Отзыв согласия на обработку персональных данных

 

I. Если ранее вами было подписано добровольное согласие на обработку персональных данных (ОПДн), то имеет смысл его отзывать ото всюду, где оно давалось. Причины станут понятны по тексту.

Оператором обработки персональных данных, согласно п. 2 ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее 152-ФЗ), является школа, детский сад, поликлиника, МФЦ, пенсионный фонд, соцзащита, ЗАГС, оператор сотовой связи, банк и любой другой «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных». То есть оператором ОПДн является та государственная или частная организация, где вы подписали согласие на ОПДн.

Отзываете свое согласие вы именно там, где его давали. В случае, если оператор передавал (распространял, предоставлял, давал доступ) третьим лицам, то он обязан обеспечить прекращение ОПДн «другим лицом, действующим по поручению оператора» (ч. 5 ст. 21 152-ФЗ).

Нулевой шаг в этом процессе - рассмотреть организацию со всех сторон. Предварительное знакомство. Например, зарегистрирована ли она в реестре Роскомнадзора. Для этого:

1. Узнаем ИНН организации, набираем в поисковой строке название организации и слово «ИНН», заходим на сайт единого государственного реестра юридических лиц (ЕГРЮЛ) и копируем ИНН организации;

2. Заходим на официальный сайт Роскомнадзора на страницу Реестр операторов, осуществляющих ОПДн (https://rkn.gov.ru/personal-data/register/);

3. Вводим в поисковую графу «ИНН» идентификационный номер налогоплательщика (ИНН) данной организации и нажимаем на кнопку «Найти»;

4. Изучаем информацию об организации. Тут можно обнаружить: цель обработки персональных данных (ПДн), какими нормативными правовыми актами пользуется организация при ОПДн, ознакомиться с мерами, принятыми организацией (а такие меры оператор обязан принять согласно ст. 18.1 и 19 152-ФЗ и вы можете проверить, как справилась организация со своей задачей, ознакомьтесь с данными статьями), узнать, какое лицо ответственно за обработку ОПДн, его электронный адрес (если вы решите контактировать с организацией в электронной форме), узнать сроки и условия прекращения ОПДн, способ обработки ПДн (например, при смешанной обработке оператор обрабатывает данные смешанным способом, то есть и не автоматизированным и автоматизированным с передачей через интернет или без таковой), передает ли организация ПДн трансгранично (передача ПДн иностранному государственному органу, юридическому или физическому лицу иностранного государства).

Зная ИНН организации, можно просматривать в каких госзакупках она участвовала на сайте zakupki.gov.ru (https://zakupki.gov.ru/epz/organization/search/results.html). Какое оборудование приобреталось для соблюдения безопасности, соответствовало ли оно нормам и тому подобное.

Далее желательно направить оператору запрос с уточнением подробностей, которые интересуют субъекта ПДн (вас). Вы уже знаете, кто является ответственным лицом, отвечающее за ОПДн и к кому, следовательно, обращаться с запросом.

Этот шаг не обязательный, но рекомендованный.

Право направлять запрос и получить развернутый ответ нам дают следующие нормативные правовые акты:

1. ст. 19 Всеобщей декларация прав человека (принятой Генеральной Ассамблеей ООН 10.12.1948): «Каждый человек имеет право на свободу... искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ»;

2. ч. 2 ст. 24 Конституции РФ: «Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом»;

3. ч. 4 ст. 29 Конституции РФ: «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом»;

4. ч. 2 ст. 8 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы»;

5. ч. 5 ст. 8 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения»;

6. ч. 7 ст. 14 152-ФЗ «О персональных данных»: «Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами».

7. ч. 1 ст. 20 152-ФЗ: «оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя».

 

Таким образом, формируем запрос (пример):

Кому ________________________________

От (ФИО) ____________________________

Вид документа_______________________

Номер документа_____________________

Дата выдачи, кем выдан_______________

Запрос

На основании ч. 2 ст. 24 Конституции РФ, ч. 2 и 5 ст. 8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ч. 4 ст. 14 Федерального Закона от 27.07.2006 года № 152 «О персональных данных» прошу в срок установленный ФЗ. № 152 «О персональных данных», предоставить мне, как субъекту–обладателю персональных данных, доступ к моим персональным данным, находящимся во временном обладании ООО «Рога и копыта», а также следующую информацию:

1. подтверждение факта обработки персональных данных;

2. перечень обрабатываемых ПДн и источники их получения;

3. цели и основания обработки моих ПДн;

4. какие сроки обработки и хранения моих ПДн;

5. наименование и место нахождения оператора;

6. способы обработки ПДн;

7. наименование и место нахождения третьих лиц (или фамилию, имя, отчество и адрес третьих лиц), которым оператор предоставил доступ к моим ПДн;

8. реализация оператором обязанности по обеспечению безопасности ПДн;

9. список информационных систем, обрабатывающих мои ПДн;

10. наличие или отсутствие лицензирования по технической защите конфиденциальной информации (ТЗКИ) при защите ПДн;

11. сведения о том, какие юридические последствия для субъекта персональных данных (меня) может повлечь за собой обработка его ПДн;

12. подвергаются ли мои ПДн трансграничной передаче (передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

/ * в случае отправки запроса по Почте России: Ответ на настоящий запрос прошу направить в письменной форме по адресу: ______________________________________________________________________в установленные законом сроки.

/* в случае подачи запроса в электронном виде: Ответ на настоящий запрос прошу направить на электронную почту: ______________________ в установленные законом сроки.

«___» __________ 20___ г.                             ___________/_________________/

 

Неправомерный отказ должностного лица в предоставлении гражданину, (адвокату в связи с поступившим от него адвокатским запросом), и (или) организации информации, несвоевременное ее предоставление, либо предоставление заведомо недостоверной информации преследуется ст. 5.39 КоАП РФ.

Ответственность за нарушения в сфере законодательства о персональных данных также устанавливает и ст. 140 УК РФ: «Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан.

После получения отказа/отписки или если ответ вас не удовлетворил, идем в электронную приемную сайта Роскомнадзора (https://rkn.gov.ru/treatments/ask-question/) и формируем заявление. Дублируем заказным письмом в адрес территориального органа Роскомнадзора, который относится к месту вашего проживания.

 

Примерный текст заявления в Роскомнадзор:

 

хх хх 2011 г. мной, субъектом-обладателем персональных данных в адрес оператора ООО «Рога и копыта», во временном обладании которого находятся мои персональные данные, был направлен запрос в письменном виде на предоставление доступа к моим ПД, а также предоставления мне информации предусмотренной ч. 7 ст. 14 ФЗ от 27.07.2006 г. № 152 «О персональных данных». Копия запроса прилагается.

хх.02.2011. я получил ответ от оператора ООО «Рога и копыта» №хх от хх.02.2011. Копия ответа прилагается.

Настоящий ответ не удовлетворил меня по следующим причинам:

1. Доступ к своим персональным данным я не получил.

2. Никакие из запрашиваемых в письменном обращении сведения мне предоставлены не были.

3. Ни на один поставленный в моем обращении вопрос разъяснений я не получил.

(Описываете, что еще вам не ответили)

Заявленной целью обработки персональных данных оператора ООО «Рога и копыта» является в том числе «обработка персональных данных физических лиц — клиентов ОАО «Рога и копыта» при осуществлении ____ (указываете для каких целей обрабатывается).

Из условий договора, на который ссылается в своем ответе оператор ОАО «Рога и копыта» следует, что обрабатывает согласно договору хх.хх.2011 г. Договор № ххх1 от хх.хх.2004. был полностью исполнен.

Отсюда следует, что каких-либо договорных отношений с ООО «Рога и копыта» нет и их заключение не предполагается. Заявленная оператором цель обработки ПД «обработка персональных данных физических лиц — клиентов ООО «Рога и копыта» при осуществлении условий выполнения договора» достигнута или не соответствует заявленной.

Считаю действия оператора ООО «Рога и копыта» по обработке моих персональных данных несоответствующими требованиям настоящего Федерального закона «О персональных данных» и нарушающими мои права и свободы.

После изучения ответа оператора на свой запрос считаю дальнейшую переписку с оператором ООО «Рога и копыта» нецелесообразной.

На основании вышеизложенного

ПРОШУ:

1. Оказать содействие в проведении проверки деятельности оператора ПД ООО «Рога и копыта» по обработке моих персональных данных на соответствие действующему законодательству в области персональных данных.

2. Оказать содействие в блокировании и уничтожении моих персональных данных, находящихся во временном обладании оператора – ООО «Рога и копыта» на основании достижения цели их обработки, а также иных выявленных нарушений в ходе проверки.

3. В случае уничтожения персональных данных обязать оператора ООО «Рога и копыта» уведомить меня – субъекта персональных данных о результате в письменном виде.

Ответ прошу выслать на адрес: ххххх

*текст у всех индивидуальных, это лишь пример описания проблемы, с которой столкнулся вымышленный субъект ПДн.

 

II. Итак, согласно ч. 1 ст. 20 152-ФЗ вы должны получить официальный ответ с предоставленной оператором информации в течение 30 дней с момента его получения запроса. На основании ответа можно сформировать более точный и грамотный отзыв своего согласия, с указание конкретных мер (например, с каких информационных систем вы требуете удаление ваших ПДн и прекращение автоматизированной обработки). В отзыве прописываем свое требование предоставить акт уничтожения ваших ПДн.

