Недавний опыт общения с одним из банков показал, что даже люди, которые работают с персональными данными и несут за них ответственность, не до конца знают, что это такое. В этой статье я хочу рассказать, как можно с помощью закона защитить свои права в области персональных данных и разъяснить сам закон.
Что такое персональные данные
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
То есть ваше имя, фамилия и отчество, номера паспортов это персональные данные. Но есть нюанс, что к примеру в одной ситуации ip адрес может быть персональными данными, а в других случаях нет. Поэтому иногда возникают разногласия и разночтения закона.
Получение персональных данных
Для того чтобы организация начала работу с персональными данными, ей нужно стать оператором персональных данных и зарегистрироваться в роскомнадзоре, но это можно не делать в случае если персональные данные не обрабатываются автоматизированными системами, то есть только с помощью бумажных носителей.
Получить же персональные данные можно только для цели обработки персональных данных, а по достижении ее, эти персональные данные должны быть уничтожены. Также нельзя обрабатывать излишние персональные данные, к примеру если фитнес клуб для осуществления своих действий просит получить доступ к состоянию денег на счетах клиента, это будет расцениваться, как обработка персональных данных несовместимая с целями сбора персональных данных. Есть исключения, к примеру общедоступные источники данных (OSINT), к примеру, Глаз Бога это публичный источник и действует в рамках закона, и по требованию субъекта прекращает обработку его персональных данных.
Обработка персональных данных
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Проще говоря, любое взаимодействие с персональными данными это их обработка. Обработка может осуществляться в множестве случаев и без согласия субъекта
Для защиты здоровья. (Человеку стало плохо, он упал, у него из кармана работник скорой помощи достал паспорт для идентификации пострадавшего)
В суде
Для исполнения полномочий федеральных структур
В договорах на покупку/продажу когда субъект — выгодоприобретатель
В процессе работы журналиста или сми
В статистике и науке
Права субъекта персональных данных
Право на доступ к своим персональным данным (условия хранения, цели обработки и другое)
Право на уточнение (изменился паспорт, нужно внести новый)
Право на блокирование и уничтожение персональных данных (временный запрет на обработку, если данные устарели, неполные, неточные, незаконно полученные или не являются нужными для достижения целей обработки персональных данных)
Получается, что для уничтожения персональных данных, нужно доказать, что эти данные больше не нужны или, то что цели обработки персональных данных были достигнуты.
К примеру, чтобы действительно удалить себя из банка, нужно закрыть все счета и написать заявление об отзыве согласия на обработку данных. Нюанс с банками в том, что 115 ФЗ (О противодействии отмыванию) обязывает их хранить данные еще 5 лет после отзыва данных.
Как это применить на практике?
Это значит, что каждая реклама, полученная на email или на телефон, от организации, которая не имеет права работы с вашими персональными данными, рассматривается не только со стороны 38-ФЗ (О рекламе), но и со стороны 152-ФЗ (О персональных данных). Ведь, организация как то получила доступ к вашим данным и обрабатывает их. Значит, можно написать и в роскомнадзор и в ФАС, чтобы сообщить о данной ситуации. На хабре уже выходила статья о борьбе с рекламой
Также, это значит, что вы можете потребовать удалить данные или заблокировать обработку в общественных источниках, к примеру в, Глазе Бога можно удалить себя.
Вы можете запретить получение рекламы на основе 38-ФЗ (О рекламе)
Еще можно удалить свои данные из разных организаций и банков, для того чтобы уменьшить риск слива персональных данных.
Комментарии (20)
3ycb
14.10.2023 18:42+8Давайте начнем относится к своим персональным данным ответственно
И пожалуйста, давайте начнем относиться к русскому языку ответственно, а не только к персональным данным. Что делатЬ — относитЬся.
Evilence
14.10.2023 18:42+1Независимо от грамматики и орфографии автора статьи, вопрос защиты персональных данных действительно является весьма актуальным. Стоит отметить, что персональные данные любого гражданина РФ, включая информацию от мобильных операторов и банковские транзакции, можно приобрести в даркнете всего за 2000 рублей.
К сожалению, кажется, что государство не уделяет должного внимания этой проблеме, и поэтому компании часто сталкиваются лишь с минимальными штрафами за утечку данных. Необходимо внедрение законов, аналогичных GDPR, и строгое контрольное наблюдение за их соблюдением. К сожалению, на данный момент у нас в стране другие приоритеты.
dartraiden
14.10.2023 18:42+2Необходимо внедрение законов, аналогичных GDPR
С GDPR не всё так просто.
Во-первых, нужно иметь механизмы воздействия на нарушителей, которых у Евросоюза явно больше, чем у России. Если не-европеец поссорится с Евросоюзом, это одно, а если не-россиянин поссорится с Россией, то... ну и что? Запретят ему отдыхать на курортах Краснодарского края? Диктовать условия можно лишь тогда, когда в ответ на нарушение этих условий, можно ответить чем-то болезненным.
Во-вторых, благодаря GDPR, некоторые ресурсы, расположенные не в Европе, просто закрыли доступ европейцам. Вряд ли европейцы кайфанули от этого.
user18383 Автор
14.10.2023 18:42-4Gdpr имеет небольшие отличия от нашего ответа. При утечке сообщается субъекту об инциденте, а также идёт выплата за утечку. Также в gdpr есть понятие data processor, то есть защита данных делигируется на сторонюю компанию и можно менять их.
