Почему нельзя распространять персональные данные тинькофф

Обновлено: 18.04.2024

Всем добрый день. Являюсь клиентом банка тинькофф долгое время, в связи с тем что виза и мастер кард ушли с нашего рынка, решила заказать карту мир от тинькофф.

Ну и решил поделиться опытом взаимодействия с Тинькофф-банком.
Далее моя же цитата из комментариев к посту

Мое взаимодействие с Тинькофф Банком началось и закончилось ровно на моменте заполнения формы на дебетовую карту. Поля заполнил, но кнопку на отправление заявки не нажал, что-то меня отвлекло, потом на банкиру почитать отзывы залез, ну и благополучно решил вкладку закрыть. А на следующий день звоночек из Тинька и вопрос - "А почему это вы не стали нашу карту заказывать?" Это означает что еще до момента нажатия кнопочки которая подтверждает твое согласие на обработку и использование персональных данных они уже передаются туда.К слову, не так давно проверял свою кредитную историю, и обнаружил там что в это же время Тинькофф ее запрашивал. Я вообще не понимаю зачем вы кушаете кактус? Банков куча есть помимо Тинька, попробуйте другие.

Ну и соответственно был получен ответ от представителя @Тинькофф

Приветствуем. Информация, которую новые клиенты указывают в электронной форме на сайте, поступает к нам лишь в виде неполной заявки на карту. Полученные данные мы используем только, чтобы уточнить в результате актуальность получения карты. Последующей обработки, передачи или иных действий не проводим.Напишите нам в личку ваши ФИО с датой рождения, чтобы мы могли проверить детали по поводу запроса кредитной истории.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Данные из неполной заявки, которую нам не подтвердили, к ним не относятся.

А теперь следите за руками.

Вы заполняете формочку ниже на получение ДЕБЕТОВОЙ карты

Но кнопочку "Оформить" не нажимаете, но все ваши данные уже передаются в Тинькофф-Банк.
А на следующий день - вы получаете звонок оттуда с вопросом, мол че карту не оформил.
Ну и в это же время жадно потирая ручки Тинькофф-банк делает запрос в БКИ и даже делает запрос на выдачу КРЕДИТНОЙ КАРТЫ

И это еще было в 2018 году, когда все говорили что Тинькофф-Банк топ, и прочее.

Так что весь тот наплыв недовольных желтым банком вполне оправдан, ведь надо еще так юлить, мол то что вы заполнили но нам не отправили - это не персональные данные, на их обработку согласие не надо, но мы заранее в БКИ залезем и даже у себя в системах проставим заявочку на кредитку.
В свою очередь не буду никого призывать ни к чему, рекламировать другие банки не буду, но на всякий случай порекомендую подумать прежде чем доверять свои деньги такой организации.

1.1. Посетитель также становится пользователем сайта Секреты Бизнеса (далее также - Сайт) в момент, когда осуществляет любые действия на Сайте, в т.ч., но не ограничиваясь: связывается с редакцией по имейлу, чтобы задать вопрос.

1.2 Пользователь соглашается, что при ответе на его вопросы редакции Секреты Бизнеса, будет указано имя пользователя, без фамилии, адреса электронной почты и других данных. Если пользователь не хочет, чтобы в ответе было его имя, об этом нужно указать при направлении вопроса в редакцию.

2. Использование персональных данных пользователей

2.1. Редакция обрабатывает и хранит только те персональные данные пользователей, которые необходимы для функционирования Сайта, в целях поддержания связи с пользователем, в том числе направления запросов и информации, касающейся использования Сайта, в целях получения информации о перемещениях пользователя на Сайте для оптимизации контента.

2.2. Редакция принимает все необходимые меры для защиты персональных данных пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Редакция предоставляет доступ к персональным данным пользователя только тем работникам, подрядчикам и агентам редакции, которым эта информация необходима для обеспечения функционирования Сайта и предоставления пользователю доступа к его использованию.

2.3. Редакция вправе использовать предоставленную пользователем информацию, в том числе персональные данные, а также передавать ее третьим лицам в целях обеспечения соблюдения требований действующего законодательства Российской Федерации, защиты прав и интересов пользователей, редакции, третьих лиц (в том числе в целях выявления, проверки/расследования и/или пресечения противоправных действий). Раскрытие предоставленной пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

3. Что нельзя делать при использовании сайта Бизнес-секретов

3.1. Использовать программное обеспечение и осуществлять действия, направленные на нарушение нормального функционирования Сайта.

3.2. Использовать без специального на то разрешения редакции автоматизированные скрипты для сбора информации на Сайте и/или взаимодействия с Сайтом и его функциями.

3.3. Совершать иные действия, которые, по мнению редакции Сайта, являются нежелательными, не соответствующими целям создания Сайта, ущемляют интересы пользователей.

4. Заключительные положения

4.1. Настоящие правила составляют соглашение между пользователем и редакцией Сайта относительно порядка использования Сайта и его функций.

4.2. Настоящие правила регулируются и толкуются в соответствии с законодательством Российской Федерации.

4.3. В случае возникновения любых споров или разногласий, связанных с исполнением настоящих правил, пользователь и редакции Сайта приложат все усилия для их разрешения путем проведения переговоров между ними. В случае если споры не будут разрешены путем переговоров, споры подлежат разрешению в порядке, установленном действующим законодательством Российской Федерации. В случае возникновения споров Стороны обращаются в Арбитражный суд по г. Москве (для юридических лиц и индивидуальных предпринимателей), в Хорошевский районный суд г. Москвы (для физических лиц).

4.4. Настоящие правила вступают в силу для пользователя с момента начала использования Сайта, и действуют в течение неопределенного срока.

4.5. Если по тем или иным причинам одно или несколько положений настоящих правил будут признаны недействительными или не имеющими юридической силы, это не оказывает влияния на действительность или применимость остальных положений.

4.6. Редакция вправе изменять настоящие правила время от времени. Продолжая пользоваться Сайтом, вы даете автоматически свое согласие на выполнение условий настоящих правил.

Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок

Ульяна Жаркова

Ульяна Жаркова

Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.

Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают про порядок работы с персональными данными, объясняют, в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.

В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.

В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.

Когда необходимо собирать согласия на обработку персональных данных

Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.

Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.

Кира Лукашина

Кира Лукашина

Мы выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:

  1. Компания собирает на сайте cookie-файлы.
  2. На сайте компании клиент может оставить контактную информацию.
  3. Компания собирает данные офлайн.

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.

Согласие на обработку персональных данных

Плашка с запросом согласия на сайте Mindbox

Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.

При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.

Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.

Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом запишет.

Способы сбора согласий на обработку персональных данных

Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.

Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.

В таблице — популярные способы сбора согласий.

Рассмотрим каждый из способов.

Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.

Форма сбора персональных данных с согласием на обработку

Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных

Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.

Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.

Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.

Код подтверждения по СМС — double-opt-in

Обычно double opt-in используют в двух каналах: e-mail и СМС

Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.

Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.

Что должно быть в согласии на обработку персональных данных

Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.

Вот примерный перечень того, что нужно указать в согласии:

Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.

Топ-5 ошибок компаний при сборе персональных данных

Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.

Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.

В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.

Форма сбора данных

Согласие клиента нужно получить в явной форме — в примере нет ни галочки, ни предупреждения, ни прямого вопроса

Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.

Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.

Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.

Галочка в согласии на обработку персональных данных

При оформлении заказа нельзя принуждать клиента к подписке на рассылки или участию в программе лояльности

В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.

Cогласие на обработку персональных данных: указываем всех, кому передаются данные

Необходимо перечислить все компании, которым вы планируете передавать персональные данные клиентов

В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.

В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.

Согласие на обработку персональных данных: образец заполнения перечня данных

Нельзя писать «включая, но не ограничиваясь» в согласии на обработку персональных данных. Список сведений должен быть точным

Как накажут бизнес, который не соблюдает правила обработки персональных данных

Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.

Размер штрафа зависит от вида нарушения.

Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.

Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.

Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.

Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.

Главное

  1. Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно? Если ответ «да», вам надо запрашивать согласие на обработку этих данных.
  2. Самые частые случаи, когда требуется согласие на обработку персональных данных: компания собирает на сайте cookie-файлы, на сайте компании клиент может оставить контактную информацию, компания собирает данные офлайн.
  3. Собирать согласия у клиентов можно любым способом и в любой форме: в законе нет установленных шаблонов и правил. На усмотрение бизнеса возможен письменный или электронный формат.
  4. Хранить согласие нужно в течение всего срока его действия — обычно это период, в течение которого планируется обработка данных, — и 3 года после.
  5. В согласии на обработку данных должны быть следующие пункты: наименование вашей компании как оператора; цели обработки персональных данных; перечень персональных данных; перечень действий с персональными данными; конкретный перечень лиц, которым могут быть переданы данные; срок действия согласия; способ, которым человек может отозвать согласие.
  6. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой способ, он может быть некорректным.
  7. Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведения проверки. Размер штрафа зависит от вида нарушения и составляет от 30 до 500 тысяч рублей за каждый случай.

Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.

В настоящей политике конфиденциальности также указаны цели, для которых может запрашиваться или разглашаться персональная информация пользователей, и основные меры предосторожности, которые должны приниматься пользователями, чтобы их персональная информация оставалась конфиденциальной.

Настоящая политика применяется к информации, которая была получена Редакцией в результате использования сайта Тинькофф Журнал его пользователями.

Этот документ — о персональных данных. Вот почему мы их собираем, кому можем передавать и как с этим жить:

1. Редакция обрабатывает и хранит только те персональные данные пользователей, что необходимы для функционирования сайта Тинькофф Журнал. То есть в целях идентификации пользователей на сайте Тинькофф Журнал, в целях поддержания связи с пользователем, в том числе направления запросов и информации, касающейся использования сайта Тинькофф Журнал, а также в целях получения информации о перемещениях пользователя на сайте Тинькофф Журнал для оптимизации Контента.

Мы собираем и храним только те персданные, что нужны для работы сайта или связи с вами

2. В настоящей политике конфиденциальности под персональными данными пользователя понимается информация, которую посетитель сайта Тинькофф Журнал самостоятельно предоставляет Редакции при создании учетной записи в соответствии с п. 1.1 правил пользования сайтом, а также при использовании сайта Тинькофф Журнал, в том числе при подписке на рассылки Тинькофф Журнала или для связи с Редакцией (адрес электронной почты). А также автоматически передаваемые данные в процессе использования сайта Тинькофф Журнал, в том числе IP-адрес , данные файлов cookie, сведения о мобильном устройстве, с которого осуществляется доступ, — но не ограничиваясь этим списком.

Конкретный перечень персональных данных пользователя, которые обрабатывает и хранит Редакция, зависит от способа авторизации пользователя на сайте. Это может быть электронная почта или телефон, а также данные, которые импортируются из учетной записи Тинькофф или Apple ID, социальных сетей «Вконтакте», «Гугл-плюс», «Твиттер», «Одноклассники»: идентификационный номер, имя, фамилия, пол, возрастной диапазон, местонахождение, временная зона, фотография и прочее.

Персданные — это информация, которую вы указываете при регистрации в Тинькофф Журнале. А еще — электронная почта, которую вы оставляете, чтобы подписаться на рассылки или связаться с редакцией

Что именно мы знаем о вас — зависит от способа авторизации на сайте. Это может быть телефон, почта, имя или фотография

3. Редакция принимает все необходимые меры для защиты персональных данных пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Редакция предоставляет доступ к персональным данным пользователя только тем работникам, подрядчикам и агентам редакции, которым эта информация необходима для обеспечения функционирования сайта Тинькофф Журнал и предоставления пользователю доступа к его использованию.

Мы делаем все, чтобы защитить ваши данные, и не сливаем их салонам красоты, школам английского языка и сомнительным фирмам

4. Редакция вправе использовать предоставленную пользователем информацию, в том числе персональные данные, а также передавать ее третьим лицам в целях обеспечения соблюдения требований действующего законодательства Российской Федерации, защиты прав и интересов пользователей, редакции, третьих лиц (в том числе в целях выявления, проверки/расследования и/или пресечения противоправных действий). Раскрытие предоставленной пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

Мы передаем персданные только работникам и подрядчикам Тинькофф Журнала и, если потребуется по закону, суду и правоохранительным органам

После регистрации мы можем присылать вам крутые полезные рассылки

6. Редакция не несет ответственности за использование третьими лицами персональных данных, размещенных пользователем самостоятельно в размещаемом им Контенте на сайте Тинькофф Журнал.

Размещая персональные данные таким образом, пользователь гарантирует, что он понимает последствия такого размещения (см. правила пользования сайтом).

Не указывайте свой номер телефона и тем более паспортные данные в комментариях. В анкетах и формах мы просим указывать данные, которые нужны для статистики, — по ним вас нельзя идентифицировать, это безопасно. Но если переживаете, можете создать аккаунт под псевдонимом

Контент, ранее размещенный пользователем на сайте Тинькофф Журнал, Редакция не удаляет. После удаления учетной записи Контент остается опубликованным на сайте Тинькофф Журнал без возможности идентифицировать пользователя, который его разместил. Восстановление учетной записи и ее связь с ранее опубликованным Контентом невозможны.

Если хотите удалить свой аккаунт в Тинькофф Журнале, напишите нам

На это нам нужно время — максимум месяц. Пока мы не удалили аккаунт, вы можете передумать и остаться с нами

Мы удалим ваш аккаунт в журнале и все персданные. Но комментарии и уже размещенные на сайте материалы останутся. Не переживайте: никто не узнает, что их писали вы

Если передумаете и захотите вернуться в Тинькофф Журнал, восстановить старый аккаунт не получится. Вы станете уже новым пользователем сайта — мы не сможем опубликовать старые комментарии и статьи от вашего нового имени

Юлия Лищенко, руководитель направления банковского контента Банки.ру

Кредитные организации являются операторами персональных данных. Для клиента это значит, что они имеют право собирать и обрабатывать личную информацию о нем, например, для заключения и исполнения кредитного договора. Такие действия с личной информацией возможны только с согласия клиента. Клиент может «согласиться», поставив галочку в бумажном договоре, электронной форме или даже — сюрприз-сюрприз! — просто изучая информацию на сайте.

Последний вариант реализовал на своем веб-ресурсе, в частности, СберБанк. Он предупреждает посетителей, что при работе с сайтом они автоматически дают банку согласие на обработку своих персональных данных. Конечно, перечень данных, к которым банк в этом случае получит доступ, будет ограниченным и обезличенным, но в дальнейшем они могут быть использованы для дополнения цифрового профиля пользователя.

Финансовые организации любят включать текст соглашения на обработку и использование персональных данных в другие документы, что не позволяет ограничить использование этих сведений: отказываясь делиться своими персональными данными, клиент фактически отказывается от услуги.

«Часто в банках вы не получаете договор или соглашение на руки, а просто принимаете оферту, даете свое согласие на присоединение к общим условиям, а там вы всё автоматически разрешаете. Конечно, это несправедливо, особенно по отношению к социально значимому населению», — считает председатель правления потребительского кооператива «Инвестиционный капитал» Андрей Каредин.

Обычно организации запрашивают у клиентов следующие сведения: пол, возраст, семейное положение, e-mail и т. п., но это лишь видимая часть айсберга, считает основатель DBX Digital Ecosystem Игорь Захаров. Помимо этих сведений, финансовые организации фиксируют и анализируют и другую информацию: время и длительность активности пользователей на сайте и в личном кабинете (оценивается системами CRM и сервисами веб-аналитики), операции по счетам, направления движения средств, назначения переводов и платежей и др.

Можно ли отозвать согласие на обработку персональных данных?

Кому и зачем банки передают наши персональные данные

Финансовые организации собирают и используют наши персональные данные непосредственно для заключения и исполнения договора и для собственных нужд, например в рекламных целях. По мнению Андрея Каредина, особенно этим грешат крупные игроки, имеющие собственные экосистемы. «Получается уже фактически спамерская атака, вот ЦБ и Роскомнадзор и вмешиваются», — отмечает Каредин.

Помимо этого, в рамках своих бизнес-процессов банки могут передавать личную информацию о клиентах другим организациям. Как правило, это бюро кредитных историй, страховые компании, операторы связи, коллекторские агентства и партнеры банка.

Причина, по которой личная информация так свободно передается организациям, не имеющим прямого отношения к банковской деятельности, — в размытости формулировок, которые кредитные организации зачастую используют в соглашениях о передаче и использовании персональных данных.

«В настоящее время на практике кредитные организации включают максимально расплывчатые и широкие формулировки, касающиеся обработки персональных данных клиентов, что позволяет им передавать эти данные достаточно широкому кругу лиц, напрямую никак не связанных с банковской деятельностью. Такая информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после фактического прекращения кредитных отношений между банком и клиентом», — поясняет партнер коллегии адвокатов Pen & Paper Сергей Учитель.

Что рекомендуют ЦБ и Роскомнадзор

В начале августа Центробанк и Роскомнадзор опубликовали совместное письмо, в котором рекомендовали финансовым организациям изменить подход к обработке персональных данных клиентов. Регуляторы считают, что банкам следует запрашивать у клиентов отдельное согласие в отношении каждого оператора, которому могут передаваться их персональные данные, включая биометрические. Помимо этого, в документах стоит указывать конкретную дату или период времени, в течение которых допускается обработка персональных данных, без возможности автоматической пролонгации этого срока. При этом обрабатывать данные, согласно закону, значит в том числе собирать, хранить и передавать их.

Роскомнадзор совместно с Банком России напоминает, что обработка персональных данных должна ограничиваться достижением заранее определенных целей, например исполнением обязательств по кредитному договору.

Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама

Стандартный текст заявления о согласии на обработку персональных данных обычно содержит формулировку, разрешающую передавать данные другим организациям. При этом большинство банков не утруждает себя перечислением этих организаций, отделываясь упоминанием загадочных «третьих лиц» или «партнеров». Что это значит на практике, большинство из нас знает на личном опыте: порой стоит один раз дать такое согласие, как на следующий день по «случайному» стечению обстоятельств телефон начинают обрывать эти самые «третьи лица» с предложениями взять кредит, подключить новый тариф сотовой связи или оформить страховку.

Конечно, исполнение рекомендаций регуляторов вряд ли полностью избавило бы нас от партнерского спама, однако необходимость получать от клиентов согласие на передачу их персональных данных каждому возможному партнеру, безусловно, существенно снизила бы энтузиазм финансовых организаций в части распространения этой информации. Кроме того, такая мера помогла бы сузить «круг подозреваемых» в поиске источников утечек личных данных, а заодно и вероятность таких утечек.

Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора

Комментируемые рекомендации, изданные в виде информационного письма, не являются нормативным актом ЦБ РФ, имеющим общеобязательный характер и содержащий норму права, поясняет Сергей Учитель. Но необходимо принять во внимание, что рекомендации исходят от главного регулятора банковского сектора, что влечет необходимость для кредитных организаций следовать этим рекомендациям или как минимум учитывать их в своей работе и в разрабатываемых внутренних документах, регламентах и процедурах. Нередко участники банковского сектора России придерживаются позиции, что издаваемые Центробанком рекомендации, комментарии и ответы на наиболее часто встречающиеся вопросы с точки зрения правового значения все равно имеют «силу закона».

Письмо носит рекомендательный характер, однако уже большинство финансовых учреждений могло убедиться по опыту, что отказ следовать рекомендациям регулятора в последующем приводит к более серьезным мерам, добавляет инвестиционный советник ООО «ПФО Холдинг» Руслан Исмаилов.

При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.

Кто должен отвечать за безопасность персональных данных

Согласно федеральному закону № 152-ФЗ, кредитная организация является оператором персональных данных и непосредственно несет перед клиентами ответственность за сохранность этих данных.

«Оператор персональных данных вправе поручить обработку данных другому лицу. Это делается на основании договора, в котором должны быть предусмотрены объемы передаваемых сведений, перечень действий с ними и прочее. При этом важно учитывать, что ответственной перед заемщиком за любые действия с личной информацией остается кредитная организация», — разъясняет Сергей Учитель.

Другой вопрос — как доказать, что в утечке данных виноват конкретный банк? «В 2020 году Центробанк заблокировал более 25 тысяч мошеннических телефонных номеров, — отмечает Исмаилов. — Тут мы имеем четкое понимание, что базы для обзвона формируются путем «слива» персональных данных из финансовых учреждений. Из федерального закона № 152-ФЗ следует, что максимальный срок хранения сведений, имеющихся в тех же самых банках, четко не определен, но в основном данные должны храниться на протяжении пяти лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет».

На вопрос Банки.ру о том, как и кому передаются персональные данные клиентов, СберБанк, МКБ, Россельхозбанк, Газпромбанк и УБРиР ответили, что обрабатывают эти данные в соответствии с положениями федерального закона № 152-ФЗ. Другие опрошенные нами банки воздержались от комментариев.

\n \n\t\t\t \n\t\t\t \n\t\t \n\t","content":"\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: