишком широкий подход, чтобы они могли использовать контракт в качестве основы для законной обработки.

На этом же сайте мы могли бы, например, написать длинный текст условий и положений, в котором говорится, что посещение нас устанавливает договор, по которому мы имеем право обрабатывать то или это. Не пытайтесь: данные, необходимые для заключения или выполнения контракта, действительно должны быть предоставлены в рамках контракта и предлагаемых услуг.

Когда дело доходит до контрактов, обратите внимание на конкретные правила, применимые к конкретным отраслям или должностным обязанностям. Трудовой договор — это не просьба о жилищном кредите, не дополнительная медицинская страховка, ну, список можно продолжить.

3. Законная обработка на основании юридических обязательств

Третьим правовым основанием для законной обработки является соблюдение юридических обязательств.

Если у контролера есть юридическая обязанность, для которой необходимо обработать определенные персональные данные, то обработка разрешена. Это соблюдение юридического обязательства, для которого требуется обработка и которому подчиняется контролер, также не ново.

Однако и здесь действуют особые правила.Что изменилось по сравнению с предшественником Общего регламента защиты данных, так это то, что в Recital 45 говорится, что «когда обработка выполняется в соответствии с юридическим обязательством, которому подчиняется контролер, или когда обработка необходима для выполнения выполняемой задачи в общественных интересах или при исполнении официальных полномочий обработка должна быть основана на законодательстве Союза или государства-члена ». Ограничение законодательством ЕС или законов государств-членов ЕС влечет за собой последствия.

4. Жизненные интересы и законная обработка персональных данных

Защита «жизненно важных интересов» физического лица является четвертым основанием для законной обработки.

В этом случае физическое лицо не обязательно должно быть субъектом данных, им также может быть другое физическое лицо. Конечно, контролер не должен определять, в чем состоит жизненный интерес. Мы действительно говорим об опасных для жизни обстоятельствах здесь, когда нет другого законного основания для обработки, но когда отказ от обработки персональных данных по сути означает, что кто-то умрет, если вы не примете меры, и поэтому вам нужно знать несколько вещей о естественных условиях. человек, который находится в опасности.

Если произошел серьезный несчастный случай, вы действительно хотите узнать кое-что из истории болезни жертвы, например, аллергию на определенные лекарства, GDPR или нет.

Кроме того, некоторые типы обработки персональных данных в таких случаях могут не только служить жизненно важным интересам субъекта данных или другой естественной цели, но также служить общественным интересам , например, в случае стихийных бедствий, эпидемий и т. Д., Как гласит GDPR Recital 46. . И это подводит нас к следующему правовому основанию для законной обработки: причинам общественного интереса как такового.

5. Общественный интерес как основание для законной обработки

Общественный интерес как основа для законной обработки описан в статье 6 GDPR следующим образом: «обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера».

Это почти то же самое, что и в Директиве о защите данных, и на нелегальном языке просто означает, что этот общественный интерес остается основанием для обработки с общественным интересом, означающим, среди прочего, выполнение нескольких возможных общественных задач (e.g обязательства в отношении НДС и налогов) , задачи, которые вы выполняете как государственный орган и которые требуют обработки персональных данных в соответствии с юридическими обязательствами, и другие операции по обработке данных, которые рассматриваются как представляющие общественный интерес, такие как научные исследования, общественное здравоохранение и более.

Из GDPR Recital 45: «Законодательство Союза или государства-члена также должно определять, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах или при осуществлении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, управляемым публичным правом или, если это отвечает общественным интересам, в том числе в целях здравоохранения, таких как общественное здравоохранение и социальная защита и управление медицинскими услугами, частным правом, например, профессиональной ассоциацией ».

6. Законные интересы как правовая основа обработки

Последний из шести оснований, служащих законным основанием для обработки персональных данных в первом абзаце статьи 6 GDPR, является часто упоминаемой категорией «законных интересов».

Законные интересы уже существовали в качестве законной основы для обработки персональных данных в Директиве, но GDPR добавляет к ней в виде положений, когда это НЕ применяется. В статье 6 говорится, что обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной.Первое исключение, которое существовало раньше, — это когда законные интересы перекрываются интересами или основными правами и свободами субъекта данных (конечно, включая основные права субъекта данных в соответствии с GDPR) . Что касается последнего, GDPR, в отличие от Директивы, явно фокусируется на случае, когда субъектом данных является ребенок и всегда требуется разрешение родителей. Кроме того, в GDPR прямо говорится, что правовое основание законного интереса не распространяется на обработку персональных данных государственными органами при выполнении ими своих задач.

Счета 47 и 48 Общего регламента по защите данных (GDPR) 47 и 48 дают несколько примеров законных интересов (хотя их основная цель состоит в том, чтобы подчеркнуть, какие права, свободы и т. Д. Преобладают над законными интересами) .

  • Одним из таких примеров законного интереса может быть ситуация, когда «существуют соответствующие и подходящие отношения между субъектом данных и контролером в таких ситуациях, как если субъект данных является клиентом или находится на службе у контролера».
  • Другой пример: обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес.
  • GDPR Recital 47 также заявляет, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.
  • В других Ситуациях упоминаются другие законные интересы, от сетевой и информационной безопасности до внутренней работы в группе предприятий.

Главное, что нужно помнить о законных интересах, — это то, что эти интересы должны быть сбалансированы и сопоставлены с правами и рисками субъектов данных.Они должны быть соразмерными, четко объясненными, более чем экономическими по своему характеру и, конечно, требовать обработки. С дополнительными положениями, касающимися детей, и множеством элементов, которые необходимо учитывать, когда контролер взвешивает законные интересы и их множество, это не самое простое из фундаментальных правовых оснований для законной обработки.

Дополнительные факты о законном оформлении

Очевидно, что, как упоминалось ранее, существует гораздо больше возможностей для обработки особых типов и категорий персональных данных.

Существуют также специальные правила в отношении данных, касающихся обвинительных приговоров и правонарушений, и государства-члены могут более точно определять требования к обработке, а также могут определять другие меры для удаленной и законной обработки, среди прочего, в рамках положений, касающихся конкретных ситуаций обработки, которые являются рассматривается в главе IX текста GDPR.

Убедитесь, что вы тщательно перечислили свою деятельность по обработке данных и нашли наиболее подходящую законную основу для обработки персональных данных, которая на практике требует большего, чем этот обзор, конечно, для особых категорий персональных данных и организаций (контроллеры и процессоры) в очень конкретных отрасли, такие как здравоохранение, и даже группы, такие как религиозные организации, к которым применяются дополнительные или особые правила.

Верхнее изображение: Shutterstock — Авторские права: Billion Photos — Векторы в графике: Shutterstock — Авторские права: Марина Шевченко –Все остальные изображения являются собственностью их соответствующих владельцев. Хотя содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Когда можно обрабатывать личные данные?

Какое правовое основание вам следует использовать, зависит от двух вещей:

  1. Тип обрабатываемых вами персональных данных.Правила защиты данных различают личные данные и конфиденциальные личные данные. Закон о защите данных также предусматривает особые правила, среди прочего, для обработки номеров социального страхования. Вы можете узнать больше об этой категоризации в разделе «Что такое личные данные?».
  2. Ситуация, при которой обработка персональных данных необходима. Это исполнение контракта? Юридическое обязательство? Это вопрос выполнения задач государственного органа? Часто контекст обработки персональных данных определяет, какая правовая основа имеет отношение к контроллеру.

Правовые основы

Персональные данные могут быть обработаны без согласия, если это необходимо для целей:

  1. Договор с субъектом данных
  2. Юридические обязательства контролера
  3. Жизненно важные интересы субъекта данных или другого физического лица
  4. Задача в общественных интересах или осуществление государственной власти
  5. Законный интерес, не превышающий интересы или права субъекта данных;

Пункт 5 не применяется к обработке персональных данных государственными органами и чаще всего не должен использоваться для обработки персональных данных, касающихся детей.

Обработка конфиденциальных персональных данных

Термин «конфиденциальные персональные данные» охватывает, в частности, расу, политические убеждения, религиозные убеждения, информацию о здоровье и сексуальную ориентацию.

Как правило, обработка конфиденциальных персональных данных запрещена, но из этого запрета есть ряд исключений.

Во-первых, конфиденциальные личные данные могут обрабатываться без согласия, если субъект данных опубликовал данные заранее.

Кроме того, вы можете обрабатывать конфиденциальные личные данные, если это необходимо для целей:

  1. Обязанности и права контролера или субъекта данных
  2. Жизненные интересы субъекта данных или другого физического лица, если невозможно дать согласие;
  3. Отношение политической, философской, религиозной или профсоюзной некоммерческой организации к информации о членах
  4. Решение или рассмотрение судебного иска
  5. Основные социальные интересы
  6. Обработка медицинских профессий в секторе здравоохранения
  7. Обработка для архивов, научных или исторических исследований или для статистических целей

Помимо наличия правовой основы (см. Выше) для обработки конфиденциальной информации, вы также должны иметь возможность определить одно из исключений из запрета на обработку конфиденциальных данных.

Согласие

Как правило, обработка персональных данных всегда может происходить, если субъект данных дал согласие.

Однако, чтобы согласие было действительным, оно должно быть добровольным, конкретным, информированным и явным. Это означает, среди прочего, что согласие не может быть дано молча и что отказ от согласия не может иметь связанных (ненужных) негативных последствий.

Кроме того, согласие всегда можно отозвать. Таким образом, согласие не всегда является наиболее подходящим правовым основанием.Кроме того, если вы инициировали обработку на основании согласия, вы обычно связаны целью, для которой субъект данных был проинформирован при получении согласия.

Термин «согласие» широко используется вне закона о защите данных, и его значение и требования к его действительности могут различаться. Если вы основываете обработку персональных данных на согласии, важно, чтобы вы соответствовали требованиям для получения согласия на защиту данных. Например, согласия, не связанные с защитой данных, используются в сфере здравоохранения или социального управления.Однако это часто относится к операциям обработки, когда согласие не является правовой основой для обработки, но когда, например, законодательство дает субъекту данных возможность воздержаться от обработки.

Обработка данных об уголовных преступлениях и номер социального страхования (номер CPR)

Информация об уголовных преступлениях не может обрабатываться государственной администрацией, за исключением случаев, когда это необходимо для выполнения задач органа.Кроме того, информация не может быть разглашена за исключением случаев:

  1. Субъект данных дал свое явное согласие на раскрытие,
  2. Раскрытие информации должно быть сделано для защиты частных или общественных интересов, которые явно превышают интересы, оправдывающие секретность, включая интересы субъекта данных,
  3. Раскрытие информации необходимо для осуществления деятельности органа или требуется для принятия им решения; или
  4. Раскрытие информации необходимо для публичного выполнения частных или корпоративных задач.

Частные органы могут обрабатывать данные об уголовных преступлениях, если субъект данных дал свое явное согласие. Кроме того, обработка может происходить там, где это необходимо для защиты законного интереса, и этот интерес явно превышает рассмотрение субъекта данных. Частные организации не могут раскрывать информацию без явного согласия субъекта данных. Однако раскрытие информации может производиться без согласия, если оно предназначено для защиты общественных или частных интересов, в том числе интересов заинтересованного лица, которые явно выходят за рамки интересов конфиденциальности.

Государственные органы могут обрабатывать информацию о личном идентификационном номере для целей уникальной идентификации или в качестве номера записи.

Частные лица могут обрабатывать персональные данные только когда:

  1. Следует из законодательства,
  2. Субъект данных дал свое согласие в соответствии со статьей 7 Положения о защите данных;
  3. Обработка осуществляется исключительно в научных или статистических целях или в случае раскрытия информации, относящейся к идентификации личности, когда передача является естественной частью нормальной работы предприятий и т. Д.такого рода, и когда раскрытие важно для обеспечения однозначной идентификации субъекта данных или раскрытие требуется государственным органом; или
  4. Условия, изложенные в § 7, выполнены.

Персональные идентификационные номера не могут быть опубликованы без согласия в соответствии со статьей 7 Общего регламента по защите данных.

Основные требования к обработке

Важно знать, что понятие «обработка» охватывает ряд различных способов обработки личных данных.Если у вас есть право выполнять одну конкретную форму обработки данных — например, сбор — это автоматически не означает, что вы также имеете право выполнять другие формы обработки — например, раскрытие — тех же данных.

Как правило, нет никаких сомнений в том, что когда государственный орган или частная компания должны собирать определенную информацию, они также должны систематизировать, регистрировать, использовать и удалять ее. Однако не очевидно, что информация также может быть раскрыта другим лицам.Эти вопросы необходимо оценивать отдельно.

Кроме того, для обработки персональных данных предварительным условием является выполнение общих и основополагающих принципов. Эти принципы не обеспечивают правовой основы для обработки персональных данных, но всегда должны соблюдаться в случае обработки в соответствии с правилами защиты данных.

Особые формы обработки

Ряд операций по обработке данных регулируется Законом о защите данных.

Это:

  • Правовые информационные системы (§ 9)
  • Обработка для статистических или научных исследований (§ 10)
  • Трудовые отношения (статья 12)
  • Маркетинг (§ 13)
  • Архив (§ 14)
  • Агентства кредитной информации (§§ 15-21)

Глава 7: Правовая основа для обработки — Разблокирование Общего регламента ЕС по защите данных

Выпуск Директива GDPR Удар

правовая основа

Согласно закону ЕС о защите данных, должна существовать правовая основа для любой обработки персональных данных (если не применяется исключение или отступление).

Rec.30; Статья 7 (1)

Персональные данные могут быть обработаны только при наличии хотя бы одного правового основания.

Рек.39, 40, 41; Статья 6 (1)

Персональные данные могут обрабатываться только в том случае и в той степени, в которой применяется хотя бы одно правовое основание.

Обязанность организаций иметь правовую основу в отношении каждого процесса обработки практически не изменилась.

Согласие

Персональные данные могут обрабатываться на том основании, что субъект данных дал согласие на такую ​​обработку.

Рек.30, 33; Статья 7 (1) (а)

Обработка была разрешена, если субъект данных дал согласие на обработку.

Рек.32, 42, 43; Статья 6 (1) (а)

Обработка разрешена, если субъект данных дал согласие на обработку.

«Согласие» остается правовой основой для обработки персональных данных. Однако согласно GDPR получить действительное согласие значительно сложнее (см. Главу 8).

Необходимость по договору

Персональные данные могут обрабатываться на том основании, что такая обработка необходима для заключения или выполнения договора с субъектом данных.

Rec.30; Статья 7 (1) (b)

Обработка была разрешена, если это было необходимо для заключения или выполнения контракта с субъектом данных или для принятия мер по его или ее запросу до заключения контракта.

Рек.44; Статья 6 (1) (b)

Обработка разрешена, если это необходимо для заключения или выполнения контракта с субъектом данных или для принятия мер по его или ее запросу до заключения контракта.

«Договорная необходимость» остается правовой основой для обработки персональных данных.

Соблюдение юридических обязательств

Персональные данные могут обрабатываться на том основании, что у контролера есть юридическое обязательство выполнить такую ​​обработку.

Rec.30; Статья 7 (1) (c)

Обработка разрешена, если это необходимо для выполнения юридического обязательства.

Рек.45; Статья 6 (1) (c), 6 (3)

Обработка разрешена, если это необходимо для соблюдения юридического обязательства в соответствии с законодательством ЕС или законодательством государства-члена .

«Соблюдение юридических обязательств» остается правовой основой для обработки персональных данных.

Тот факт, что эта правовая основа явно ограничена правовыми обязательствами, возникающими в ЕС, может поставить организации, на которые распространяются судебные постановления за пределами ЕС о раскрытии данных, в затруднительное положение.

Жизненные интересы

Персональные данные могут обрабатываться на том основании, что это необходимо для защиты «жизненно важных интересов» субъекта данных (это в основном применяется в сценариях «жизни или смерти»).

Рек.31; Статья 7 (1) (d)

Обработка была разрешена, если это было необходимо для защиты жизненно важных интересов субъекта данных.

Рек.46; Статья 6 (1) (d)

Обработка разрешена, если это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица .

Согласно GDPR, условие обработки «жизненно важных интересов» может распространяться на других лиц (например, детей субъекта данных).Это полезное уточнение.

Государственный интерес

Персональные данные могут обрабатываться на том основании, что такая обработка необходима для выполнения задач, выполняемых государственным органом или частной организацией, действующей в общественных интересах.

Рек.32; Статья 7 (1) (e)

Обработка была разрешена, если это было необходимо для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, возложенных на контролера.

Рек.45; Статья 6 (1) (e)

Обработка разрешена, если это необходимо для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, возложенных на контролера.

«Общественный интерес» остается правовой основой для обработки персональных данных. Также обратите внимание, что обработка, выполняемая на этой основе, может вызывать возражения со стороны субъектов данных (см. Главу 9).

Законные интересы

Персональные данные могут обрабатываться на основании того, что контролер имеет законный интерес в обработке этих данных, при условии, что такой законный интерес не отменяется правами или свободами затронутых субъектов данных.

Rec.30; Статья 7 (1) (f)

Обработка была разрешена, если это было необходимо для целей законных интересов, преследуемых контролером (или третьей стороной, которой раскрываются данные), за исключением случаев, когда интересы контролера были перекрыты интересами, правами или свободами затронутых субъектов данных .