С момента получения вашего отзыва согласия оператор обязан прекратить обработку ваших ПДн и уничтожить их (если сохранение ПДн более не требуется для целей обработки ПДн). В случае если оператор передал ваши ПДн (предоставил доступ, распространил) третьим лицам, то он обязан обеспечить прекращение обработки ПДн третьими лицами и уничтожение ими ваших ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва - ч. 5 ст. 21 152-ФЗ. В случае, если вы отозвали согласие на автоматизированную обработку в пользу традиционной, на бумажных носителях и потребовали удаления ваших ПДн из информационных систем, оператор обязан удалить их. Настоятельно просим предоставить акт об удалении ПДн.

Подать заявление в учреждение можно несколькими путями:

1. Лично в канцелярию или приемную организации секретарю. В этом случае необходимо подготовить 2 экземпляра документа, на одном из них организация при приеме поставит отметку о получении (входящий номер иметь обязательно).

2. Почтовой корреспонденцией - заказным письмом с уведомлением и описью содержимого. Опись необходима как доказательство, что было отправлено именно заявление об отзыве согласия на обработку ПДн, а не что-либо иное. В этом случае подтверждать получение документа организацией будет уведомление, которое вернется отправителю.

3. В электронной форме, на официальный email организации (согласно ст. 4 федерального закона от 02.05.2006 г. «О порядке рассмотрения обращений граждан РФ» № 59-РФ (далее 59-ФЗ) обращение гражданина считается как устное, так и «в письменной форме или в форме электронного документа»). В этом случае оформляйте заявление на бумаге, а отправляйте его скан, прикрепив документ к электронному письму. Также есть возможность подписать свое заявление электронной подписью, но не у всех она имеется, да и ее наличие уже подразумевает автоматизированную обработку ПДн. Также можно отправить обращение через электронную приемную на сайте организации, если такая имеется, но обратите внимание, что в этом случае вы даете согласие на автоматизированную обработку ПДн при отправке обращения, иначе не получится электронного взаимодействия с вами вообще, так обязывает закон о персональных данных. Нужно читать политику конфиденциальности ресурса, такая обязана быть на каждом сайте.

Согласно ст. 12 того же федерального закона 59-ФЗ обращение «рассматривается в течение 30 дней со дня регистрации письменного обращения». В исключительных случаях данный срок может быть больше, уведомляя об этом гражданина.

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Внимание, важная информация. Ваше добровольное согласие на ОПДн в организации давалось не потому, что без него невозможно будет взаимодействовать с вами. Такого согласия не требуется согласно ст. 6 152-ФЗ. И ваши данные будут обрабатываться дальше, после отзыва, согласно ст. 9 152-ФЗ, но уже в рамках предоставления услуг, выполняя обязательства перед гражданином. Было подписано письменное согласие на то, чтобы ваши данные оператор смог обрабатывать автоматизированным способом, с помощью средств вычислительной техники. Занести ваши данные в информационные системы. А также это ваше согласие на то, чтобы оператор смог передавать (предоставлять, давать доступ, распространять) ваши данные неограниченному числу третьих лиц, в том числе через интернет. Часто письменное согласие берется обманом, ссылаясь на невозможность предоставления услуги без него. Поэтому в своем отзыве обращаем внимание на данные пункты и делаем запрет.

 

Образец формы заявления об отзыве согласия на обработку ПДн в школу:

 

Кому (директор)___________________________________

От (ФИО родителя) _______________________________,

 действующего в интересах несовершеннолетнего    

ребенка (ФИО)____________________________________,

Адрес ____________________________________________

ЗАЯВЛЕНИЕ ОБ ОТЗЫВЕ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, ___________________________________ (ФИО), на основании ст. 64 Семейного кодекса РФ являюсь законным представителем несовершеннолетнего/ней

________________________________________(ФИО) ___.___.20___г.р., уч-ся ____ класса _________________________________________________ (далее по тексту - Школа).

На основании ч. 1 - 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон), отзываю у Школы ранее данное мной согласие на обработку персональных данных моего несовершеннолетнего ребенка, своих персональных данных, а также членов моей семьи, необходимость обработки которых не является обязательной в силу законодательства РФ (ст. 6 Закона).

Согласие на обработку персональных является добровольным, дается субъектом персональных данных свободно, своей волей и в своем интересе, однако, Школа не информировала меня о вышеуказанном. Согласие было обязательным требованием для получения образовательной услуги, что трактуется как нарушение сразу нескольких норм действующего законодательства РФ и международных норм, являющихся приоритетными в нашем государстве.

Школа располагает достаточными данными на учащегося для внутреннего использования в учебном процессе, а согласие подразумевает действия, избыточные по отношению к заявленным целям их обработки, что противоречит Закону.

В случае, предоставления/передачи/распространения Школой персональных данных несовершеннолетнего (включая данные мои и моей семье) третьим лицам, обязать третьи лица прекратить такую обработку и уничтожить наши персональные данные, согласно ч. 5 ст. 6 Закона. Школа имеет законное право обрабатывать персональные данные без согласия в рамках возложенных на нее государством обязательств, для предоставления образовательных услуг.

Напоминаю, что, в соответствии с ч. 5 ст. 21 Закона, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), а также уничтожить персональные данные или обеспечить их уничтожение третьим лицом, действующим по поручению оператора в срок, не превышающий 30 (тридцати) рабочих дней с даты поступления отзыва. Об уничтожении персональных данных оператор обязан уведомить субъект персональных данных.

На основании изложенного

ПРОШУ:

1. прекратить обработку и удалить из электронных баз данных (информационных систем) все персональные данные моего несовершеннолетнего ребенка, а также мои персональные данные и данные моей семьи. Вместе с письменным ответом на данный отзыв предоставить Акт удаления персональных данных. Типовую форму Акта прилагаю. В последующем обеспечить учет ведения успеваемости учащегося традиционным способом на бумажном носителе, без использования автоматизированной обработки (согласно ст. 4, 5,6 ФЗ «Об организации предоставления государственных и муниципальных услуг» от 27.07.2010 г. № 210-ФЗ (далее 210-ФЗ); Постановлении Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее ПП № 687));

2. предоставить официальные письма от третьих лиц (Департамента образования, Департамента информационных технологий и остальных, кому оператор (Школа) поручил обработку наших персональных данных) о прекращении автоматизированной обработки и уничтожении персональных данных моего несовершеннолетнего ребенка ______________________________ (ФИО), моих персональных данных, персональных данных моей семьи из электронных баз/информационных систем, а также об уничтожении уникального идентификационного номера (id) присвоенного моему ребенку при ведении электронного документооборота. Прекратить передачу и предоставление доступа третьим лицам;

3. обеспечить реализацию конституционных прав и законных интересов несовершеннолетнего ребенка на получение бесплатного образования на основании п. 6 ст. 4; ч. 3 ст. 5; п. 2 ч. 1 ст. 6 210-ФЗ, ст. 9, 16 Закона, обеспечить государственные услуги в сфере образования в полном объеме, используя для работы традиционный способ учета человека - по фамилии, имени и отчеству и т.д. на бумажных материальных носителях, без включения их в электронный документооборот, в соответствии с ПП № 687, без использования электронных услуг: электронного дневника/журнала, карты проход-питание, в том числе биометрии, (отпечатков пальцев, оцифровку венозного рисунка ладони, снимков роговиц глаз и т.п.).

4. не допускать дискриминации моего ребенка ________________________(ФИО) по причине отзыва и отказа в последующем от обработки персональных данных учащегося автоматизированным способом, а также отказа от использования электронных услуг: электронный дневник/журнал, паспорт здоровья школьника, карты проход-питание и прочее, согласно ч. 3 ст. 13 Закона.

5. в последующем не допускать исключения из школы моего ребенка по причине отсутствия у него электронной регистрации и/или ведения электронного документооборота в отношении несовершеннолетнего.

Ставлю Вас в известность, что в случае формального подхода к рассмотрению моего заявления и дальнейших попыток вынудить меня дать согласие на обработку персональных данных, либо использование карательных мер по отношению к моему ребенку (например: не допуск к занятиям), буду вынуждена обратиться в Генпрокуратуру РФ, а также регуляторам по вопросам персональных данных, для дачи правовой оценки действиям должностных лиц, виновных в нарушении законодательства РФ и привлечения их к ответственности. Также оставляю за собой право подачи заявления о нарушениях Конституционных прав должностными лицами в органы управления образования, уполномоченные органы по защите прав субъектов персональных данных.

Согласно ФЗ от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан РФ», письменный ответ о принятых Вами мерах по прекращению обработки и удалению из информационных систем персональных данных моего несовершеннолетнего ребенка _____________________________ (ФИО), включая мои персональные данные, а также персональные данные членов моей семьи, письменные ответы о прекращении обработки и уничтожении наших персональных данных от третьих лиц, которым Школой была поручена обработка наших персональных данных, Акт об уничтожении персональных данных прошу направить по адресу: _________________________________________________________, в установленный действующим законодательством срок.

С уважением, _________________/____________                 «___» ______________ 20___ г.

 

 

*в случае, если детей в данной школе обучается более одного, возможно писать отзыв одним заявлением, указывая всех несовершеннолетних.

 

 

Типовая форма акта об уничтожении персональных данных:

 

Наименование оператора______________________________

Утверждаю (должность)_______________________________

Подпись/расшифровка____________/_____________________

Дата «___» _______________ 20_____г.