PereslavlFoto
14.10.2023 18:42В России это уже опробовано! Субъект ПД узнал о том, что персональные данные его отца (имя, отчество, фамилия и даты жизни) утекли с памятника на кладбище, поэтому обратился в суд и получил серьёзную защиту персональных данных.
user18383 Автор
14.10.2023 18:42Мне кажется при утечки персональных данных надо обращаться не в суд, а в ркн....
dmitrybelsky
14.10.2023 18:42data processor - это обработка ПД по-русски. Вполне себе есть в 152-ФЗ, как и понятие обработчика ПД.
Защита ПД производится что в GDPR, то 152-ФЗ на всех этапах, а не только на этапе обработки. Советую, например, еще 242-ФЗ изучить, где про локализацию сбора ПД еще написано
SemmZemm
14.10.2023 18:42+1А можно парочку примеров? Я, как человек защищённый GDPR, ни разу не видел прямо-таки заблокированного на этом основании ресурса
dartraiden
14.10.2023 18:42+1unroll.me при заходе с европейских адресов уточняет, точно ли посетитель является резидентом Евросоюза, а при положительном ответе отказывает в доступен.
Wesha
14.10.2023 18:42Стоит отметить, что персональные данные любого гражданина РФ, включая информацию от мобильных операторов и банковские транзакции, можно приобрести в даркнете всего за 2000 рублей.
Для того, чтобы Ваши/мои персональные данные нельзя было приобрести в даркнете, есть один очень простой вариант: никому их не давать. А если давать — то не свои.
Evilence
14.10.2023 18:42+1Всё верно, но это означает, что нужно перестать пользоваться услугами сотовых операторов, отказаться от банковских услуг, не заказывать ничего на дом и так далее. В общем, жить как отшельник в лесу в Сибири. В теории это, наверное, возможно, но не очень практично. Либо можно заниматься так называемым "фродом", оставляя фиктивные данные и показывая поддельный паспорт. Но это тоже сомнительный вариант. ????
Queix
14.10.2023 18:42+1На мой взгляд, защита персональных данных не работает в должной мере эффективно из-за отсутствии единого реестра согласий на обработку ПД. Это не позволяет владельцу ПД восстановить, где, когда и какие согласия он давал, и, соответственно, отозвать их.
user18383 Автор
14.10.2023 18:42-1В данном случае, это ответственность субъекта пд, так как именно он, должен сохранять бумаги. Конечно, было бы удобно ввести электронный документооборот и хранить документы в цифре, но пока большинство документов подписываются оффлайн
Wundarshular
14.10.2023 18:42+1Вы с одной стороны, может, и правы, и контроль за доступом к персональным данным субъекта - дело самого субъекта, но я всё же разделяю точку зрения Queix. Хотя бы потому что в каждом втором согласии на обработку ПД есть пункт, позволяющий делиться полученными данными совершенно хаотично. Например, при даче согласия банку на обработку ПД, вы также соглашаетесь на передачу ваших данных операторам связи (это один из пунктов), а вот тех уже с вами ничего не связывает, и они ваши ПД могут обрабатывать как хотят. В таких ситуациях я бы хотел знать, куда "ушли" мои ПД и, более того, иметь возможность остановить это всё без беготни по всем инстанциям, куда, вероятно, могли "утечь" мои ПД.
Ghostcar
14.10.2023 18:42+1Вообще, следуя букве закона и мнению ВС РФ, каждая цель сбора данных должна быть оформлена отдельным согласием.
И право передачи третьим лицам, так же, должно быть отдельно.
Ну и никто не запрещает, для согласий в бумажном виде, сразу прикладывать отзыв от согласия на все операции, кроме необходимых для конкретного договора.
dmitrybelsky
14.10.2023 18:42по биометрическим персональным данным где-то по весне запустится через госуслуги (должно было в этом году, но "кто-то" сроки пролюбил).
По обычным ПД практически нереально в текущей правовой и технологической парадигме, так как достаточно одной строчки в любом договоре про ПД (про третьи лица) и ваши данные уедут куда угодно. Трекать это анрил
Squoworode
14.10.2023 18:42Кстати, о персональных данных. Вот недавно наблюдал ситуацию:
1) Некий паблик на ВК публикует пост: "Юзернейм (ссылка на юзернейма) - редиска, берёт заказы и не исполняет, вот нотариально заверенные скриншоты".
2) Юзернейм пишет в поддержку: "Этот паблик незаконно публикует мои персональные данные (ссылку на профиль), я требую экстерминатуса".
3) Поддержка удаляет пост.
И вот вопрос:
не поели ли они рыбного супанасколько права поддержка ВК, трактуя ссылку на профиль как персональные данные, которые запрещено распространять без согласия юзернейма?PereslavlFoto
14.10.2023 18:42Надзор в России устроен так, что лучше не рисковать. Мне доводилось видеть интересный спор между начальниками, которые пытались понять, можно ли копировать персональные данные из газеты — дату рождения и дату смерти. Один считал, что это общедоступные сведения, опубликованные в СМИ. Другой считал, что нельзя предсказать мнение надзора, поэтому будет лучше избегать.
1A1A1
14.10.2023 18:42Отзыв персональных данных должен быть так же прост, как ссылка unsubscribe в рассылке.
ifap
А давайте Вы не будете выкладывать свои курсовые на Хабр? И подучите русский язык, хотя бы в части падежей, чтобы не было вот такого: