Все мы регулярно получаем нежелательные звонки от вполне известных компаний, но с которыми мы раньше не сотрудничали. Часто звонящим известны не только наши имена и номера телефонов, но и другие персональные данные. Мы решили разобраться, что делать в такой ситуации, разобрав конкретный кейс с помощью экспертов.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Наши эксперты:
Александра Орехович, преподаватель Moscow Digital School, директор по правовым инициативам Фонда развития интернет-инициатив;
Павел Лавренков, член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России;
Владимир Подъяпольский, преподаватель Moscow Digital School.
История нашего читателя К.:
«Год назад я приобрел автомобиль у официального дилера и сразу в салоне застраховал его по ОСАГО и каско. Обе страховки были куплены в компании, клиентом которой я был уже много лет. Оформлением занимались сотрудники дилерского центра. Так удалось получить дополнительные скидки как на стоимость каско, так и на сам автомобиль.
За месяц до истечения полисов я стал получать звонки, письма по электронной почте и предложения в WhatsApp с коммерческими предложениями от других страховых компаний и страховых брокеров. Судя по устному общению и переписке, их сотрудники знали как минимум ФИО, даты рождения и водительский стаж владельца автомобиля и допущенных к управлению водителей, мои телефон, адрес прописки и email, стоимость автомобиля и условия страхования».
Защищена ли подобная информация? Был ли в описанном случае нарушен закон?
В законе «О персональных данных» не указан четкий перечень сведений, которые таковыми считаются. Однако, судя по многочисленным разъяснениям Роскомнадзора и судебной практике, совокупность сведений о физическом лице — ФИО, дата рождения, телефон, адрес, данные об автомобиле и сроки страховки — определенно к персональным данным относится.
Обработка персональных данных человека, то есть любые действия, включая сбор, хранение и использование, а также передачу их третьим лицам, может осуществляться только с его согласия.
Кроме того, в нашем кейсе информация о страховании также составляет тайну страхования, и страховщик не имеет права ее разглашать.
Мог ли я сам дать согласие на доступность таких данных?
Когда вы заключаете договор страхования или даже просто заполняете анкету, обязательно внимательно читайте текст. Обычно такие документы включают пункт о согласии на обработку ваших персональных данных.
Скорее всего, в согласии на обработку персональных данных, которое герой нашего кейса дал дилеру, была предусмотрена возможность передачи этих данных третьим лицам. Что страховая компания и сделала: передала данные другим брокерам.
Как избавить себя от подобных назойливых предложений?
Для начала обратитесь к дилеру и узнайте, кому, для чего, а главное — на каком основании он предоставил ваши персональные данные.
Если информация о том, что вы сами подписали согласие на передачу своих персональных данных третьим лицам, подтвердится, можно обратиться с жалобой в Роскомнадзор. В ней нужно указать, что согласие, которое вам дал подписать дилер, не отвечает установленным законом требованиям, а именно оно не является конкретным и информированным, поскольку не содержит перечня лиц, которым вы соглашаетесь передавать свои персональные данные.
Как подать жалобу:
- Проще всего отправить жалобу через общественную электронную приемную Роскомнадзора, перейдя по ссылке https://rkn.gov.ru/treatments/ask-question/.
- В графе «Тематика обращения» выберите «Обработка персональных данных».
- Заполните открывшуюся форму. В основном поле — «Текст обращения» — подробно опишите ситуацию: кто, когда и каким образом нарушил ваши права на обработку персональных данных. Сделайте это без эмоций, желательно только факты.
- Если у вас есть доказательства — скриншоты переписки или записи телефонных разговоров — обязательно приложите их. Это поможет специалистам разобраться в ситуации.
По закону Роскомнадзор обязан дать официальный ответ по истечении 30 календарных дней.
Можно ли добиться исключения себя из баз компаний, с которыми не хочешь сотрудничать?
Для этого нужно заявить об отзыве согласия на обработку ваших персональных данных, желательно всем третьим лицам, включая дилерский центр.
Способ отзыва согласия указан в самом согласии. По общему правилу это письменное заявление оператору (госорган, компания или лицо, осуществляющее обработку персональных данных), которое нужно отправить на адрес оператора по почте. На практике хорошим тоном считается приравнивание способа получения согласия к способу его отзыва: если согласие было дано в электронной форме, то и отзыв можно направить по электронной почте.
При этом нужно учитывать, что оператор имеет право продолжить обработку персональных данных даже без вашего согласия, если у него есть для этого основания, предусмотренные законом. Например, если обработка персональных данных нужна для выполнения договора. В нашем кейсе действующий договор страхования таким основанием является, однако использовать персональные данные в этом случае могут только страховщик и брокер.
Что делать, если после этого звонки от третьих лиц продолжатся?
Фиксируйте все эти обращения и обращайтесь с жалобой в Роскомнадзор по приведенной выше инструкции.
Можно ли добиться наказания для тех, кто допустил незаконную передачу третьим лицам персональных данных? А также для тех, кто использует полученные незаконным образом персональные данные?
Кодексом РФ об административных правонарушениях (КоАП) предусмотрен ряд штрафов за нарушение порядка обработки персональных данных. Прежде всего это ст. 13.11, в которой есть несколько составов, релевантных для нашего кейса: обработка персональных данных без согласия субъекта, необеспечение сохранности персональных данных, невыполнение законных требований субъекта персональных данных.
В некоторых случаях возможна и уголовная ответственность за правонарушения, связанные с персональными данными. Речь идет о различных преступлениях, имеющих повышенную общественную опасность, например неправомерный доступ к компьютерной информации (ст. 272 УК РФ), незаконное разглашение коммерческой тайны (ст. 183 УК РФ) и др.
Однако на практике рядовому гражданину сложно добиться наказания ответственных за незаконную обработку его персональных данных. В первую очередь потому, что их трудно выявить. Еще сложнее проследить всю цепочку передачи персональных данных третьим лицам.
Жалоба в Роскомнадзор может привести к полноценной проверке соблюдения законодательства конкретным лицом, получившим персональные данные непосредственно от вас, но вряд ли устранит уже происшедшую утечку и ее последствия. А доказать, что звонившая или писавшая вам компания занималась незаконной обработкой ваших персональных данных, вряд ли удастся, поскольку зачастую сложно связать телефонный звонок или сообщение с конкретной организацией.
Что делать, если дилер утверждает, что никому не передавал мои персональные данные, но звонки поступают?
Запросите и внимательно изучите текст согласия, которое вы подписали. Возможно, там указано, что вы предоставляете согласие не только дилеру, но и страховым компаниям, которым нужны ваши данные для расчета стоимости полиса каско или ОСАГО.
Далее действуйте по описанной выше схеме:
- Отправьте всем компаниям, которым было предоставлено ваше согласие на обработку персональных данных, заявление о его отзыве.
- Зафиксируйте вашу переписку с дилером.
- Подайте жалобы.
Можно ли выяснить, кто знает мои персональные данные, чтобы ими можно было управлять?
Единого реестра согласий на обработку персональных данных на данный момент нет. Однако экспериментальным проектом «Цифровой профиль гражданина» предусмотрено создание перечня таких согласий, которыми сможет управлять сам гражданин через сайт госуслуг.
Вместо вывода
Если вы хотите получать меньше спама из-за утечки персональных данных, соблюдайте цифровую гигиену, внимательно читайте то, что подписываете, и блокируйте телефонные номера и адреса электронной почты, с которых вам поступает нежелательная информация.