Как составить заявление об отзыве разрешения на обработку персональных данных и зачем это нужно

Как отозвать своё согласие и какие документы потребуются?

Документы, сопровождающие процедуру отзыва персональных данных и введения запрета их обработки, во многом схожи. Основные отличия лежат в области формулировок в заявлении, и в том, откуда вы отзываете свое прежнее согласие. Чаще всего такая потребность возникает в отношениях с банками и торговыми компаниями, поэтому возьмем примерный перечень документов для обращения именно к ним.

Чтобы отозвать согласие на обработку ПДн у банка и торговой компании, понадобятся:

• личное заявление в двух экземплярах;
• копия договора с компанией-оператором;
• копия паспорта.

https://youtube.com/watch?v=cbxHc8FZSFQ

Внимание! Направить заявление на отзыв согласия можно лично – тогда на втором экземпляре ставится штамп или роспись должностного лица о получении, по почте заказным письмом с описью и уведомлением, или в электронном виде с удостоверением цифровой подписью. В том числе к таким сведениям можно отнести:

В том числе к таким сведениям можно отнести:

• Ф. И. О.;
• адрес проживания;
• паспортные данные;
• сведения о месте рождения;
• прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

• суды при участии гражданина в судопроизводстве;
• приставы при исполнении судебного акта;
• государственные органы при исполнении своих полномочий;
• стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
• любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
• журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
• субъекты, участвующие в реализации международных договоров;
• органы статистики, если личные данные обезличиваются.

Заявление об отзыве согласия на обработку персональных данных

В _______________________________________

(название банка)

От _____________________________________,

Адрес___________________________________

_____________________________________

Между ____________ (Ф.И.О. заемщика) и ________(название банка) ____________(дата заключения) заключен кредитный договор №___________,

При заключении кредитного договора мною как субъектом персональных данных Вам как Оператору персональных данных было дано согласие на обработку моих персональных данных.

Согласно Федерального Закона РФ N 152-ФЗ «О персональных данных», под обработкой Оператором персональных данных понимается, в том числе, использование и уточнение данных.

Статьей 9 пунктом 2 указанного Федерального Закона мне дано право отозвать у Вас и связанных с Вами организаций ранее предоставленное мною право на обработку персональных данных. Настоящий отзыв права на использование персональных данных касается: 1) Моих личных мобильных и домашних номеров телефонов,

2) Всех контактных телефонов и данных третьих лиц указанных, мною в кредитной документации, 3)Адреса проживания моих родственников,

4)Адреса и наименования моего работодателя,

Обращаю внимание, что отзыв права на использование моих персональных данных в отдельной части не нарушает Ваши права или права третьих лиц, поскольку контакты банк со мною может осуществлять через почтовую связь и электронную почту. Кроме того, Банк и его представители не уполномочены законодательством России осуществлять какие-либо розыскные мероприятия, для чего требовались бы отзываемые данные

Вопросы досудебного урегулирования просроченной задолженности предлагаю осуществлять почтовой связью.

Если у Банка имеются ко мне претензии, то Вы их можете разрешить в судебном порядке. Таким образом, необходимость использования Банком указанных персональных данных в настоящий момент отпала

Обращаю внимание Банка, что при заключении кредитного договора мною не давалось разрешение на передачу моих персональных данных и их использование третьими лицами (коллекторами)

Отмечаю, что при заключении договора мои родственники и прочие контактные лица не давали Банку права на использование их персональных данных. В связи с чем любые звонки и обращения к этим лицам – неправомерны и повлекут их самостоятельное обращение в Роскомнадзор РФ.

Одновременно напоминаю и заявляю Банку и связанным с ним организациям, что я не давал права Вашим представителям посещать меня дома, посещать моих родственников или посещать моего работодателя, так же как не давал права распространять информацию, содержащую банковскую тайну и персональные данные третьим лицам. Запрещаю Банку и связанным с Вами организациям любым образом распространять и публиковать информацию о моей задолженности, не считая предоставления сведений в БКИ.

Руководствуясь нормами ФЗ РФ № 152-ФЗ «О персональных данных»:

ПРОШУ:

1. С момента получения данного Заявления прошу прекратить обработку моих персональных данных в указанной части.

2. Уведомить меня о результатах рассмотрения данного заявления письменно в течение 10 дней с момента его получения. Ответ на заявление прошу направить по почте по указанному адресу указанному выше.

Уведомляю, что в случае поступления мне или моим контактным лицам телефонных звонков, смс сообщений – буду расценивать данные действия как самоуправство и нарушение неприкосновенности моей частной жизни.

В случае, если Банк неправомерно передал мои персональные данные третьему лицу, требую самостоятельного уведомления Вами этой организации об отзыве персональных данных и возможных юридических последствиях, связанных с нарушением Федерального законодательства РФ

«О персональных данных». В неполучения ответа на данное обращение, мною будут поданы жалобы: в Прокуратуру РФ, в Роскомнадзор РФ, в Суд, в Центральный Банк РФ.

___________(Ф.И.О. заемщика)

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

• должность, ФИО руководителя;
• наименование организации;
• ФИО автора отказа;
• его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

• свое несогласие с предоставлением персональных данных;
• обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
• если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
• также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.

Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.

Источник статьи: http://assistentus.ru/forma/otkaz-ot-predostavleniya-personalnyh-dannyh/

Что говорит закон

Возможность и порядок отзыва согласия на обработку персональных данных описаны в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». Рассмотрим, какие наступают последствия отзыва согласия на обработку персональных данных.

После получения заявления о запрете использования личных сведений оператор обязан прекратить работу с данными и, если это возможно, обеспечить их уничтожение. Срок, в который оператор должен выполнить настоящее обязательство, в соответствии с п. 5 ст. 21 закона № 152-ФЗ, не превышает тридцати дней. Но Федеральный закон накладывает определенные ограничения на отзыв разрешения на обработку информации. Например, оператор, невзирая на получение отзыва разрешения, обрабатывает и передает данные, если это необходимо для свершения правосудия (п. 2 ч. 2 ст. 11 152-ФЗ) или защиты жизни (здоровья) субъекта (п. 6 ч. 2 ст. 11 152-ФЗ). Кроме того, работа с информацией продолжается независимо от отмены разрешения для обеспечения пенсионных выплат, уплаты налогов, обязательного медицинского и социального страхования.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Утверждены правила обработки общедоступных персональных данных

Положения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» позволяют третьим лицам осуществлять сбор и последующее фактически неконтролируемое использование персональных данных (далее – ПД), участвующих в общедоступном обороте (например, на интернет-сайтах), в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный ст. 5 Федерального закона «О персональных данных».

В связи с этим Федеральным законом от 30.12.2020 N 519-ФЗ были внесены изменения, основная часть которых вступит в силу с 1 марта 2021 года, согласно которым:

1. Введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на обработку ПД, разрешенных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных».

2. Определены особенности обработки ПД, разрешенных их субъектом для распространения (ст. 10.1), например:

• согласие на обработку таких сведений необходимо оформлять отдельно от иных согласий субъекта ПД на обработку его данных. При этом оператор обязан обеспечить субъекту ПД возможность определить перечень данных по каждой категории ПД, указанной в согласии на обработку, разрешенных для распространения;
• если из такого согласия не следует, что субъект ПД согласился с распространением ПД, такие данные должны обрабатываться оператором без права распространения. Молчание или бездействие субъекта не должны считаться согласием;
• передача (распространение, предоставление, доступ) ПД, разрешенных субъектом ПД для распространения, должна быть прекращена в любое время по требованию субъекта ПД, которое должно включать:

– ФИО субъекта ПД;

– номер телефона, электронную почту или почтовый адрес субъекта ПД;

– ПД, обработку которых следует прекратить.

Если субъект сам раскрыл третьим лицам информацию о себе и не дал оператору ПД согласие, то доказывать законность дальнейшей обработки таких сведений обяжут тех, кто ей занимался. Это касается и случаев, когда раскрытие произошло из-за правонарушения, преступления или форс-мажора. На сегодняшний день бремя доказывания незаконности обработки ПД на каком-либо ресурсе или интернет-сайте лежит на субъекте ПД.

Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, будут установлены Роскомнадзором.

за несоблюдение установленных требований к обработке ПД могут привлечь к ответственности, например, в соответствии со ст. 13.11 КоАП РФ. Подробнее об этом читайте Готовом решении «Как привлекают к административной ответственности за нарушения в сфере персональных данных» и Готовом решении «Какие штрафы и иные административные наказания могут назначить в связи с осуществлением контроля и надзора в сфере персональных данных» в СПС КонсультантПлюс. Читайте подробнее

Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.

Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).

Если  в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.

Элементы документа

В верхней части приказа прописывается полное наименование организации, руководитель которой подписывает документ. На листе ниже расположен сам приказ с номером и наименованием. Слева – город, справа – дата принятия. После вводных данных располагается суть приказа.

Первая часть – мотивировка. Прописывается, на основании каких конкретно документов издается приказ, указываются их номера и даты. Классический вариант – свежий паспорт работника, его заявление плюс свидетельство о заключении брака.

В качестве важных дополнений в приказе упоминаются:

• Дата, с которой все учредительные документы организации должны содержать новую фамилию работника.
• ФИО работника кадровой службы (бухгалтерии или любого другого отдела, занимающегося кадровыми вопросами), который ответственен за смену и уведомление бухгалтерии о переменах.
• Сведения о том, что нужно внести изменения в расчетные документы.

На практике частенько возникает путаница именно с расчетными документами. Работнику могут не выдать заработную плату вовремя в связи с тем, что он проходит под другой фамилией.

В конце приказа должна стоять подпись руководителя учреждения с указанием его должности и расшифровкой.

Договоримся о терминах

Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.

Обязанности оператора персональных данных

Принятые при сборе информации о субъекте меры должны быть достаточны для реализации требований федерального закона о персональных данных. Закон разрешает оператору самостоятельно выбирать, устанавливать способы охраны персональных сведений. Оператор вправе:

• назначать ответственных лиц;
• разрабатывать, издавать специальные локальные акты;
• применять механизмы (правовые, технические, организационные), обеспечивающие безопасность ПД;
• проводить внутренние проверки на предмет соответствия порядка обработки конфиденциальных данных федеральному закону 152-ФЗ, другим нормативным (локальным) требованиям;
• оценивать потенциальный вред при нарушениях, соотносить его с осуществляемыми мерами безопасности;
• обучать (знакомить) своих сотрудников с нормами защиты и обработки персональных данных— федеральными, локальными, другими.

Определена обязанность оператора по открытости и доступности информации, о том, какие требования защиты конфиденциальности он выполняет, о проводимой им политики в области обработки ПД.

Важно!Как оператор обеспечивает сохранность конфиденциальных сведений при их обработке по федеральному закону о персональных данных 152 ФЗ:
определяет угрозы безопасности ПД на основании методик, разработанных уполномоченными органами госвласти;
соблюдает регламентированные Правительством степени защиты персданных, для этого применяет меры различного характера, обеспечивающие сохранение ПД при обработке в ИС в соответствии с нормотребованиями;
применяет средства защиты, прошедшие процедуру соответствия;
оценивает эффективность методов обеспечения безопасности до введения в эксплуатацию ИСПДн;
ведет учет съемных / встроенных носителей ПД;
принимает незамедлительные меры при выявлении несанкционированного доступа к ПД;
восстанавливает испорченные после несанкционированного доступа данные;
вводит регистрацию и учет всех манипуляций с ПД в ИСПДн, разрабатывает, утверждает правила допуска к системе;
контролирует меры безопасности, степени защищенности систем персональных данных.

Федеральный закон 152 определяет порядок действий оператора персональных данных в следующих ситуациях:

• если субъект обращается к нему непосредственно, либо в виде запроса от владельца ПД / его представителя — ст.20;
• в каких ситуациях производятся уточнение или блокирование (уничтожение) личных сведений, прекращение обработки и в какие сроки — ст.21.

Ст. 22 формулирует права и обязанности оператора по извещению Роскомнадзора о начале обработки персональных данных для осуществления учета. Определяет порядок направления уведомления, содержание уведомления, а также случаи, при которых его не требуется направлять.

Обязанности ответственного за обработку ПД на предприятии, порядок его назначения оператором определен статьей 22.1.

Рекомендации предпринимателям

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

• согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
• согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.