Как я заставлял сервис стереть мои личные данные. Спойлер: было непросто, пришлось подключать Роскомнадзор
Личный лайфхак. Как обязать компанию соблюдать закон О персональных данных?
Никогда не задумывались как много данных о вас хранится в интернете? Каждый раз регистрируясь на каком-нибудь сайте вы предоставляете посторонней компании личную информацию, а также согласие на её использование. Благодаря этому компании могут проводить маркетинговые исследования, рассылать рекламу или делиться данным с партнёрами. Помимо того, что вы зачастую не знаете как используется ваша персональная информация, она может стать общедоступной в результате утечки. Поэтому важно соблюдать цифровую гигиену.
Итак, решил я заняться цифровой гигиеной и поудалять все свои данные из сервисов, которыми не пользуюсь. Копаясь в электронной почте я обнаружил, что у меня есть личный кабинет в компании по управлению активами одного крупного банка. Логинюсь я значит у них на сайте и вижу, что аккаунт никак не удалить. У них by design нет такой кнопки.
Помня, что они обрабатывают мои данные, я пишу им в поддержку с электронной почты использованной при регистрации. Прошу удалить мой аккаунт и все персональные данные. Пока в свободной форме. В ответ на следующий день они пишут, что:
в рамках почты и чата мессенджера нет возможности работать с вашими персональными данными, по этому вопросу можете обратиться в отделение банка
Ходить я никуда не собираюсь, поэтому включаю юриста и со ссылкой на п.2 ст.9 Федерального закона № 152-ФЗ официально их уведомляю об отзыве своего согласия на обработку персональных данных и требую их удаления. А также пишу о том, что их требование явиться в отделение не основано на законе. Копия письма уходит на электронную почту банка. Через неделю я в ответ получаю следующее:
Просим Вас направить официальный запрос в адрес Управляющей компании. Запрос обязательно должен содержать Ваши персональные данные.
Пробую ещё раз написать о том, что это и есть официальный запрос, он корректен, правомерен, содержит все мои реквизиты и направлен оператору, обрабатывающему мои персональные данные. Получаю ответ:
В рамках почты мы не можем Вас идентифицировать. Для предоставления официального ответа просим Вас направить официальный запрос в адрес Управляющей компании.
Другого выхода нет. Пишу обращение на сайте Роскомнадзора. Через месяц от него приходит ответ. Если коротко, он сводится к следующему:
Банк нам сообщил, что ваш запрос был принят в работу. Обработка персональных данных была прекращена. После рассмотрения обращения комиссией, Ваши персональные данные были уничтожены.
В общем РКН удовлетворил ответ банка, нарушений он не выявил и меры принимать не стал.
Выводы:
1. Я своего добился, но потратил на это несоразмерно много усилий.
2. Несмотря на возросшие суммы штрафов за нарушения, связанные с персональными данными, даже крупные компании в России не относятся к этому вопросу серьёзно. Я полагаю, что до жалобы в РКН мой запрос рассматривать вовсе не собирались. Иначе вместо того, чтобы посылать меня в офис и на две буквы (в УК), написали бы что мой запрос принят в работу, а затем что удовлетворён.
3. Оборотные штрафы творят чудеса. Сложно представить чтобы в Европе компания так обращалась с запросом на удаление персональных данных, так как ей за это грозит штраф в рамере процента от годового оборота.
Без звездюлей как без пряников