Каждый раз обращаясь в банк, независимо от причины – открытие банковского депозита, выполнение платежных операций, клиент должен предоставить много личных данных.
К информации, которую требует предоставлять банк, относятся не только паспортные данные, но и контакты ближайших родственников, друзей, которые часто должны играть роль поручителей.
Но не каждый человек задумывается о том, что же происходит с этими сведениями в дальнейшем, будет ли нести банковское учреждение какую-либо ответственность за их хранение и неразглашение, а также каким способом обрабатываются персональные данные (ПДн) в банке.
Какая информация относится к личным данным
ФЗ № 152 «О персональных данных» характеризует ПДн как любую информацию, относящуюся к конкретному лицу или субъекту, которого можно по этим данным идентифицировать:
- ФИО;
- дата рождения;
- домашний адрес;
- семейное положение;
- доходы;
- образование;
- социальное положение;
- полученное образование;
- профессия и др.
Практически все банки во время оформления договорных отношений с клиентом запрашивают у него личную информацию, подтверждающую его платежеспособность.
Стандартными данными для банков считаются ФИО, сведения о рождении, прописка, паспортные данные, телефонный номер.
Если запрашиваются контактные сведения родственников, друзей, банк таким образом проверяет клиента и нуждается в контактах, которые позволят связаться с ним, если напрямую его найти не получается.
Клиент банка наделен правом отказа от предоставления контактов родственников и друзей. Это никак не должно повлиять на принятие банком решения об удовлетворении заявки на обслуживание.
Обязательно при оформлении займов клиента заемщика фотографируют.
Фото также делают при оформлении банковских карт, что позволяет идентифицировать его и повысить безопасность сделки (если, к примеру, паспорт заемщика похищен).
Фото и заполненная анкета клиента – это также сведения, которые относятся к личной информации. Банковское учреждение имеет право требовать ПДн клиента с целью проверки его надежности и возможности расплатиться по взятому кредиту.
Обработка персональных данных в банке
Во время предоставления данных гражданином ПДн банк должен предложить ему заполнить согласие на обработку его персональных данных.
Это согласие заключается в предоставлении права финансовому учреждению выполнять любые действия с переданными клиентом личными сведениями, но только в рамках действующего в РФ законодательства.
Такой документ представляет собой гарантию защиты ПДн от неправомерных действий, их применения только для конкретно ограниченных целей.
Обработкой данных считаются действия по:
- сбору сведений о клиенте;
- их записи;
- систематизации;
- накоплению;
- хранению с обновлением, изменением, уточнением;
- извлечению;
- применению;
- обезличиванию;
- удалению;
- полному уничтожению.
Банковское учреждение может использовать ПДн, если клиенту нужна какая-либо информация, как по его требованию, так и по инициативе банка.
Клиент имеет право требовать удалить свои данные, если он разрывает договорные отношения с этим финучреждением. Хранить информацию личного характера банк может до окончания срока, регламентированного законом о ПДн № 152 (Ст. 5).
Закон не устанавливает максимальный срок хранения сведений, имеющихся в банке, но в основном они должны храниться на протяжении 5 лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет.
Нарушения при обработке ПДн в банковской сфере
Основными нарушениями, которые допускаются в секторе предоставления банковских услуг, являются:
- несоблюдение требований обеспечения сохранности личной информации и ее конфиденциальности;
- излишняя обработка ПДн;
- обработка личных сведений, не соответствующая заявленным целям;
- нарушения при оформлении согласия на обработку ПДн с субъектом.
Обеспечение правильности обработки ПДн в банковских учреждениях
Законодательство не содержит перечня нормативных актов обязательного характера, которые должны быть составлены в банке или в других организациях, чтобы регулировать процесс обработки ПДн. Но базовые документы по организации защиты персональных сведений должны быть разработаны и внедрены в банковских учреждениях. К этим документам относят:
- Политику по обработке ПДн.
- Положение о защите персональной информации сотрудников организации.
- Положение о защите персональной информации потребителей.
Политика обработки ПДн является обязательным документом в банковском учреждении. Эта норма прописана в статье 18.1 Закона № 152. В соответствии с рекомендациями Роскомнадзора, в этом документе должны содержаться разделы с описанием целей, правовых оснований объема и категорий обрабатываемых персональных сведений.
Важно в Политике описать порядок и условия обработки, а также порядок реагирования на запросы клиентов по вопросам обработки ПДн. Обязательно указываются способы изменения, удаления и блокирования этой информации.
Большинство финучреждений оформляют отдельные регламенты по обработке ПДн заемщиков, страхователей с отражением основных спорных моментов, исходя из банковской практики.
Кроме того, банки должны разрабатывать другие внутренние документы:
- должностную инструкцию для лица, ответственного за обработку ПДн в финучреждении;
- список информсистем, используемых для обработки персональной информации;
- схему доступа в комнаты, в которых установлены серверы, обрабатывающие ПДн, с указанием фамилий и должностей сотрудников, имеющих доступ в эти помещения;
- схему доступа в информсистемы, выполняющие обработку ПДн, с перечнем лиц, которым дозволен доступ;
- моделирование ситуаций с угрозами безопасности ПДн во время их обработки в информсистемах персональной информации.
Банковской организации нужно также иметь подписанные гендиректором или другим уполномоченным лицом приказы о назначении лиц, ответственных за обработку в компании персональных данных.
Как отозвать согласие на обработку персональных данных
Клиент может в любой момент подать заявление об отзыве своих ПДн у банка. Кроме того, согласие можно аннулировать в следующих случаях:
- если обязательства перед банком полностью погашены, но предложения и рассылки от банка продолжают активно поступать на e-mail, телефон;
- если есть задолженность по кредиту, которую банк собирается передать коллекторам;
- в случае смены места проживания и работы.
Заявление на отзыв согласия на обработку персональных данных не имеет строгой формы, но есть определенные требования, которым оно должно соответствовать:
- в шапке бланка должно быть указано название банковской организации и ее реквизиты с адресом;
- ниже – информация о клиенте, от имени которого составляется заявление;
- название этого документа (заявление);
- текст желательно дополнять нормами закона (ФЗ-№ 152, ст. 9, п. 2), с указанием причины отзыва ПДн;
- в нижней части листа нужно указывать контакты, подпись заявителя с ее расшифровкой и дату подачи этого документа.
Заявление может быть передано лично или отправлено по почте по адресу отделения, в котором клиент обслуживается, а также на юридический адрес банковской организации. Чтобы заявление было быстрее рассмотрено, нужно приложить к нему копию страниц паспорта и договора. При самостоятельном посещении банка с заявлением нужно предъявить свой паспорт.
Если у заявителя есть кредит в банке, финучреждение не имеет права на разглашение данных клиента, но наделено правом их изменять, обрабатывать в течение действия кредитного договора. Отозвать свои персональные данные в этом случае нельзя, но разрешается обратиться в банк и попросить, чтобы ПДн не передавались коллекторам.
Разглашение третьим лицам
Закон о персональных данных, в частности его 7-я статья, гласит, что лица, которые получили доступ к личной информации граждан, не имеют права на ее передачу третьим лицам. Также у них нет прав на распространение персональных сведений без получения личного разрешения клиента банка.
При передаче долга коллекторской службе банку нужно раскрыть также и персональные данные должника. Такие действия кредитора являются незаконными. В этом случае наступает ответственность за эти действия. Например, банк должен будет возместить моральный ущерб клиенту.
Если в договоре кредитования есть условия о предоставлении банку права передачи долга третьим лицам – коллекторскому агентству, тогда действия банка нельзя считать противозаконными. Согласие должника при этом не нужно получать.
Правомерной передача сведений третьим лицам будет в случае, если есть судебное решение на взыскание с клиента банка долга по оформленному кредитному договору. Это требование изложено в статье 44 ч. 1 ГПК РФ.
Любые персональные сведения, предоставляемые клиентами банкам и другим официальным учреждениям, чрезвычайно ценные. Поэтому вопрос их безопасности, хранения и передачи стоит очень остро.
В связи с участившимся мошенничеством, ошибками граждан в вопросе предоставления ПДн при обращении в банки, ошибками операторов во время работы с персональной информацией сторонам важно знать требования законодательства и соблюдать их.
Заемщик вправе решать, кому доступны его персональные данные, считают в ЦБ. Что теперь изменится?
ЦБ и Роскомнадзор рекомендуют банкам изменить подход к обработке персональных данных клиентов. Помогут ли регуляторы ограничить передачу данных третьим лицам и снизить риск утечек?
Как сейчас банки используют наши персональные данные и почему мы на это соглашаемся
Кредитные организации являются операторами персональных данных. Для клиента это значит, что они имеют право собирать и обрабатывать личную информацию о нем, например, для заключения и исполнения кредитного договора.
Такие действия с личной информацией возможны только с согласия клиента. Клиент может «согласиться», поставив галочку в бумажном договоре, электронной форме или даже — сюрприз-сюрприз! — просто изучая информацию на сайте.
Последний вариант реализовал на своем веб-ресурсе, в частности, СберБанк.
Он предупреждает посетителей, что при работе с сайтом они автоматически дают банку согласие на обработку своих персональных данных.
Конечно, перечень данных, к которым банк в этом случае получит доступ, будет ограниченным и обезличенным, но в дальнейшем они могут быть использованы для дополнения цифрового профиля пользователя.
Финансовые организации любят включать текст соглашения на обработку и использование персональных данных в другие документы, что не позволяет ограничить использование этих сведений: отказываясь делиться своими персональными данными, клиент фактически отказывается от услуги.
«Часто в банках вы не получаете договор или соглашение на руки, а просто принимаете оферту, даете свое согласие на присоединение к общим условиям, а там вы всё автоматически разрешаете. Конечно, это несправедливо, особенно по отношению к социально значимому населению», — считает председатель правления потребительского кооператива «Инвестиционный капитал» Андрей Каредин.
Обычно организации запрашивают у клиентов следующие сведения: пол, возраст, семейное положение, e-mail и т. п., но это лишь видимая часть айсберга, считает основатель DBX Digital Ecosystem Игорь Захаров.
Помимо этих сведений, финансовые организации фиксируют и анализируют и другую информацию: время и длительность активности пользователей на сайте и в личном кабинете (оценивается системами CRM и сервисами веб-аналитики), операции по счетам, направления движения средств, назначения переводов и платежей и др.
В силу федерального закона № 152-ФЗ субъект персональных данных имеет право в любой момент ограничить как перечень операторов, которым могут передаваться сведения о нем, так и состав таких сведений. Кроме того, клиент может в любой момент отозвать свое согласие на их обработку — для этого достаточно направить в организацию соответствующее заявление в свободной форме.
Кому и зачем банки передают наши персональные данные
Финансовые организации собирают и используют наши персональные данные непосредственно для заключения и исполнения договора и для собственных нужд, например в рекламных целях. По мнению Андрея Каредина, особенно этим грешат крупные игроки, имеющие собственные экосистемы. «Получается уже фактически спамерская атака, вот ЦБ и Роскомнадзор и вмешиваются», — отмечает Каредин.
Помимо этого, в рамках своих бизнес-процессов банки могут передавать личную информацию о клиентах другим организациям. Как правило, это бюро кредитных историй, страховые компании, операторы связи, коллекторские агентства и партнеры банка.
Причина, по которой личная информация так свободно передается организациям, не имеющим прямого отношения к банковской деятельности, — в размытости формулировок, которые кредитные организации зачастую используют в соглашениях о передаче и использовании персональных данных.
«В настоящее время на практике кредитные организации включают максимально расплывчатые и широкие формулировки, касающиеся обработки персональных данных клиентов, что позволяет им передавать эти данные достаточно широкому кругу лиц, напрямую никак не связанных с банковской деятельностью.
Такая информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после фактического прекращения кредитных отношений между банком и клиентом», — поясняет партнер коллегии адвокатов Pen & Paper Сергей Учитель.
Что рекомендуют ЦБ и Роскомнадзор
В начале августа Центробанк и Роскомнадзор опубликовали совместное письмо, в котором рекомендовали финансовым организациям изменить подход к обработке персональных данных клиентов.
Регуляторы считают, что банкам следует запрашивать у клиентов отдельное согласие в отношении каждого оператора, которому могут передаваться их персональные данные, включая биометрические.
Помимо этого, в документах стоит указывать конкретную дату или период времени, в течение которых допускается обработка персональных данных, без возможности автоматической пролонгации этого срока. При этом обрабатывать данные, согласно закону, значит в том числе собирать, хранить и передавать их.
Роскомнадзор совместно с Банком России напоминает, что обработка персональных данных должна ограничиваться достижением заранее определенных целей, например исполнением обязательств по кредитному договору.
Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама
Стандартный текст заявления о согласии на обработку персональных данных обычно содержит формулировку, разрешающую передавать данные другим организациям. При этом большинство банков не утруждает себя перечислением этих организаций, отделываясь упоминанием загадочных «третьих лиц» или «партнеров».
Что это значит на практике, большинство из нас знает на личном опыте: порой стоит один раз дать такое согласие, как на следующий день по «случайному» стечению обстоятельств телефон начинают обрывать эти самые «третьи лица» с предложениями взять кредит, подключить новый тариф сотовой связи или оформить страховку.
Конечно, исполнение рекомендаций регуляторов вряд ли полностью избавило бы нас от партнерского спама, однако необходимость получать от клиентов согласие на передачу их персональных данных каждому возможному партнеру, безусловно, существенно снизила бы энтузиазм финансовых организаций в части распространения этой информации. Кроме того, такая мера помогла бы сузить «круг подозреваемых» в поиске источников утечек личных данных, а заодно и вероятность таких утечек.
Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора
Комментируемые рекомендации, изданные в виде информационного письма, не являются нормативным актом ЦБ РФ, имеющим общеобязательный характер и содержащий норму права, поясняет Сергей Учитель.
Но необходимо принять во внимание, что рекомендации исходят от главного регулятора банковского сектора, что влечет необходимость для кредитных организаций следовать этим рекомендациям или как минимум учитывать их в своей работе и в разрабатываемых внутренних документах, регламентах и процедурах.
Нередко участники банковского сектора России придерживаются позиции, что издаваемые Центробанком рекомендации, комментарии и ответы на наиболее часто встречающиеся вопросы с точки зрения правового значения все равно имеют «силу закона».
Письмо носит рекомендательный характер, однако уже большинство финансовых учреждений могло убедиться по опыту, что отказ следовать рекомендациям регулятора в последующем приводит к более серьезным мерам, добавляет инвестиционный советник ООО «ПФО Холдинг» Руслан Исмаилов.
При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.
Кто должен отвечать за безопасность персональных данных
Согласно федеральному закону № 152-ФЗ, кредитная организация является оператором персональных данных и непосредственно несет перед клиентами ответственность за сохранность этих данных.
«Оператор персональных данных вправе поручить обработку данных другому лицу. Это делается на основании договора, в котором должны быть предусмотрены объемы передаваемых сведений, перечень действий с ними и прочее. При этом важно учитывать, что ответственной перед заемщиком за любые действия с личной информацией остается кредитная организация», — разъясняет Сергей Учитель.
Другой вопрос — как доказать, что в утечке данных виноват конкретный банк? «В 2020 году Центробанк заблокировал более 25 тысяч мошеннических телефонных номеров, — отмечает Исмаилов.
— Тут мы имеем четкое понимание, что базы для обзвона формируются путем «слива» персональных данных из финансовых учреждений.
Из федерального закона № 152-ФЗ следует, что максимальный срок хранения сведений, имеющихся в тех же самых банках, четко не определен, но в основном данные должны храниться на протяжении пяти лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет».
На вопрос Банки.ру о том, как и кому передаются персональные данные клиентов, СберБанк, МКБ, Россельхозбанк, Газпромбанк и УБРиР ответили, что обрабатывают эти данные в соответствии с положениями федерального закона № 152-ФЗ. Другие опрошенные нами банки воздержались от комментариев.
Юлия КРИВОШЕЕВА, Banki.ru
Персональные банковские данные клиента: зачем они нужны и можно ли запретить их использовать
- Главная
- Советы
- Советы по финансовым услугам
Вы обращаетесь в финансовую организацию, чтобы завести кредитку, открыть депозит или подать заявку на ипотеку, но сотрудники обязательно попросят подписать согласие на обработку персональных данных в банке. Заполняя бланк невольно приходят мысли: зачем нужен подобный документ и не попадет ли информация в руки мошенников. Расскажем, как устроена система хранения и обработки личных данных и что будет, если не подписывать такую бумагу.
Что такое персональные данные, зачем они банку
27 июля 2006 года в России вступил в силу Закон о персональных данных. Его цель — обеспечить каждому гражданину право на неприкосновенность личной жизни. Нормативный документ регламентирует, как именно нужно хранить банковские данные клиента. За нарушение правил работы предусмотрен штраф — до 18 млн рублей.
В перечень персональных данных клиента входят :
- ФИО человека;
- место и дата рождения;
- адрес постоянной или временной прописки;
- фотография;
- телефон и электронная почта;
- сведения о членах семьи;
- информация о зарплате;
- материалы о судимости или ее отсутствии;
- серии и номера личных документов;
- биометрические данные (отпечатки пальцев, рисунок сетчатки глаза, запись звука голоса).
Финансовой организации персональные данные клиентов необходимы для получения представления о гражданине. Оценить, насколько он благонадежен, подходит ли для сотрудничества.
Вы решили немного схитрить и указать неверный телефон или электронную почту, чтобы избежать рекламных рассылок? Банк узнает об обмане и уровень доверия снизится. Это может негативно повлиять на дальнейшую работу с вами.
Как банк хранит и обрабатывает сведения
Все данные о клиенте поступают в единую базу. Передавать их третьим лицам без согласия человека запрещена законом. Под обработкой информации понимают любые действия, которые совершают сотрудники финансовой организации: сбор, запись, изменение, анализ.
Операторы, имеющие доступ к таким сведениям, обязаны сохранять секретность. Но в Роскомнадзор регулярно поступают жалобы о нарушении конфиденциальности. Недобросовестные сотрудники передают или продают банковские данные клиента коллекторским агентствам или другим заинтересованным лицам.
За подобные правонарушения предусмотрено наказание — до 20 тыс. рублей для должностных лиц.
В то же время неразглашение персональных данных клиентов не касается ситуаций, когда сведения нужны правоохранительным органам. Такое бывает, если гражданина подозревают в коррупции, отмывании денег или других преступлениях, связанных с незаконным обогащением.
Можно ли не подписывать согласие на обработку данных
Закон гласит: человек добровольно выбирает, разрешать кредитной компании использовать сведения о нем или нет. Но как это выглядит на практике? Все зависит от внутренней политики банка. Финансовая организация вправе отказать клиенту в кредите, если он не подпишет согласие. А гражданин так и не узнает реальной причины отклонения заявки: банк её не озвучивает.
Вы уже давно пользуетесь услугами учреждения, и сейчас захотели отозвать согласие на обработку своих данных? Напишите заявление на имя руководства банка. Его рассмотрят в течение 30 дней. На почту придет письмо, что сведения удалили из базы. Это обязаны делать по первому требованию частного лица.
Хотите оставить комментарий? Для начала зарегистрируйтесь. Как получить справку 2-НДФЛ через Госуслуги: пошаговая инструкция
В 2021 году форма 2-НДФЛ перестала действовать как самостоятельный документ и превратилась в приложение к годовому расчету 6-НДФЛ. Теперь справку 2-НДФЛ выдает не только бухгалтерия предприятия, но и автоматически формирует портал Госуслуг. Расскажем, как получить справку через Госуслуги, и объясним, в каких государственных органах примут такую бумагу.
Зачем нужна справка 2-НДФЛ Россияне, оформленные по трудовому договору, обязаны отчислять в казну ежемесячно 13% от зарплаты. Справка 2-НДФЛ нужна для подтверждения размера официальных доходов и величины удержанного налога. Работодатель отправляет в ФНС данные по каждому сотруднику. Налоговая видит, где трудится гражданин, какая у него зарплата, сколько он заплатил НДФЛ.
Чаще всего справку 2-НДФЛ берут при оформлении налогового вычета за покупку квартиры, оплату учебы, лечения, посещения спортивных секций. Такой документ требуют и в банке, когда гражданин подает заявку на кредит.
Собираете бумаги на социальные пособия? Или хотите подтвердить, что дорогую покупку оплатили честно заработанными деньгами? Представьте по месту требования справку 2-НДФЛ: в ней отражены все нужные сведения. Справка 2-НДФЛ через Госуслуги: как сформировать и распечатать Главное условие успешного запроса аккаунт на Госуслугах должен быть подтвержден.
Если вы уже посещали МФЦ и подтверждали личность, проблем не возникнет. Личный кабинет пока зарегистрирован не полностью? Обратитесь в МФЦ с паспортом. Предлагаем пошаговую инструкцию, как получить справку 2-НДФЛ на Госуслугах: Зайдите в аккаунт. Введите в поисковой строке запрос 2-НДФЛ;. Бот выдаст несколько вариантов, выберите Заказать справку 2-НДФЛ;.
Появится окно с вашими данными, проверьте их правильность. Выберите период, за который хотите взять справку (по состоянию на март 2022 года система выдает документы за 2020 год и ранее). Подтвердите адрес электронной почты. Дождитесь ответа (его присылают в течение суток). Услугу оказывают бесплатно, независимо от количества обращений.
Справку можно открыть на компьютере для просмотра, скачать на диск или сразу отправить по электронной почте. Справка 2-НДФЛ, полученная через Госуслуги, официальный документ, заверенный электронной подписью налоговой. Его нельзя подделать: достоверность проверяет специальный сервис. Справку примут по месту требования.
Нужна справка 2-НДФЛ за предыдущие 2 или 3 года? На каждый документ придется подать отдельный запрос. Обратите внимание: данные по сотрудникам работодатель передает не сразу, а по истечении отчетного периода. То есть справку выдают по итогам календарного года: в 2022 году можно получить документ за полный 2021 год и так далее.
Причем данные добавляют с задержкой: в марте 2022 года отчетов по предыдущему году в системе пока нет. Оформляете кредит и 2-НДФЛ необходима для подтверждения доходов? Банки обычно просят справки за последние 3 или 6 месяцев. Поэтому электронный документ может содержать немного устаревшие сведения. В таком случае лучше взять справку по старинке в бухгалтерии предприятия.
Работодатель обязан выдать документ не позднее, чем через 3 рабочих дня с момента обращения. Иногда на почту приходит письмо с отказом в выдаче справки 2-НДФЛ через Госуслуги. Это связано с тем, что работодатель не подал своевременно данные по сотрудникам и в базе налоговой нет информации о ваших доходах за истекший период. Обратитесь за разъяснениями в бухгалтерию предприятия.
В России снижается производство автомобилей
Отечественным заводам не хватает комплектующих. Приостановить производство из-за проблем с поставками вынужден АвтоВАЗ. Из-за иностранных санкций в адрес России автопроизводители столкнулись с дефицитом деталей.
Нарушение логистических цепочек и отказ ряда компаний работать с российским рынком привели к тому, что даже машины с высокой локализацией выпускать с конвейера сегодня невозможно.
Крупнейший производитель страны АвтоВАЗ отправил большую часть сотрудников в преждевременный корпоративный отпуск в апреле, а после планирует перейти на четырехдневную рабочую неделю. Чтобы избежать простоев, компания работает над новыми версиями Lada, которые не будут зависеть от деталей западных производителей.
Об этом сообщила пресс-служба компании. Отказаться придется от электронной системы динамической стабилизации, антиблокировочной системы, а также АКПП. Подушки безопасности заменят на другую модель. Большую часть электронных комплектующих завод получал от Bosch, но немецкие производители отказались от поставок с марта 2022 года.
Отдельные виды электроники изготавливает российская компания Итэлма. Но импортные компоненты требуются даже им, а поставки все еще не восстановлены. Сейчас российские производители автомобилей, легковых и грузовых, заняты поиском альтернативных решений. Замену комплектующих могут обеспечить заводы Азии, и в первую очередь ; Китая. Источник: пресс-служба АвтоВАЗа.
Публикации
Скачать файл
| Файл добавлен | 18.12.2017 |
| Презентация | .pdf (291 Кб) |
I. Введение
Тема регулирования и защиты персональных данных с каждым годом становится все актуальнее, сохраняя при этом определенную долю специфики в зависимости от направления деятельности оператора персональных данных. Своеобразие проблем, пробелов в регулировании персональных данных и возникающих в связи с этим споров существует и в банковской отрасли.
Наиболее ярким примером нарушений в банковской отрасли могут служить случаи утечки баз данных, содержащих персональные данные субъектов, а также участившиеся случаи несанкционированной передачи персональных данных со стороны финансовых организаций третьим лицам.
В последнем случае типичной иллюстрацией может служить практика передачи кредитной организацией информации о задолженности и должнике коллекторским агентствам. Так, Федеральный закон «О потребительском кредите (займе)»[1] допускает передачу персональных данных заемщика и лиц, выступивших поручителями, третьим лицам при уступке прав (требований) по договору потребительского кредита (займа).
Однако несмотря на обязанность соблюдения законодательства о персональных данных, кредитные организации нередко оставляют их без внимания и передают данные заемщика третьим лицам без получения согласия субъекта персональных данных на такую передачу.
С появлением законодательства[2], регулирующего деятельность по возврату просроченной задолженности, требования к коллекторским агентствам стали жестче, однако все еще есть сомнения, что специальный закон сможет в один момент устранить все проблемы с персональными данными.
Стоит отметить, что в области соблюдения законодательства о персональных данных бизнесом положительная статистика все же просматривается. Так, статистика штрафов, назначенных Роскомнадзором по итогам проверок, снизилась с 10,5 млн рублей в 2015 году до 6 млн в 2016 году.
Количество выявленных нарушений по сравнению с 2014 и 2015 гг. и выданных Роскомнадзором предписаний также снизилось, что свидетельствует о том, что бизнес-сообщество стало приспосабливаться к более жестким требованиям законодательства о персональных данных.
Скорее всего такая тенденция сохранится и в будущем, учитывая поправки в КоАП РФ[3] (ст. 13.11), вступившие в силу 1 июля 2017 г.
, с принятием которых были внесены существенные изменения в положения, устанавливающие ответственность за нарушение законодательства в области персональных данных.
Тем не менее, несмотря на общую положительную тенденцию, на конец 2016 года наибольшее количество жалоб граждан поступило на действия кредитных учреждений (преимущественно на действия, связанные с передачей персональных данных без их согласия), что в первую очередь, связано с обработкой ими персональных данных значительного числа граждан.
В настоящей статье будет дан практический обзор основных нарушений в области персональных данных, наиболее характерных для банковской сферы, и предложены методы регулирования внутренних процессов обработки персональных данных. В завершении будет представлен ряд рекомендаций практической направленности, как для бизнеса в банковском секторе, так и в отношении субъектов персональных данных.
II. Основные понятия и применимое законодательство
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных.
При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано.
Без него операторы1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие.
Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях.
Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
- если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами.
Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см.
, к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку.
Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации.
Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными.
Как минимум это бесконечные звонки из разных организаций.
Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
- подтверждение факта обработки персональных данных оператором;
- правовые основания обработки данных;
- цели и применяемые оператором способы обработки данных;
- наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
- обрабатываемые персональные данные и источник их получения;
- сроки обработки данных, в том числе сроки их хранения;
- информация об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).
