Требовать прекращения обработки персональных данных можно не только от банка, но и от любой компании — даже от своего работодателя. Это право дает Федеральный закон №
Оставляем инструкцию, как добиться прекращения обработки персональных данных.
Содержание статьи
Всё содержаниеЧто такое персональные данные с точки зрения закона
Закон № 152-ФЗ устанавливает: персональные данные (ПДн) — это любая информация, относящаяся к конкретному физическому лицу (субъекту персональных данных) и позволяющая его идентифицировать. В законе перечислены такие виды персональных данных:
| Общие | ФИО, дата рождения, место жительства и работы, информация об образовании, телефон и электронная почта. Большинство операторов персональных данных собирает только их. |
| Специальные | Данные, хранящиеся в закрытых реестрах, медицинских книжках, личных делах. Например, состояние здоровья, информация о судимостях, религиозные и политические взгляды, расовая и национальная принадлежность. Доступ к ним можно получить только с письменного разрешения владельца, а передавать между операторами обычно запрещено. |
| Биометрические | Физиологические особенности человека, которые используются для определения личности. Например, фото, отпечатки пальцев, рост, вес, цвет глаз. |
| Иные | Данные, которые не входят ни в одну из перечисленных категорий. Например, корпоративная информация о сотруднике или принадлежность к определенной социальной группе. |
Когда можно требовать прекращения обработки персональных данных
Чаще всего с предупреждениями об обработке персональных данных можно столкнуться в интернете. Но на самом деле оператором ПДн является любая организация, оказывающая услуги населению — ведь она собирает, хранит и передает персональные данные клиентов. Работодатель по отношению к своим сотрудникам тоже выступает оператором ПДн.
Так обычно выглядит строка согласия на обработку персональных данных на сайте оператора ПДн
Оператор обязан прекратить обработку ПДн по основаниям, перечисленным в ст. 21 закона №
-
Достигнута цель обработки, то есть данные уже были использованы по назначению и больше не нужны. Например, работодатель собрал список детей сотрудников для вручения новогодних подарков. В этом случае оператор обязан сам прекратить обработку персональных данных — без дополнительных требований.
-
Необходимость в использовании данных отпала. Например, клиент отказался от услуги еще до заключения договора.
-
Согласие на обработку отозвано. Допустим, гражданин отозвал свои персональные данные из банка, где у него нет активных счетов и карт, или из коллекторского агентства, перед которым погасил задолженность.
-
Обработка ПДн осуществляется незаконно или без прямого согласия субъекта.
В некоторых случаях согласие гражданина не требуется. Например, когда обработка персональных данных происходит по решению суда, необходима для деятельности органов власти или спасения жизни субъекта этих самых данных.
Важно различать прекращение обработки и полное уничтожение персональных данных:
-
В первом случае доступ к информации блокируется, ее больше нельзя использовать.
-
Во втором — сведения полностью удаляются из системы или уничтожается физический носитель, на котором они хранятся. Оператор не сможет восстановить их, даже если очень захочет и получит повторное согласие от субъекта.
Сроки прекращения обработки и уничтожения персональных данных
Если персональные данные получены незаконно или не нужны для заявленной цели обработки, оператор обязан уничтожить их в течение семи рабочих дней. Субъект ПДн должен подтвердить незаконность их получения.
Если субъект потребует прекратить обработку персональных данных (в том числе законно полученных), оператор обязан сделать это в течение 10 рабочих дней. Продление срока допустимо максимум на пять дней.
Когда цель обработки персональных данных была достигнута и дальнейшее хранение не требуется, оператор обязан уничтожить ПДн в течение 30 рабочих дней.
При отзыве субъектом своего согласия на обработку персональных данных оператор должен уничтожить их в течение 30 рабочих дней.
Если у оператора нет технической возможности уничтожить ПДн прямо сейчас, срок уничтожения продлевается до шести месяцев. Но прекратить использование данных оператор обязан немедленно.
После прекращения обработки или уничтожения персональных данных оператор должен направить письменное уведомление субъекту.
В некоторых случаях оператор имеет законное право использовать ПДн, даже если субъект потребует их удалить. Вот несколько примеров:
-
Это прописано в условиях трудового договора.
-
Персональные данные необходимы для противодействия отмыванию доходов.
-
Обработка ПДн связана с защитой жизни или здоровья субъекта.
-
Данные нужны для исполнения судебных решений.
-
Информация используется журналистами в профессиональной деятельности.
Как подать требование о прекращении обработки персональных данных
В заявлении на прекращение обработки ПДн необходимо указать:
- Кому подается заявление.
- ФИО субъекта, номер и дату выдачи паспорта (или другого документа, удостоверяющего личность).
- Какие именно данные необходимо удалить.
- Адрес для отправки ответа на запрос.
Подать заявление можно лично, через представителя (с доверенностью), по почте или через сайт оператора.
Чтобы отозвать согласие на использование ПДн у банка, сначала придется закрыть все открытые в нем кредиты и вклады.
К заявлению можно приложить копию паспорта и доказательства нарушений, допущенных при обработке данных (если они есть).
Стандартный срок рассмотрения заявления на отзыв ПДн — 10 дней, по истечении которых оператор обязан направить вам письменный ответ.
Что обязаны удалить и как это проверяется
Оператор должен удалить все данные, которые обрабатывались на основании согласия или договора. В том числе из архивов и резервных копий. Не подлежит удалению только информация, защищенная законом. Например, сведения о работнике (хранятся до 50 лет) или данные, необходимые для налогового учета.
Данные в электронном виде уничтожаются через перезапись, удаление или форматирование жесткого диска. В бумажном — пропускаются через шредер или сжигаются.
В соответствии с Приказом РКН № 179 оператор обязан составить акт об уничтожении персональных данных и хранить его не менее трех лет. Субъект вправе запросить копию этого акта или уведомление об уничтожении его данных. Если оператор их не предоставит или откажется удалять ПДн, можно пожаловаться в Роскомнадзор.
Ответственность за незаконную обработку или неисполнение требований
Если оператор своевременно не удалит или не перестанет использовать персональные данные, его могут привлечь к административной ответственности.
Штраф за первое нарушение для физических лиц составляет до 4 000 рублей, для должностных лиц — до 20 000 рублей, а для компаний — до 40 000 рублей.
За повторное нарушение штраф будет значительно больше: для физических лиц — до 30 000 рублей, для должностных — до 50 000 рублей, а для компаний — до 500 000 рублей.
Кроме того, за нарушение может наказать Роскомнадзор — предупреждением или даже блокировкой сайта.
Если в результате неудаления персональных данных субъекту причинен вред, оператор может также попасть под уголовную ответственность.
Как защищаются персональные данные сотрудников
Работодатель обязан получить отдельное согласие сотрудника на обработку любых персональных данных, использование которых не предусмотрено трудовым договором. При этом работник в любой момент может отозвать согласие на обработку необязательных ПДн — например, биометрии.
После увольнения работодатель должен удалить все персональные данные бывшего сотрудника, кроме самого минимума, предусмотренного законом. Зато этот минимум может храниться очень долго, вплоть до 75 лет.
Приказ Росархива № 236 от 20.12.19
Если увольнение массовое, ПДн подлежат централизованному удалению с оформлением приказа и соответствующих актов. Удалив данные, работодатель обязан сообщить об этом в РКН.
Что делать при утечке персональных данных
Под утечкой персональных данных понимается их кража, незаконное распространение или предоставление доступа к ним третьим лицам. С 2025 года ответственность за утечку ПДн для операторов ужесточилась:
| Если утечка затронула от 1 000 до 10 000 граждан | Физическое лицо оштрафуют на сумму до 200 000 рублей, должностное лицо — до 400 000 рублей, а компанию — до 5 млн рублей |
| Утекли данные от 10 000 до 100 000 граждан | Штраф для физлица составит до 300 000 рублей, для должностного лица — до 500 000 рублей, для компании — до 10 млн рублей |
| Скомпрометированы данные более чем 100 000 граждан |
Физлицо обяжут выплатить до 400 000 рублей, должностное — до 600 000 рублей, а юридическое — до 15 млн рублей |
За повторную утечку компанию и вовсе могут наказать оборотным штрафом: от 1 до 3% выручки за прошлый календарный год, но не менее 20 млн и не более 500 млн рублей.
Если утечка подтвердилась, оператор обязан:
- В течение суток сообщить об этом в Роскомнадзор. За неуведомление полагается отдельный штраф.
- Провести внутреннее расследование.
- В течение 72 часов уведомить всех пострадавших.
Если утечку обнаружит субъект ПДн, необходимо:
- Зафиксировать сам факт нарушения (сделать скриншот, сохранить письмо или уведомление).
- Обратиться к оператору за разъяснениями.
- Если оператор проигнорирует запрос, подать жалобу в Роскомнадзор. Можно воспользоваться интернет-приемной ведомства. На регистрацию обращения уйдет до 3 дней, а рассмотрят его в течение 30 дней. Этот срок могут продлить, но не более чем на 15 дней.
- Подать в суд заявление о возмещении морального ущерба, если он был причинен.
Насколько реально взыскать с оператора персональных данных компенсацию морального вреда за утечку? Практика показывает: суды все чаще удовлетворяют подобные иски. Суммы компенсаций небольшие, но растут год от года.
Например, в 2023 году пользователь «Яндекс.Еды» отсудил у сервиса всего 5 000 рублей морального ущерба.
Но уже в 2024 году жительница Санкт-Петербурга получила от местной МФО рекордную на данный момент компенсацию в размере 150 000 рублей. Организация допустила утечку данных, которой воспользовались мошенники для оформления микрозайма на чужое имя.
![Финансово-правовой альянс](https://fpa.ru/wp-content/themes/fpalaw/assets/img/services/header/popup-new-year-2025-v2.png" "Финансово-правовой альянс")
