И какие согласия не стоит подписывать. Доброго времени суток, Хабр! Эта статья родилась совершенно спонтанно из такой вот истории. Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно. Текст согласия начинается со слов:Согласие дается мною для целей заключения с Банком любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Банком услугах и распространяется на следующую информацию: фамилия, имя, отчество… и любая иная информация, относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Банку (далее — «Персональные данные») Здесь прекрасно все. Даю свое согласие на обработку любых персональных данных с любыми целями. Ага, щас. Вот что нам говорит об этом федеральный закон №152-ФЗ «О персональных данных»: ч. 2 статьи 5: 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Разжевывать не буду. На Хабре люди умные, сами понимаете какие тут коллизии формулировок согласия и закона. А еще немного заставила потупить фраза «любой конкретный момент времени». Хотя может с этой конструкцией и все нормально, если есть филологи, добро пожаловать в комментарии. Едем дальше. Текст согласия (орфография и пунктуация сохранены):Настоящее согласие действует в течении 5 (пяти) лет после истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации и договорными отношениями, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия. Мне жаль огорчать Банк, но согласие в соответствии с частью 2 статьи 9 все того же закона «О персональных данных» может быть отозвано в любой момент. Да и вообще что за бред — согласие может быть отозвано только после завершения срока действия согласия? Далее идет абзац о действиях, которые можно совершать с моими персональными данными. Я даже не буду приводить оттуда цитату. Думаю итак понятно, что действия могут совершаться любые. Ну и последний абзац тоже шедеврален (орфография и пунктуация сохранены):Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе некредитной и небанковской организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия. Просто шикарно. Мало того, что Банк может делать что хочет с моими ЛЮБЫМИ персональными данными, так он еще и имеет право передавать их кому угодно, как угодно, в каком угодно объеме. Что говорит закон?часть 1 статьи 9: Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Извините, но ЭТО назвать «информированным и конкретным» язык не поворачивается. При этом и регуляторы на проверках по нашему опыту за такие «согласия» сразу выписывают штраф. Я, в общем-то, и начал подписывать не глядя, думая, что такие тексты сгинули где-нибудь в 2012 году, а то и раньше. Печально видеть такое от финансовой организации, в которой наверняка сидит орава юристов. Что же делать вам как организации? Составлять действительно конкретные и информированные согласия. Четко и не двусмысленно формулировать цели обработки и конкретные категории персональных данных, которые не являются излишними по заявлению к указанным целям. Если планируете передавать персональные данные третьим лицам, то придется попотеть и указать конкретные третьи лица, конкретные передаваемые персональные данные и конкретные цели такой передачи (важно помнить, что здесь не нужно указывать, то что вы обязаны передавать в соответствии с какими-либо Федеральными законами).

Что вам делать как субъекту персональных данных, если видите такое согласие? Тут все зависит от конкретной ситуации. Если вы откажитесь подписать согласие, то вам скорее всего сообщат, что в таком случае вам не смогут оказать услугу. Если услуга вам очень нужна, подписывайте согласие, получайте услугу, но потом можно нажаловаться на нарушение закона «О персональных данных» например сюда.

И помните, что если вы что-то где-то подписали, то это еще не значит, что Банк или кто-либо еще после этого может творить что захочет с вашими персональными данными. Любые договоры, согласия и прочие документы, прямо противоречащие действующему законодательству являются незаконными. Что касается конкретной истории, то «куда надо» я сообщил. Ждем развития ситуации. Собственно поэтому пока что не разглашаем название Банка, вдруг одумается и исправится. Если нет, то, видимо, будет вторая часть — продолжение, в том числе с оглашением имен «героев» и реакцией регуляторов.

UPD 29.11.2019:

Пришел ответ от РКН на мое обращение:

… сначала идут цитаты из 152-ФЗ на 2 страницы…, затем:

Дополнительно сообщаю, что оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российский Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора. В соответствии с пп. «б» п. 8 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13.02.2019 № 146 (далее – Правила), внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных. Вместе с тем, обстоятельства, указанные в Вашем обращении, не подпадают под основания, установленные Правилами, в связи с чем, Ваше обращение не является основанием для проведения Управлением Роскомнадзора по Приморскому краю внеплановой проверки. Вы имеете право самостоятельного обращения в суд с исковым заявлением, если полагаете, что нарушены Ваши права как субъекта персональных данных. С порядком защиты Ваших прав можете ознакомиться в главе 3 «Права субъекта персональных данных».

Чего и требовалось ожидать: «Спи спокойно, гражданин, твои права не нарушаются»

Отказ от предоставления персональных данных. Образец 2021 года

Составление отказа от предоставления персональных данных необходимо в случае, когда гражданин не имеет желания давать кому-либо личную информацию.

ФАЙЛЫ
Скачать пустой бланк отказа от предоставления персональных данных .docСкачать образец отказа от предоставления персональных данных .doc

Что относится к персональным данным

Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

Отказ от предоставления персональных данных

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

• Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.
• С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.
• При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Как написать отказ

В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

• должность, ФИО руководителя;
• наименование организации;
• ФИО автора отказа;
• его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

• свое несогласие с предоставлением персональных данных;
• обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
• если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
• также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

1. Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.
2. Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.
3. 

Скачать документбесплатно

Как отозвать согласие на обработку персональных данных

Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, расскажем в статье.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

• Ф. И. О.;
• адрес проживания;
• паспортные данные;
• сведения о месте рождения;
• прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет.

Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно.

Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

• суды при участии гражданина в судопроизводстве;
• приставы при исполнении судебного акта;
• государственные органы при исполнении своих полномочий;
• стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
• любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
• журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
• субъекты, участвующие в реализации международных договоров;
• органы статистики, если личные данные обезличиваются.

Порядок отзыва индивидуальных данных

Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.

Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.

Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:

1. Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
2. Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
3. В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Образец заявления на отзыв

Заявление на отзыв персональных данных составляется следующим образом:

1. В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
2. Ниже посередине — название документа.
3. С красной строки — основной текст.
4. В конце документа — дата и подпись.

• Образец отзыва персональных данных из банка может выглядеть так:
• Руководителю Центрально-Черноземного банка ПАО «Банк»
• Воронеж, ул. 9 Января, 28
• от Держаева Виктора Петровича
• Воронеж, ул. Комарова, 28, 15
• Заявление

Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.

Держаев В. П. /Держаев/

Дата: __ __ ____

Последствия отзыва

Согласно п. 5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.

Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.

Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений.

Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479).

Итоги

Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.

Еще больше про защиту персональных данных — в онлайн-курсе Центра обучения «Клерка». На него как раз сейчас скидка.

• Как защититься во время совместных проверок полиции и налоговиков

Отзыв персональных данных из банка (заявление)

При оформлении любого банковского кредита или займа от микрофинансовой организации заявитель оставляет свои персональные данные. И кредитная компания может использовать эти сведения по личному усмотрению. Если вы не желаете, чтобы информация была в сторонних руках, необходимо составить заявление на отзыв персональных данных из банка.

Покажем образец отзыва персональных данных из банка и расскажем, как и зачем подавать такое заявление. Есть случаи, когда личными данными клиента могут воспользоваться даже после официального отзыва. Подробности — на Бробанк.ру

Как персональные данные попадают в пользование банка

Это случается при любом заключении договора, не обязательно кредитного. Это нужно компании для работы с клиентом, для получения права на его обслуживание. Если вы откажетесь от обработки персональных данных, то не сможете получить нужную услугу.

Вы передаете личные данные банку при:

Здесь ситуация несколько двоякая. Любой договор предусматривает согласие клиента на обработку персональных данных. Даже если вы заказываете услугу онлайн, то после формирования анкеты нужно поставить галочку в поле согласия. Вроде как это добровольное действие клиента, но без его выполнения услуга не будет оказана.

Как банки используют персональные данные клиентов

Первостепенная задача — использование их при оказании услуги. Например, если речь о кредите. Эта информация будет нужна банку в случае просрочки, чтобы передать дело коллекторам или использовать собственные силы для организации процесса взыскания.

Другой момент — реклама. Имея огромную базу персональных данных, финансовая организация получает перечень потенциальных клиентов. Им регулярно шлют информацию о предоставлении персональных кредитов, кредитных карт, просто рекламируют услуги. И хотя это может раздражать, периодически встречаются действительно дельные предложения.

По закону банки не имеют права передать собранные сведения третьим лицам, но проколы случаются. Регулярно появляются новости о том, что в какой-то организации случилась утечка. Виной тому хакеры или сотрудники, которые, пользуясь служебным положением, преступным путем продают данные.

Понятно, что эти сведения мошенники используют для личного обогащения. Например, в последние годы они активно атакуют клиентов Сбербанка, представляясь его службой безопасности. Таким образом они выуживают у граждан сведения, которые помогают им красть деньги со счетов.

Можно ли подать заявление в банк на отзыв персональных данных

Есть закон о персональных данных, которые регулирует все, что связано с этим вопросом. Это ФЗ-152. Статья 9 разъясняет вопросы, связанные с согласием субъекта на сбор и хранение сведений о нем. Здесь же говорится и о его праве отозвать предоставленное ранее согласие.

Если вы придете в банк, чтобы оформить отказ от использования персональных данных, то ссылаться нужно на ФЗ-152 ст 9. Ее второй пункт как раз и гласит о том, что человек может отозвать свои персональные данные. Причем нет указаний ни по срокам, ни по иным условиям. Выполнить это действие можно в любой момент.

Это касается не только банковских клиентов. Сбором информации и их хранением занимаются мобильные операторы, магазины (выдают карты лояльности) и пр.

Как удалить персональные данные из банка

Требуется личное обращение в финансовую организацию и написание соответствующего заявления. Отказать в этом праве банкиры не могут, поэтому принимают запросы без проблем и выполняют просьбу клиента.

Как отозвать личные данные из банка:

1. Посетить офис финансовой организации и выразить свое намерение отозвать данные. Если заявление вы составляли самостоятельно, оно должно быть в двух экземплярах (бланк и образец отзыва обработки персональных данных из банка — ниже).
2. Вас спросят, как вы желаете получить информацию о результате. Можно выбрать отделение банка, почтовую или электронную рассылку.
3. По итогу обработки заявителю сообщают, что его данные отозваны, больше банк их использовать не может.

Самостоятельно составлять заявление не обязательно, так как в банке в любом случае предоставят готовый бланк. А чаще заявление формирует менеджер и просто дает его на подписание клиенту. Но на всякий случай оставляем образец.

Образец отзыва согласия на обработку персональных данных →

Нужны именно два бланка. Один остается у банка для рассмотрения и выполнения требования, другой с отметками финансовой организации — у клиента. Его нужно хранить до момента выполнения банком действия и получения сообщения об этом.

Персональные данные убираются из банка в течение 30 дней после подачи заявления.

Исчезнут ли сведения полностью

Если клиенту просто надоела рекламная рассылка и бесконечные звонки с предложением взять кредит, это подействует. Некоторые банки действительно злоупотребляют спамом, шлют персональные предложения по СМС буквально каждый день. Это действует на нервы. Такая рассылка и обзвон должны прекратиться.

Но закон указывает, что полностью сведения из базы данных не исчезают. Есть основания для продолжения хранения, сбора и распространения данных:

• если договорные отношения с кредитором не прекращены. Например, есть действующий кредит, кредитная или дебетовая карта, вклад и пр;
• если лицо является участником судебных разбирательств;
• обработка необходима для защиты жизни и здоровья гражданина;
• информация может потребоваться для оказания медицинских услуг, установления диагноза, личности;
• сведения потребуются в случае соблюдения законов о безопасности, противодействию терроризма, уголовного и исполнительного законодательства.

Подробное описание всех пунктов — в ст 10 части 2 ФЗ-152. Если вдруг информация понадобится для этих целей, она будет предоставлена финансовой организацией ведомству, которое ее запросило. То есть бесследно данные не исчезают.

Что делать, если заявление не подействовало

На практике банки стремятся соблюдать действующее законодательство. Им важна собственная репутация, и не нужны проблемы с Центральным Банком. Но если вдруг спустя 30 дней после подачи заявления вы не получили уведомление о положительном результате, или вас продолжают заваливать рекламой, нужно обращаться в вышестоящие инстанции.

Куда обращаться:

К сожалению, если произошла утечка данных, вас донимают спамеры и мошенники, ничего с этим не поделать. Единственный выход из ситуации — блокировать входящие номера, помечая их как спам. В итоге телефон просто не будет в следующий раз принимать эти звонки.

Поможет ли отзыв избавиться от коллекторов

Некоторые должники, совершившие просрочку, желают написать отзыв персональных данных, чтобы прекратить действий коллекторов и службы взыскания. Они хотят отозвать персональные данные из банка и прекратить натиск. Но не все так просто.

Так как кредитный договор действующий, отзыв персональных данных по закону будет невозможным.

В этом случае нужно действовать несколько иначе — нужно составлять отказ от взаимодействия с коллекторами. Это можно сделать спустя 4 месяца после фиксирования просрочки.

После написания банк коллекторы не будут правомочны общаться с должником. Подробная информация в материале — как отшить коллекторов.

Источник информации:

1. Consultant.ru: ФЗ 152 О персональных данных.

Об авторе

Ирина Русанова — высшее образование в Международном Восточно-Европейском Университете по направлению «Банковское дело». С отличием окончила Российский экономический институт имени Г.В. Плеханова по профилю «Финансы и кредит».

Десятилетний опыт работы в ведущих банках России: Альфа-Банк, Ренессанс Кредит, Хоум Кредит Банк, Дельта Кредит, АТБ, Связной (закрылся). Является аналитиком и экспертом сервиса Бробанк по банковской деятельности и финансовой стабильности.

rusanova@brobank.ru

Эта статья полезная? Помогите нам узнать насколько эта статья помогла вам. Если чего-то не хватает или информация не точная, пожалуйста, сообщите об этом ниже в х или напишите нам на почту admin@brobank.ru.

Цб предложит россиянам отзывать личные данные у компаний :: финансы :: рбк

«Платформа может стать неким агрегатором персональных данных. То есть различные сферы бизнеса могут получать персональные данные пользователей, которые еще не являются их клиентами», — говорит руководитель направления «Разрешение IT & IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.

Зачем банкам нужна платформа коммерческих согласий

В проекте заинтересованы Сбербанк, ВТБ, Промсвязьбанк, МКБ и СКБ-банк, рассказали РБК их представители.

Важно, чтобы эта платформа имела одинаковые тарифы для всех участников рынка, подчеркнула Скоробогатова: «Ни в коем случае создание такой платформы или платформ не должно усугубить ситуацию с монополизацией и не должно нас привести к еще более значительным проблемам в конкуренции, [чем те] которые мы сейчас видим».

К коммерческим согласиям может относиться согласие клиента банка, сотового оператора, сервиса такси и т.д. на передачу компанией накопленных данных о нем за время пользования услугами.

Участники рынка предлагали учитывать коммерческие согласия еще при обсуждении «Цифрового профиля» в 2017 году, вспоминает директор по инновациям СКБ-банка Виталий Копысов.

«Создание коммерческого модуля согласий могло бы сформировать удобный и прозрачный для всех механизм предоставления негосударственных коммерческих данных на коммерческой или безвозмездной основе.

Такое решение позволит обогатить рынок большими объемами коммерческих данных, накопленными отдельными участниками рынка, и монетизировать этот рынок», — объясняет он. Эта информация также может быть использована банками для скоринга клиента, приводит пример Копысов.

Люди смогут давать или отзывать согласия на обработку своих персональных данных другими банками, клиентами которых они пока не являются, и это повысит эффективность продаж, считает заместитель председателя правления Московского кредитного банка Сергей Путятинский.

Управление согласиями через отдельную платформу может стать удобным инструментом, полагает и представитель Промсвязьбанка: «Пользователь через единую платформу сможет отслеживать все организации, которым он давал согласия на обработку данных, а при необходимости клиент сможет их отозвать дистанционно».

Создание платформы позволит существенно упростить клиентский путь, а банки смогут получать объективную информацию в максимально короткий срок и существенно сократят сроки обслуживания клиентов, считает представитель ВТБ.

Сейчас, как правило, для отзыва согласия клиенту необходимо лично посетить финансовую организацию, отмечают в ПСБ.

Крупные игроки могут самостоятельно закрывать эти потребности, но такая платформа может быть важна для малого и среднего бизнеса, например финтех-стартапов, полагает вице-президент, начальник управления по развитию цифрового бизнеса банка «Ренессанс Кредит» Андраник Захарян.

Какие проблемы возникают при создании платформы

Основная сложность, которая возникает у банков сейчас, — это децентрализация подобных платформ, указывает Путятинский: «Каждый банк несет трудозатраты на создание аналогичных платформ, необходимы ресурсы на создание надежных хранилищ согласий, находящихся в защищенных периметрах ИТ банка.

Кроме того, каждый банк создает свою собственную систему управления согласиями, не имея общих стандартов, и делается это, конечно, с различными интеграционными индивидуальными особенностями».

Простого и прозрачного механизма для рынка обмена коммерческими данными между гражданами и организациями сейчас не существует, указывает Копысов.

Впрочем, реализация проекта может «упереться» в федеральное законодательство, а также в нежелание граждан передавать свои данные фактически неограниченному кругу лиц, предупреждает Шицле.

«На каких бы принципах обмена данными ни выстраивалась эта система, она должна отвечать нормам ФЗ «О персональных данных», который не допускает сбор, хранение, обработку и передачу третьим лицам такой информации без согласия субъекта, то есть лица, к которому данные относятся и которого определяют. Нужно учитывать, что субъект персональных данных имеет закрепленное законом право в любой момент отозвать разрешение на использование его персональных данных любым доступным ему способом, и требовать от него отозвать свое разрешение именно через некую платформу оператор не может», — отмечает юрист. Неясно, зачем физлицу «вообще предоставлять свое согласие на такое использование своих данных, поскольку очевидно, что такое согласие дает почти безграничные права по их передаче и использованию третьими лицами, причем кем именно и в каких целях, не очень понятно», заключает он.

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

• 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
• 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
• 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4. 4) являющихся общедоступными персональными данными;
5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

• Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
• — стандарты и рекомендации в области стандартизации Банка России;
• — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
• — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015