Недавний опыт общения с одним из банков показал, что даже люди, которые работают с персональными данными и несут за них ответственность, не до конца знают, что это такое. В этой статье я хочу рассказать, как можно с помощью закона защитить свои права в области персональных данных и разъяснить сам закон.
Что такое персональные данные
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
То есть ваше имя, фамилия и отчество, номера паспортов это персональные данные. Но есть нюанс, что к примеру в одной ситуации ip адрес может быть персональными данными, а в других случаях нет. Поэтому иногда возникают разногласия и разночтения закона.
Получение персональных данных
Для того чтобы организация начала работу с персональными данными, ей нужно стать оператором персональных данных и зарегистрироваться в роскомнадзоре, но это можно не делать в случае если персональные данные не обрабатываются автоматизированными системами, то есть только с помощью бумажных носителей.
Получить же персональные данные можно только для цели обработки персональных данных, а по достижении ее, эти персональные данные должны быть уничтожены. Также нельзя обрабатывать излишние персональные данные, к примеру если фитнес клуб для осуществления своих действий просит получить доступ к состоянию денег на счетах клиента, это будет расцениваться, как обработка персональных данных несовместимая с целями сбора персональных данных. Есть исключения, к примеру общедоступные источники данных (OSINT), к примеру, Глаз Бога это публичный источник и действует в рамках закона, и по требованию субъекта прекращает обработку его персональных данных.
Обработка персональных данных
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Проще говоря, любое взаимодействие с персональными данными это их обработка. Обработка может осуществляться в множестве случаев и без согласия субъекта
Для защиты здоровья. (Человеку стало плохо, он упал, у него из кармана работник скорой помощи достал паспорт для идентификации пострадавшего)
В суде
Для исполнения полномочий федеральных структур
В договорах на покупку/продажу когда субъект — выгодоприобретатель
В процессе работы журналиста или сми
В статистике и науке
Права субъекта персональных данных
Право на доступ к своим персональным данным (условия хранения, цели обработки и другое)
Право на уточнение (изменился паспорт, нужно внести новый)
Право на блокирование и уничтожение персональных данных (временный запрет на обработку, если данные устарели, неполные, неточные, незаконно полученные или не являются нужными для достижения целей обработки персональных данных)
Получается, что для уничтожения персональных данных, нужно доказать, что эти данные больше не нужны или, то что цели обработки персональных данных были достигнуты.
К примеру, чтобы действительно удалить себя из банка, нужно закрыть все счета и написать заявление об отзыве согласия на обработку данных. Нюанс с банками в том, что 115 ФЗ (О противодействии отмыванию) обязывает их хранить данные еще 5 лет после отзыва данных.
Как это применить на практике?
Это значит, что каждая реклама, полученная на email или на телефон, от организации, которая не имеет права работы с вашими персональными данными, рассматривается не только со стороны 38-ФЗ (О рекламе), но и со стороны 152-ФЗ (О персональных данных). Ведь, организация как то получила доступ к вашим данным и обрабатывает их. Значит, можно написать и в роскомнадзор и в ФАС, чтобы сообщить о данной ситуации. На хабре уже выходила статья о борьбе с рекламой
Также, это значит, что вы можете потребовать удалить данные или заблокировать обработку в общественных источниках, к примеру в, Глазе Бога можно удалить себя.
Вы можете запретить получение рекламы на основе 38-ФЗ (О рекламе)
Еще можно удалить свои данные из разных организаций и банков, для того чтобы уменьшить риск слива персональных данных.
