Можно ли удалить свои персональные данные отовсюду?
Пользователь может потребовать от оператора удалить его личные данные из общего доступа. Причем если раньше человеку требовалось доказать, что его данные использовали неправомерно, то после вступления в силу поправок в закон «О персональных данных» этого делать не потребуется.
О каком законе идет речь?
Поправки в закон «О персональных данных» Госдума приняла в декабре 2020 года, а с 1 марта 2021 года они вступили в силу. Согласно документу, пользователи смогут устанавливать условия использования своих общедоступных персональных данных, а также требовать запретить передавать их третьим лицам.
Под общедоступными персональными данными обычно понимаются имя, фамилия, отчество, город проживания, мобильный телефон, e-mail, личные фото и другие данные, которые пользователь оставляет на площадке в интернете. Закон запрещает операторам размещать и распространять персональные данные клиентов без их согласия.
Что именно изменится?
Если раньше пользователь просто давал одно общее согласие на обработку своих личных данных, то теперь оно требуется на каждое действие с личными данными, будь то передача их третьим лицам или публикация в открытом доступе.
Также операторы (под ними понимаются все площадки, которые выкладывают данные в общий доступ, например социальные сети) обязаны будут удалить профиль пользователя по его первому требованию.
Человек также имеет право ограничить обработку персональных данных оператором. Допустим, если в согласии не было прямого разрешения на распространение персональных данных, оператор имеет право их обрабатывать, но не распространять.
Что нужно сделать, чтобы данные удалили?
Пользователь может обратиться напрямую к оператору. В обращении нужно будет указать фамилию, имя и отчество, контактные данные (номер телефона или адрес электронной почты), а также перечень персональных данных, которые требуется удалить или запретить передавать третьим лицам.
С того момента, как к оператору поступило обращение, действие предыдущего согласия пользователя на обработку его персональных данных прекращается. Оператор обязан прекратить передачу (распространение, предоставление доступа) персональных данных в течение трех рабочих дней с момента получения такого требования.
В законе говорится, что, помимо обращения напрямую к оператору, пользователи также смогут отозвать согласие на использование их личных данных через специальную систему Роскомнадзора. Но пока она не создана, соответствующие поправки вступают в силу с 1 июля 2021 года.
Если оператор отказывается выполнить требование, пользователь вправе обратиться в суд. В таком случае оператор должен будет прекратить передачу персональных данных в течение трех рабочих дней с момента вступления решения суда в законную силу.
Как поясняет эксперт по информационной безопасности Тарас Татаринов, несмотря на жесткие требования законодательства, стоит помнить, что даже удаленные данные все равно сохраняются в кэше.
«С другой стороны, у нас в стране в принципе сохраняется очень небрежное отношение к персональным данным, поэтому то, что решили наконец навести в этой сфере порядок, — это правильно. Очень часто у нас операторы небрежно относятся к персональным данным, и в результате происходят массированные утечки, которые вредят пользователям и наносят существенный ущерб людям, которые свои персональные данные доверяют операторам», — говорит Татаринов.
Эксперт добавляет, что удалить то, что уже утекло в Сеть и оказалось в открытом доступе, почти невозможно. Но поправки в законодательство позволят не допустить новых массовых утечек. «Удалить то, что уже утекло, практически невозможно. Сейчас все усилия должны быть сосредоточены на том, чтобы не допустить новых утечек», — заключает он.
Что грозит операторам, если они откажутся удалять данные?
Ответственность операторов за нарушение законодательства о персональных данных регламентируется Статьей 13.11 Кодекса об административных правонарушениях. В настоящее время обработка персональных данных без согласия пользователя гражданам грозит предупреждением или штрафом в размере от 3 тыс. до 5 тыс. рублей. Должностным лицам — предупреждением или штрафом от 10 тыс. до 20 тыс. рублей, а юридическим лицам — предупреждением или штрафом в размере от 15 тыс. до 75 тыс. рублей.
Однако с конца марта ответственность за эти нарушения ужесточат. Так, с 27 марта 2021 года в силу вступят поправки в федеральное законодательство и КоАП, которые отменят такой вид санкции, как предупреждение, увеличат действующие штрафы вдвое, а также установят санкции за повторное нарушение.
Таким образом, штрафы для граждан при первом нарушении составят от 6 тыс. до 10 тыс. рублей, для должностных лиц — от 20 тыс. до 40 тыс. рублей, для юридических лиц — от 30 тыс. до 150 тыс. рублей.
При повторном нарушении штраф для граждан составит от 10 тыс. до 20 тыс. рублей, для должностных лиц — от 40 тыс. до 100 тыс. рублей, для индивидуальных предпринимателей — от 100 тыс. до 300 тыс. рублей, для юридических лиц — от 300 тыс. до 500 тыс. руб.