Зачем отзывать согласие на обработку ПДн и как это сделать

06/05/25

Б-152

Ксения Гордова

ч.2 ст. 9 152-ФЗ предоставляет право контролировать использование своих персональных данных, включая возможность отзыва согласия на их обработку.

Почему это важно, что значит отозвать согласие и каким образом реализовать это право?

Разберемся, что это означает ― отозвать согласие, и в каких ситуациях субъект вправе отправить отзыв.

1. Контроль над персональными данными субъекта. Так, в любой момент можно прекратить обработку своих ПДн, отозвав согласие на их обработку (СОПД).
2. Защита от использования не в целях согласия. Оператор ПДн не вправе обрабатывать ПДн в целях, которые не указаны в собранном им СОПД. Однако на практике часто пользователь приложения может получать маркетинговые рассылки, хотя не соглашался на это. Сведения о нем, введенные при регистрации, используются для других целей. Если отозвать согласие, Оператор не сможет обрабатывать ПДн.
3. Защита от утечек. После отзыва СОПД Оператор будет обязан удалить ПДн субъекта из систем и уничтожить бумажные носители, которые содержат ПДн. В случае утечки ПДн Оператора данные пользователей не попадут в общий доступ.

Когда Оператор может обрабатывать ПДн после согласия, например, если это необходимо для исполнения судебных актов (п. 3.1 ч.1 ст. 6 152-ФЗ). Основания обработки после отзыва СОПД закреплены в ч.2 ст. 9 152-ФЗ.

Если нет подобных условий, обязательство Оператора ― прекратить обрабатывать ПДн в течение 30 дней после получения отзыва СОПД (ч.5 ст. 21 152-ФЗ).

Чтобы отозвать СОПД, не нужно объяснять причину или ждать какое-то время, 152-ФЗ не закрепляет ограничений.

Согласие на обработку ПДн, которые разрешены для распространения — это отдельное СОПДН. Его собирают с сотрудников при публикации данных работника на сайте, также Роскомнадзор относит к общедоступным источникам корпоративные справочники.

Согласно ч.10 ст. 10.1 152-ФЗ, Оператор обязан опубликовать информацию об условиях обработки и о наличии запретов и условий, установленных субъектом в согласии. Вот пример, как это можно реализовать.

После отзыва согласия Оператор обязан удалить ПДн из открытых источников, проверить можно самостоятельно.

На практике субъекты нередко сталкиваются с тем, что после направления отзыва Оператор продолжает обработку. Это не всегда нарушение. Закон 152-ФЗ предусматривает перечень оснований, при которых обработка ПДн возможна и без согласия субъекта. Об этом мы уже упоминали выше. Теперь подробнее.

Оператор имеет право продолжить обрабатывать ПДн, если это требуется для исполнения договора, стороной которого является субъект (п. 5 ч.1 ст. 6 152-ФЗ). Например, если у вас действует кредитный договор или договор оказания услуг, банк или оператор связи обязаны хранить ваши данные до завершения обязательств. В этом случае отозвать согласие можно, но это приведет к тому, что фактическое удаление данных произойдет только после прекращения договорных отношений.

Также обрабатывать ПДн продолжают, когда это требуется для исполнения обязанностей, которые возложены на Оператора законодательством (п. 2 ч.1 ст. 6 152-ФЗ). Работодатель, к примеру, не может удалить данные сотрудника из кадрового учета по его требованию, пока действует трудовой договор и пока не истекли сроки хранения документов, установленные Трудовым кодексом и архивным законодательством.

Еще одно основание — обработка в статистических или исследовательских целях. Но важно обязательное обезличивание ПДн (п. 9 ч.1 ст. 6 152-ФЗ). Если Оператор обезличил ПДн так, что установить их принадлежность конкретному лицу невозможно, такие данные выходят из-под действия 152-ФЗ.

Важно: даже если есть основания для продолжения обработки, обязательство Оператора ― письменно уведомить субъекта о причинах, по которым данные не могут быть удалены. Если ответа нет или он вас не устраивает — это повод обратиться с жалобой в Роскомнадзор.

Отозвать СОПДН допустимо в свободной форме. В качестве примера можете использовать форму на сайте РКН.

Рекомендация РКН — соблюдение формы отзыва СОПД и формы согласия. Условно, если согласие на обработку ПДн было подписано в бумажном виде, отправлять отзыв согласия стоит в также в виде бумажного документа.

Способ отзыва необходимо указать в согласии на обработку персональных данных. Если данных нет, стоит посмотреть Политику, размещенную на сайте или написать на почту, указанную для приема обращений и запросов. Подать отзыв в бумажном варианте можно, отправив по юридическому адресу Оператора.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Материалы по теме