Рек.47, 48; Статья 6 (1) (f)

Обработка разрешена, если это необходимо для целей законных интересов, преследуемых контролером (или третьей стороной), за исключением случаев, когда интересы контролера перекрываются интересами, основными правами или свободами затронутых субъектов данных, которые требуют защиты, , в частности, если субъект данных — ребенок .

Это не относится к обработке, выполняемой государственными органами при исполнении своих обязанностей .

«Законные интересы» остаются правовой основой для обработки персональных данных. Также обратите внимание, что обработка, выполняемая на этой основе, может вызывать возражения со стороны субъектов данных (см. Главу 9).

Для обработки личных данных детей требуется разрешение родителей (и обратите внимание, что ребенок — это любой человек младше 16 лет). В некоторых случаях (особенно в Интернете) может быть сложно доказать, что разрешение родителей было получено.

Дополнительные полномочия для государств-членов

Государствам-членам разрешено вводить дополнительные правовые основы для ограниченных целей, связанных с национальным законодательством или выполнением задач в общественных интересах.

НЕТ

Директива явно не решала эту проблему.

Rec.40; Статья 6 (2)

Государства-члены могут ввести дополнительные правовые основы в отношении обработки, выполняемой в целях соблюдения юридических обязательств (см. Ст.6 (1) (c) выше) или выполнение задач в общественных интересах (см. Статью 6 (1) (e) выше).

Это положение в значительной степени предназначено для того, чтобы позволить государствам-членам сохранить определенные правовые основы, которые существуют в соответствии с национальными законами соответствующих государств-членов.

Пока не ясно, как государства-члены будут использовать это право.

Данные об уголовных преступлениях и гражданском правоприменении

Личные данные, относящиеся к уголовным преступлениям, подлежат дополнительным ограничениям (и обычно рассматриваются как аналог чувствительных личных данных) из-за потенциально значительного воздействия, которое обработка таких данных может оказать на субъекта данных.

Следует отметить, что национальные уголовные законы государств-членов выходят за рамки законодательной компетенции ЕС и не регулируются GDPR.

Арт.8 (5)

Персональные данные, касающиеся правонарушений, уголовных обвинений или мер безопасности, могут быть обработаны только:

  • официальным органом; или
  • с особыми гарантиями, предусмотренными законодательством государства-члена.

Любой полный реестр судимостей по уголовным делам может вестись только под контролем официальных властей.

государств-членов ЕС могут предоставить, что данные, относящиеся к административным санкциям или судебным решениям по гражданским делам, должны обрабатываться под контролем официального органа.

Статья 10, 23 (1) (j)

Персональные данные, относящиеся к уголовным обвинениям и правонарушениям или связанным с ними мерам безопасности, могут обрабатываться только:

  • под контролем официального органа; или
  • , если это разрешено законодательством ЕС или государства-члена.

Любой исчерпывающий реестр судимостей по уголовным делам может вестись только под контролем официальных властей.

Государства-члены могут налагать ограничения на обработку персональных данных в целях обеспечения исполнения гражданских исков.

Ограничения, касающиеся обработки персональных данных, касающихся уголовных преступлений или обвинительных приговоров, а также вопросов гражданского правопорядка, существенно не изменились.

Обработка конфиденциальных персональных данных

Обработка конфиденциальных персональных данных разрешена только при определенных условиях:

Рек.34; Арт.8

Обработка конфиденциальных персональных данных запрещена, кроме случаев:

Рек.51-56; Арт.9

Обработка конфиденциальных персональных данных запрещена, кроме случаев:

Изменения, внесенные GDPR, являются положительными для большинства организаций, поскольку они предоставляют дополнительные основания для законной обработки конфиденциальных персональных данных.

  • Арт.8 (2) (a) Субъект данных дал явное согласие.
  • Статья 9 (2) (a) Субъект данных дал явное согласие.
  • Статья 8 (2) (b) Обработка была необходима в контексте трудового законодательства.
  • Статья 9 (2) (b) Обработка необходима в контексте трудового законодательства или законов, касающихся социального обеспечения и социальной защиты .
  • Статья 8 (2) (c) Обработка была необходима для защиты жизненно важных интересов субъекта данных (или другого лица), когда субъект данных был неспособен дать согласие.
  • Статья 9 (2) (c) Обработка необходима для защиты жизненно важных интересов субъекта данных (или другого лица), если субъект данных не может дать согласие.
  • Благотворительные или некоммерческие организации
  • Арт.8 (2) (d) Обработка проводилась в ходе законной деятельности благотворительной или некоммерческой организации в отношении ее собственных членов или лиц, с которыми она регулярно контактирует в связи с ее целей.
  • Статья 9 (2) (d) Обработка осуществляется в ходе законной деятельности благотворительной или некоммерческой организации в отношении ее собственных членов, бывших членов или лиц, с которыми он поддерживает постоянный контакт в связи со своими целями.
  • Данные, явно обнародованные субъектом данных
  • Статья 8 (2) (e ) Обработка личных данных, которые были явно обнародованы субъектом данных.
  • Статья 9 (2) (e) Обработка относится к личным данным, которые были явно обнародованы субъектом данных.
  • Арт.8 (2) (e) Обработка была необходима для установления, исполнения или защиты судебных исков.
  • Статья 9 (2) (f) Обработка необходима для установления, исполнения или защиты судебных исков, или для судов, действующих в их судебном качестве .
  • Причины значительного общественного интереса
  • Арт.9 (2) (g) Обработка необходима по причинам существенного общественного интереса и происходит на основании закона, который, среди прочего, соразмерен преследуемой цели и защищает права субъектов данных.
  • Медицинская диагностика и лечение
  • Статья 8 (3) Обработка требовалась для лечения, проводимого медицинскими работниками.
  • Статья 9 (2) (h), (3) Обработка требуется для целей медицинского лечения, проводимого специалистами здравоохранения, включая оценку работоспособности сотрудников и управление системами здравоохранения или социальной помощи и услуги .
  • Статья 9 (2) (i) Обработка необходима по причинам общественного интереса в области общественного здравоохранения (e.ж., обеспечение безопасности лекарственных средств).
  • Исторические, статистические или научные цели
  • Статья 9 (2) (j) Обработка необходима для архивирования в общественных интересах, для исторических, научных, исследовательских или статистических целей , при соблюдении соответствующих мер безопасности.
  • Исключения в соответствии с национальным законодательством
  • При соблюдении соответствующих гарантий государства-члены могут по причинам общественного интереса устанавливать дополнительные исключения.
  • Статья 9 (4) Государства-члены могут поддерживать или вводить дополнительные условия, включая ограничения в отношении генетических данных, биометрических данных или данных о здоровье .

Переработка для новых целей

Несмотря на «принцип минимизации данных» (см. Главу 6), существуют некоторые обстоятельства, при которых личные данные могут обрабатываться для новых целей, выходящих за рамки первоначальной цели, для которой эти данные были собраны.

Статья 6 (1) (b), 13 (1)

Персональные данные могут обрабатываться для новых целей при условии, что эти новые цели « не несовместимы, » с первоначальной целью. Закон государства-члена может разрешить обработку для новых целей (помимо первоначальной), если это была необходимая мера для защиты особых общественных интересов (например, национальной безопасности, обороны, общественной безопасности и т. Д.).

Rec.50; Статья 6 (4)

Если персональные данные должны обрабатываться для новой цели, контролер должен рассмотреть, является ли новая цель «совместимой» с первоначальной целью, принимая во внимание следующие факторы :

  • любая связь между первоначальной целью и новой целью;
  • контекст, в котором были собраны данные, включая отношения контролера с субъектами данных;
  • характер персональных данных, в частности, затрагиваются ли конфиденциальные персональные данные;
  • возможные последствия новой цели обработки для субъектов данных; и
  • наличие соответствующих гарантий (e.g., шифрование или псевдонимизация).

Директива разрешила обработку персональных данных для новых целей при условии, что эти новые цели «не несовместимы» с первоначальной целью. Это была достаточно низкая планка. Однако GDPR усложняет организациям обработку персональных данных для новых целей, поскольку задача определения того, какие новые цели обработки являются «совместимыми», а какие нет, является обременительной.

Тот факт, что GDPR признает, что псевдонимизация снижает уровень риска, связанного с обработкой персональных данных, является положительным моментом для организаций, которые регулярно обрабатывают псевдонимизированные данные (например,г., компании, проводящие клинические испытания).

Обработка, не требующая идентификации

В некоторых случаях контролеры обязаны хранить определенные данные в целях соблюдения применимого законодательства.

НЕТ

Директива явно не решала эту проблему.

Рек.57; Статья 11 (1)

Если цели, для которых контролер обрабатывает персональные данные, не требуют идентификации субъекта данных, контроллеру не требуется хранить информацию, идентифицирующую субъект данных, в соответствии с GDPR .

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *