Звонят из компаний, которым вы не давали свои контакты. Что делать?

Как персональные данные могут попасть к тем, кому вы их не давали, и как с этим бороться

Все мы регулярно получаем нежелательные звонки от вполне известных компаний, но с которыми мы раньше не сотрудничали. Часто звонящим известны не только наши имена и номера телефонов, но и другие персональные данные. Мы решили разобраться, что делать в такой ситуации, разобрав конкретный кейс с помощью экспертов.

Наши эксперты:

Александра Орехович, преподаватель Moscow Digital School, директор по правовым инициативам Фонда развития интернет-инициатив;

Павел Лавренков, член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России;

Владимир Подъяпольский, преподаватель Moscow Digital School.

История нашего читателя К.:

«Год назад я приобрел автомобиль у официального дилера и сразу в салоне застраховал его по ОСАГО и каско. Обе страховки были куплены в компании, клиентом которой я был уже много лет. Оформлением занимались сотрудники дилерского центра. Так удалось получить дополнительные скидки как на стоимость каско, так и на сам автомобиль.

За месяц до истечения полисов я стал получать звонки, письма по электронной почте и предложения в WhatsApp с коммерческими предложениями от других страховых компаний и страховых брокеров. Судя по устному общению и переписке, их сотрудники знали как минимум ФИО, даты рождения и водительский стаж владельца автомобиля и допущенных к управлению водителей, мои телефон, адрес прописки и email, стоимость автомобиля и условия страхования».

Защищена ли подобная информация? Был ли в описанном случае нарушен закон?

В законе «О персональных данных» не указан четкий перечень сведений, которые таковыми считаются. Однако, судя по многочисленным разъяснениям Роскомнадзора и судебной практике, совокупность сведений о физическом лице — ФИО, дата рождения, телефон, адрес, данные об автомобиле и сроки страховки — определенно к персональным данным относится.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона РФ "О персональных данных", далее по тексту ФЗ)

Обработка персональных данных человека, то есть любые действия, включая сбор, хранение и использование, а также передачу их третьим лицам, может осуществляться только с его согласия.

Кроме того, в нашем кейсе информация о страховании также составляет тайну страхования, и страховщик не имеет права ее разглашать.

Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц (ст. 946 ГК РФ).

Мог ли я сам дать согласие на доступность таких данных?

Когда вы заключаете договор страхования или даже просто заполняете анкету, обязательно внимательно читайте текст. Обычно такие документы включают пункт о согласии на обработку ваших персональных данных.

Скорее всего, в согласии на обработку персональных данных, которое герой нашего кейса дал дилеру, была предусмотрена возможность передачи этих данных третьим лицам. Что страховая компания и сделала: передала данные другим брокерам.

Как избавить себя от подобных назойливых предложений?

Для начала обратитесь к дилеру и узнайте, кому, для чего, а главное — на каком основании он предоставил ваши персональные данные.

Если информация о том, что вы сами подписали согласие на передачу своих персональных данных третьим лицам, подтвердится, можно обратиться с жалобой в Роскомнадзор. В ней нужно указать, что согласие, которое вам дал подписать дилер, не отвечает установленным законом требованиям, а именно оно не является конкретным и информированным, поскольку не содержит перечня лиц, которым вы соглашаетесь передавать свои персональные данные.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. (ст. 9 ФЗ)

Как подать жалобу:

1. Проще всего отправить жалобу через общественную электронную приемную Роскомнадзора, перейдя по ссылке https://rkn.gov.ru/treatments/ask-question/.

2. В графе «Тематика обращения» выберите «Обработка персональных данных».

3. Заполните открывшуюся форму. В основном поле — «Текст обращения» — подробно опишите ситуацию: кто, когда и каким образом нарушил ваши права на обработку персональных данных. Сделайте это без эмоций, желательно только факты.

4. Если у вас есть доказательства — скриншоты переписки или записи телефонных разговоров — обязательно приложите их. Это поможет специалистам разобраться в ситуации.

По закону Роскомнадзор обязан дать официальный ответ по истечении 30 календарных дней.

Подробнее о процессе подачи и рассмотрения жалоб государственными органами см. федеральный закон от 2 мая 2006 г. N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»

Можно ли добиться исключения себя из баз компаний, с которыми не хочешь сотрудничать?

Для этого нужно заявить об отзыве согласия на обработку ваших персональных данных, желательно всем третьим лицам, включая дилерский центр.

Способ отзыва согласия указан в самом согласии. По общему правилу это письменное заявление оператору (госорган, компания или лицо, осуществляющее обработку персональных данных), которое нужно отправить на адрес оператора по почте. На практике хорошим тоном считается приравнивание способа получения согласия к способу его отзыва: если согласие было дано в электронной форме, то и отзыв можно направить по электронной почте.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты поступления указанного отзыва (ст. 21 п. 5 ФЗ).

При этом нужно учитывать, что оператор имеет право продолжить обработку персональных данных даже без вашего согласия, если у него есть для этого основания, предусмотренные законом. Например, если обработка персональных данных нужна для выполнения договора. В нашем кейсе действующий договор страхования таким основанием является, однако использовать персональные данные в этом случае могут только страховщик и брокер.

Что делать, если после этого звонки от третьих лиц продолжатся?

Фиксируйте все эти обращения и обращайтесь с жалобой в Роскомнадзор по приведенной выше инструкции.

Можно ли добиться наказания для тех, кто допустил незаконную передачу третьим лицам персональных данных? А также для тех, кто использует полученные незаконным образом персональные данные?

Кодексом РФ об административных правонарушениях (КоАП) предусмотрен ряд штрафов за нарушение порядка обработки персональных данных. Прежде всего это ст. 13.11, в которой есть несколько составов, релевантных для нашего кейса: обработка персональных данных без согласия субъекта, необеспечение сохранности персональных данных, невыполнение законных требований субъекта персональных данных.

В некоторых случаях возможна и уголовная ответственность за правонарушения, связанные с персональными данными. Речь идет о различных преступлениях, имеющих повышенную общественную опасность, например неправомерный доступ к компьютерной информации (ст. 272 УК РФ), незаконное разглашение коммерческой тайны (ст. 183 УК РФ) и др.

Обработка персональных данных в случаях, не предусмотренных законодательством… либо обработка персональных данных, несовместимая с целями сбора персональных данных… влечет наложение административного штрафа на граждан в размере от 2 тыс. до 6 тыс. рублей; на должностных лиц — от 10 тыс. до 20 тыс. рублей; на юридических лиц — от 60 тыс. до 100 тыс. рублей. Невыполнение оператором… обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных влечет наложение административного штрафа на граждан в размере от 2  тыс. до 4 тыс. рублей; на должностных лиц — от 8 тыс. до 12 тыс. рублей; на индивидуальных предпринимателей — от 20 тыс. до 30 тыс. рублей; на юридических лиц — от 40 тыс. до 80 тыс. рублей (ст. 13.11 КоАП).

Однако на практике рядовому гражданину сложно добиться наказания ответственных за незаконную обработку его персональных данных. В первую очередь потому, что их трудно выявить. Еще сложнее проследить всю цепочку передачи персональных данных третьим лицам.

Жалоба в Роскомнадзор может привести к полноценной проверке соблюдения законодательства конкретным лицом, получившим персональные данные непосредственно от вас, но вряд ли устранит уже происшедшую утечку и ее последствия. А доказать, что звонившая или писавшая вам компания занималась незаконной обработкой ваших персональных данных, вряд ли удастся, поскольку зачастую сложно связать телефонный звонок или сообщение с конкретной организацией.

Что делать, если дилер утверждает, что никому не передавал мои персональные данные, но звонки поступают?

Запросите и внимательно изучите текст согласия, которое вы подписали. Возможно, там указано, что вы предоставляете согласие не только дилеру, но и страховым компаниям, которым нужны ваши данные для расчета стоимости полиса каско или ОСАГО.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных… 4) наименование и место нахождения оператора, сведения о лицах… которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения… (ст. 14 п. 7 ФЗ).

Далее действуйте по описанной выше схеме:

1. Отправьте всем компаниям, которым было предоставлено ваше согласие на обработку персональных данных, заявление о его отзыве.

2. Зафиксируйте вашу переписку с дилером.

3. Подайте жалобы.

Можно ли выяснить, кто знает мои персональные данные, чтобы ими можно было управлять?

Единого реестра согласий на обработку персональных данных на данный момент нет. Однако экспериментальным проектом «Цифровой профиль гражданина» предусмотрено создание перечня таких согласий, которыми сможет управлять сам гражданин через сайт госуслуг.

Вместо вывода

Если вы хотите получать меньше спама из-за утечки персональных данных, соблюдайте цифровую гигиену, внимательно читайте то, что подписываете, и блокируйте телефонные номера и адреса электронной почты, с которых вам поступает нежелательная информация.

Источник: Звонят из компаний, которым вы не давали свои контакты. Что делать? – Картина дня – Коммерсантъ (kommersant.ru)