Использование личных данных при подаче заявки на кредит

Политика конфиденциальности и использования файлов «cookie»

Использование личных данных при подаче заявки на кредит

Последнее обновление: 13 ию́нь 2019 г.

Credit Suisse Group AG и все ее аффилированные лица (далее – “Credit Suisse” или “мы”) считают своим приоритетом сохранение конфиденциальности личных данных каждого из своих существующих, бывших и потенциальных клиентов и пользователей веб-сайта.

Мы понимаем, что вы доверяете нам важную личную информацию, и хотели бы заверить вас, что серьезно относимся к своим обязанностям по защите и охране такой информации.

В настоящем положении о конфиденциальности личной информации и файлах “куки” (cookie) (далее – “Положение”) детально описано, как мы обращаемся с информацией, собранной на данном сайте (далее – “Сайт”).

Настоящее Положение может обновляться в любое время. Просим вас регулярно знакомиться с последней версией этой страницы. В первом абзаце Положения указано, когда было сделано последнее обновление.

  • Информация, которую мы собираем
  • Безопасность передачи данных
  • Кому доступна информация, которую мы собираем
  • Защита, обработка и использование персональных данных
  • Как Credit Suisse обращается с электронными сообщениями
  • Файлы cookie
  • Ссылки
  • Файлы cookie и технологии отслеживания

Информация, которую мы собираем

Мы можем собирать информацию о вас, когда вы используете данный Сайт или когда вы обращаетесь за другими услугами Credit Suisse или уже используете их, следующим образом:

  • Мы также можем получить личные сведения о вас в ходе записи отдельных телефонных переговоров, которые могут вести с вами наши сотрудники, и последующего хранения этих записей с целью выполнения наших обязательств нормативно-правового характера или для других целей деятельности Credit Suisse.
  • Если вы регистрируетесь для использования защищенных паролем или относящихся к определенной стране страниц нашего Сайта, мы попросим вас предоставить нам определенную информацию о себе. Такие данные могут включать в себя ваши имя и фамилию, название компании, должность, адрес, страну проживания, адрес электронной почты, номер телефона, номер счета, активы, доход и финансовую ситуацию. Эти данные используются для вашей идентификации, установления вашего права получать определенные продукты и услуги, возможности отправлять вам информацию о продуктах и услугах, которая, по нашему мнению, может вас заинтересовать, фиксации вашего интересa к предлагаемым нами продуктам и услугам, а также ответов на ваши информационные запросы. Мы также можем использовать файлы cookie или  веб-маяки на таких участках нашего Сайта для сбора Данных об использовании и облегчения для вас перемещения по Сайту (например, за счет запоминания паролей во время сеанса и записи страны, которую вы указали как страну проживания).
  • Мы можем собирать информацию о приложениях, которые вы открываете в информационных письмах, высылаемых вам в электронном виде.
  • Мы также можем собирать персональные данные о вас из приложений, форм и анкет, которые вы заполняли, или соглашений, которые вы заключали с нами в ходе установления и поддержания клиентских отношений, включая информацию о вашей кредитной истории и финансовой ситуации, а также ваших транзакциях с нами или другими провайдерами услуг.

Если вы отказываетесь давать нам необходимые персональные данные, у нас не будет возможности предлагать вам инвестиционные продукты и оказывать другие услуги.

Кому доступна информация, которую мы собираем

Credit Suisse может раскрывать ваши данные своим аффилированным лицам, своим и их агентам и сторонним провайдерам внутри и за пределами своей страны для целей оказания услуг Credit Suisse.

Все стороны, имеющие доступ к персональным данным, собранным на веб-сайте, обязаны соблюдать все действующие законы о защите данных и внутренние положения Credit Suisse о конфиденциальности личной информации.

Credit Suisse может также раскрывать ваши данные государственным органам и организациям, регулирующим органам и другим лицам в соответствии с законодательством, нормативными актами и официальными запросами либо в соответствии с правилами, установленными регулирующими и другими официальными органами, либо другими процедурами, необходимыми или допустимыми в соответствии с законодательством.

Безопасность передачи данных

Следует иметь в виду, что данные, передаваемые по каналам публичной сети, таким как Интернет или электронная почта, могут быть просмотрены третьими лицами.

Информация, передаваемая по Интернету (например, при заполнении форм онлайн), а также получаемая в режиме онлайн, в определенных условиях может передаваться через сети сторонних организаций.

Credit Suisse не может гарантировать банковской тайны или конфиденциальности сообщений и документов, переданных через открытые сети или сети третьих лиц.

Вы должны понимать, что если вы передаете персональную информацию через открытые сети или сети третьих лиц, ваши данные могут потеряться или попасть к третьим лицам, которые могут собрать и использовать их без вашего согласия.

Следует иметь в виду, что если отдельные пакеты данных часто передаются в зашифрованном виде, то имена отправителя и получателя – нет. Таким образом, третьи лица могут сделать выводы о существовании банковских счетов или соответствующих деловых отношений (в настоящем или будущем).

Даже если отправитель и получатель находятся в одной и той же стране, данные могут регулярно и бесконтрольно передаваться по таким сетям в другие страны, включая страны, в которых не обеспечен тот же уровень защиты данных, как в вашей стране.

Мы не несем ответственности за безопасность ваших данных в процессе передачи их по Интернету, равно как за какие-либо прямые или косвенные убытки. Мы просим вас использовать альтернативные способы связи, если вы считаете это необходимым или уместным для целей безопасности.

В некоторых видах услуг при передаче ваших данных мы используем устойчивое шифрование (например, при оказании электронных банковских услуг). В этих случаях вы будете дополнительно проинформированы об обработке таких данных и деталях шифрования.

Защита, обработка и использование персональных данных

Мы используем ваши персональные данные для улучшения качества продуктов и услуг, которые мы хотели бы предлагать нашим клиентам, либо в связи с вашими инвестициями, которые вы делаете с нами или через нас, а также для сохранения контактных данных тех лиц, с которыми мы работаем.

Доступ к вашим персональным данным будет ограничен кругом сотрудников, агентов и других сторон, которым они необходимы для предоставления вам продуктов и услуг либо в связи с инвестициями, которые вы делаете с нами или через нас.

Мы установили и поддерживаем физические, электронные и процедурные средства для защиты ваших персональных данных, включая межсетевые экраны, персональные пароли и шифрование, а также технологию аутентификации.

Мы не используем для каких-либо целей, кроме вышеуказанных, персональную информацию о наших клиентах (бывших клиентах) и не раскрываем ее третьим лицам, если на это нет согласия клиента или если это не предусмотрено действующим законодательством.

В случаях, когда мы считаем, что вас могут заинтересовать дополнительные продукты и услуги, мы можем поделиться вашими персональными данными с аффилированными лицами Credit Suisse в рамках действующего законодательства.

Мы также можем раскрывать такую информацию фирмам, оказывающим услуги от нашего имени, в пределах, допустимых действующим законодательством. К указанным провайдерам услуг предъявляются требования о соблюдении конфиденциальности данных и использовании их только для установленных целей. В определенных юрисдикциях могут действовать более строгие требования о конфиденциальности данных, направленные на предотвращение раскрытия ваших персональных данных любым физическим или юридическим лицам, включая аффилированных лиц.

Мы будем хранить ваши персональные данные в течение установленного срока в соответствии с требованиями действующего законодательства о защите данных.

Ваши Персональные данные будут обрабатываться в соответствии с Уведомлением Credit Suisse о защите личной информации, которое в вашей стране доступно на официальном сайте Credit Suisse (например, в Швейцарии смотрите страницу https://www.credit-suisse.com/ch/en/legal.html)

Как Credit Suisse обращается с электронными сообщениями

Все электронные сообщения, отправленные на адрес или с адреса Credit Suisse, автоматически попадают в определенную журналируемую систему, в которой электронные сообщения сохраняются для целей использования их в качестве доказательств.

Они защищены соответствующими техническими и организационными средствами, и доступ к ним может быть предоставлен только определенным лицам из определенных отделов (например, отделов юридической поддержки, комплаенс-контроля, управления рисками) в определенных случаях в соответствии с действующим законодательством, нормативными актами и внутренними положениями. 

Если посетитель сайта использует для установления контакта один из электронных адресов или форм, опубликованных Credit Suisse на данном сайте, он автоматически разрешает Credit Suisse отвечать тем же способом на адрес отправителя или другой указанный адрес. Электронная почта не является средством, пригодным для передачи конфиденциальной информации. Следует иметь в виду, что банковская тайна не может быть гарантирована при использования средств электронной связи.

Файлы cookie

На всех сайтах Credit Suisse Group AG и его аффилированных лиц (далее – “Credit Suisse” или “мы”) используются файлы cookie для целей статистики, а также повышения эффективности взаимодействия с пользователем и онлайн-рекламы.

Один из файлов cookie является существенным для функционирования некоторых участков Сайта и уже установлен на нем. Настоящий Сайт не функционирует без файлов cookie.

Пользуясь этим сайтом, Вы соглашаетесь на использование в нем файлов cookie.

Что такое файлы cookie?

Файлы cookie – это небольшие файлы, которые хранятся на вашем устройстве для отслеживания посещения вами сайта и изучения ваших предпочтений при просмотре страниц, а иногда – для сохранения настроек между посещениями. Файлы cookie помогают создателям сайтов собирать статистику частоты просмотра определенных частей сайта, а также помогают делать сайты более удобными и простыми в использовании.

Дополнительную информацию о файлах cookie вы можете получить на сайте Управления комиссара по информации Великобритании (www.ico.gov.uk), где представлено более детальное описание назначения и использования файлов cookie, а также способов контроля и удаления их из вашего браузера.

Как файлы cookie используются на данном сайте?

Файлы cookie, размещенные на сайтах Credit Suisse, используются для:

  • отслеживания количества и типа посещений сайта и его страниц, чтобы мы могли определить, какие участки Сайта работают хорошо, а какие требуют улучшений
  • сохранения ваших предпочтений в конфигурации экрана, включая язык и страну
  • сбора статистики о количестве пользователей и их манере пользования сайтом
  • повышения скорости и эффективности работы страниц сайта

Файлы cookie третьих лиц и партнеры

  • Время от времени мы используем встраиваемые расширения и компоненты для удобства пользователей сайта и размещения онлайн-рекламы. В данных компонентах могут также использоваться файлы cookie для тех же целей. Ни соответствующее третье лицо, ни Credit Suisse не имеют доступа к данным, собранным другой стороной с помощью файлов cookie.
  • Мы можем использовать файлы cookie для демонстрации рекламы Credit Suisse при посещении вами сайтов третьих лиц, с которыми у нас установлены маркетинговые отношения.
  • В определенных обстоятельствах указанные третьи лица могут собирать  анонимную информацию об использовании вами нашего и других сайтов и передавать ее нам, включая данные о вашем местонахождении, вашей манере использования сайта, а также названия вебсайтов, на которых вам показывали рекламу.
  • Мы можем использовать эту информацию, чтобы предлагать вам более актуальную и полезную рекламу, а также в целях повышения эффективности наших рекламных кампаний. 

Удаление файлов cookie

Вы можете отказаться от файлов cookie (и использования данного сайта) в любое время, удалив файлы cookie, которые были установлены Сайтом. Это может быть сделано через настройки вашего браузера, путем удаления кэша, истории посещения сайтов и файлов cookie. 

Ссылки

Данный сайт может содержать гиперссылки на другие сайты, которые Credit Suisse не контролирует и не отслеживает. Эти веб-сайты не подпадают под действие этого Положения, и мы не несем ответственности за их содержание и за правила, которыми они руководствуются в обращении с персональными данными. Использование вами таких ссылок происходит на ваш страх и риск.

Мы рекомендуем вам ознакомиться с правилами, которым подчиняются указанные сайты, и проверить, как они защищают ваши персональные данные, а также насколько они заслуживают доверия.

Источник: https://www.credit-suisse.com/ru/ru/legal/privacy-and-cookie-policy.html

Ничего личного: как защитить свои персональные данные от излишнего любопытства банков

Использование личных данных при подаче заявки на кредит

В 2018 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора.

По данным ведомства, последние пару лет количество таких обращений снижается, но кредитные организации по-прежнему остаются в топ-листе «нарушителей».

В отчете за прошлый год нет информации о доле поданных банковскими клиентами жалоб, которые были признаны обоснованными. В 2015-м по итогам проверок нарушения подтвердились в 35% случаев.

Банки.ру изучил отзывы на форуме и в «Народном рейтинге» и выявил пять распространенных поводов для недовольства клиентов.

Атака рекламой

«Достали уже! Никакой управы на них нет! Постоянно звонят и предлагают свои кредитные карты и кредиты!! Сколько можно уже?! Когда уже все это закончится!» — возмущался один из пользователей «Народного рейтинга». Он, как и многие клиенты банков, готов получать услуги, но без лишнего рекламного сопровождения.

Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента

«Угораздило меня полгода назад открыть в Восточном Банке депозит на небольшую сумму. С тех пор на мой телефон регулярно идут холодные звонки с различными предложениями финансовых услуг от банка.

При этом я ставлю контакт в черный список, но в следующий раз мне звонят с другого номера. Присылаете СМС, шлете спам в почту, ну этого хватит.

Зачем человеку мешать работать?» — писала еще одна недовольная клиентка.

Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента.

К персональным данным относятся фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное, социальное или имущественное положение, образование, профессия, уровень дохода, перечисляет партнер юридического бюро «Замоскворечье» Дмитрий Шевченко.

Сюда же попадает биометрическая информация, банковская и кредитная история, если верить условиям обработки персональных данных на сайтах финансовых организаций. И это только очевидная часть обрабатываемых персональных данных, подчеркивает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Подобные сведения необходимы не только для проверки личности, но и для оценки платежеспособности клиента, замечает зампред правления банка «Ренессанс Кредит» Сергей Королев.

Банки, как и любые операторы персональных данных, могут работать с личной информацией клиента только с его согласия, которое он дает, как правило, при первом обращении в кредитную организацию.

«Согласие должно быть конкретным, информированным и сознательным», — подчеркивает руководитель практики интеллектуального и информационного права юридической группы «Яковлев и партнеры» Анна Никитова.

Кредитные организации включают в подобные документы весь перечень действий, которые они хотели бы совершать с информацией о клиенте. Речь может идти в том числе о передаче данных партнерам, использовании их для рекламной рассылки или для анализа.

«Все, под чем подпишется клиент, тем и распоряжаются. Передают внутри своей группы компаний, в маркетинг, коллекторам — в зависимости от того, какой список компаний присутствует в соглашении на обработку персональных данных», — отмечает руководитель практики «ИТ-безопасность» «КСК Групп» Алексей Работягов.

Если бланк согласия не предусматривает точных формулировок, стоит выяснить пределы этого согласия, рекомендует Никитова. По словам специалистов, человек может одобрить одни операции и запретить другие.

Например, клиент может отказаться от получения рекламной рассылки, говорит Королев из «Ренессанс Кредита». Наличие такой опции также подтвердили в Сбербанке.

Еще порядка 15 крупных кредитных организаций, в которые обратился корреспондент Банки.ру, не дали ответа на этот вопрос.

Отказаться только от рекламной рассылки получается не всегда и не сразу

Отказаться только от рекламной рассылки получается не всегда и не сразу. Чаще приходится сначала согласиться со всем, а потом отзывать согласие на использование персональных данных для рекламных целей, поясняет Работягов.

Юрист Дмитрий Шевченко сомневается, что такие отказы дадут эффект: «Направление банком СМС-сообщения не может нарушить прав клиента применительно к положениям закона о персональных данных.

Более того, в направляемых сообщениях обычно не указываются персональные данные либо другая информация, по которой возможно идентифицировать конкретного клиента банка».

Прости-прощай

Если клиент хочет расстаться с кредитной организацией, это не означает автоматического удаления персональных данных. В теории они хранятся и используются, пока действует договор сторон. А в реальности многие игроки не спешат избавляться от ценной информации.

«Столкнулся с такой проблемой: не могу отозвать из ряда банков свои персональные данные! Прихожу в офис Россельхозбанка, озвучиваю свое пожелание, а на меня таким взглядом смотрят и говорят, что они про такое не слышали! Я, конечно, настоял на заявлении, но ответа не получил по истечении уже четырех месяцев!» — делился негативным опытом на форуме Банки.ру пользователь под ником savelich74.

Просьба удалить персональные данные должна подаваться в письменной форме — сразу в отделении или по почте. При этом банк должен уведомить клиента, что требование выполнено, объясняет Никитова.

Закон определяет 11 случаев, когда банк может обрабатывать персональные данные без согласия клиента, подчеркивает Дмитрий Кузнецов.

Например, если информация необходима для защиты законных интересов банка.

Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля

Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля, замечает Работягов.

«Персональные данные хранятся в течение сроков, установленных действующим законодательством, например, при отсутствии действующего договора — в течение пяти лет с даты прекращения договора», — подтвердили в Райффайзенбанке.

В Сбербанке озвучили тот же срок хранения личной информации клиента, сославшись на требования 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». — Прим. ред.).

Получается, что право на отзыв своих персональных данных у клиента есть, а вот шансов на положительный результат — гораздо меньше.

Предложение от незнакомца

Рекламные и продуктовые предложения поступают клиентам от банков и организаций, с которыми те никогда не связывались.

«Прекратите названивать с различных номеров с вашими предложениями! Согласие на обработку данных в вашем банке я не давала!» — жаловалась пользователь «Народного рейтинга» на Тинькофф Банк.

Зачастую подобное взаимодействие с клиентом дает обратный эффект. Вместо интереса к продукту банк провоцирует раздражение.

«Сегодня на почту приходит предложение оформить кредит. Никаких контактов с банком у меня не было. С чего бы банк стал предлагать мне кредиты? В общем, крупный банк занимается рассылкой спама. Всех бесят спамерские рассылки с любыми предложениями. Теперь я ни за что не обращусь в этот банк для получения банковских услуг», — писала несостоявшаяся клиентка Хоум Кредит Банка.

Закон не запрещает банкам получать персональные данные граждан из общедоступных источников

Закон не запрещает банкам получать персональные данные граждан из общедоступных источников. Аналогичный пункт есть в большинстве документов, которые описывают политику кредитных организаций в отношении персональных данных. Вопрос в том, что считать общедоступным источником.

Например, в 2017 году Сбербанк сообщал о намерении проверять заемщиков по «цифровому следу» — открытым данным из соцсетей. Неясно, широко ли это применяется на практике госбанком и другими игроками, но некоторые участники рынка обращают внимание на то, что такой подход несет определенные риски.

Национальное бюро кредитных историй пробовало собирать открытую информацию в соцсетях, но в итоге столкнулось с судебным иском, рассказал на Scoring Case Forum директор по маркетингу НБКИ Алексей Волков.

«Дело даже не в вопросе, чьи это данные, а в вопросе самого субъекта и его согласия. Суд решил, что данные в соцсетях не являются открытыми, кто бы что ни считал.

Исходя из понимания, что для нас как для бюро, для структуры сверхпубличной, продолжение этой практики является токсичным, мы этот проект свернули», — пояснил эксперт.

Использование открытых данных для «холодных звонков» — это тоже нарушение закона

Использование открытых данных для «холодных звонков» — это тоже нарушение закона, утверждают собеседники Банки.ру. «Организация должна получить ваше согласие еще до того, как сотрудник кол-центра наберет ваш телефонный номер», — поясняет Кузнецов. Другой вопрос, как пресечь эту активность банка.

«Можно оставить требование о прекращении обработки по телефонному номеру, а также получить информацию о юридическом адресе, на который вы впоследствии направите письменное заявление об удалении ваших персональных данных.

А также предупредить об ответственности за нарушение законодательства (КоАП РФ, статья 13.11) и обозначить намерение направить жалобу в Роскомнадзор», — советует Никитова.

Все так, но банки изворачиваются, замечает Работягов: «Говорят, что по телефону такой информации не дадим, приходите, пишите официально. Клиенты «забивают», а банк тихонько удаляет их из обзвонной базы».

По словам Кузнецова, обзвоны, как правило, делают не банки, а сторонние организации, поэтому привлечь к ответственности такой кол-центр крайне сложно.

За того парня

Посторонним может оказаться не только банк, но и клиент. Нередко людям поступают сообщения, которые их вообще не касаются. Например, банк звонит по поводу чужого долга. «Названивают каждый день. Какой-то человек оставил в качестве контактного мой номер телефона.

Ищут должника, выпытывают мою личную информацию, разговаривают так, как будто это я им должна, грубо, требовательно.

Почему при взятии кредита вы не обзваниваете оставленные вам дополнительные номера телефонов??? Я запрещаю вам беспокоить меня, человека, который не знает никаких ваших должников», — жаловалась пользователь «Народного рейтинга» на банк «Восточный».

Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи

Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи. У экспертов нет единого мнения, считается ли это нарушением закона «О персональных данных». «Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться.

Отдельного согласия от них не требуется: либо клиент сам уведомляет третьих лиц о дальнейшей обработке их персональных данных банком, либо их уведомляет непосредственно банк», — поясняет зампред «Ренессанс Кредита». В Райффайзенбанке противоречия также не увидели: «Набор таких данных, как имя и телефон, не позволяет определить конкретное физлицо».

«Такой подход не совпадает с основной идеей закона, но банки изворачиваются. Иногда платят штрафы, но в целом принимают риски», — резюмирует Работягов. В таких случаях юристы рекомендуют клиентам обращаться в банк и писать заявление на отзыв персональных данных. Основанием, в частности, может служить то, что вы не являетесь стороной договора.

Утечка без доказательств

Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка

Реклама — меньшая из бед, которые могут произойти. Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка.

«Уже несколько лет храню вклады в Московском Кредитном Банке, вклады достаточно крупные.

И каждый раз, стоит мне пополнить вклад, как через день начинают поступать звонки от всяких коммерческих организаций с предложениями вложить мои деньги на более выгодных условиях, ситуация тянется не первый год…

Посоветуйте, пожалуйста, что делать?! Получается, что сотрудники продают или передают бесплатно информацию о моих счетах, мой адрес и т. д.!» — писала пользователь форума Банки.ру под ником KateV.

Аналогичные подозрения возникают у клиентов, когда от имени банка им начинают звонить мошенники.

«Когда звонят конкретно клиенту банка, владея персональными данными, звонят высокопрофессиональные подготовленные мошенники, как в моем случае, звонили с номеров горячей линии банка (на другой номер я бы не повелась).

Многие пишут, что работники банка слили инфу (в некоторых банках мне сказали, что за деньги купить можно все)», — отмечала форумчанка под ником 777kolibri_2010.

Российское законодательство предусматривает ответственность оператора за утечку персональных данных или некорректную работу с ними. Это может быть административный штраф до 75 тыс. рублей за каждое нарушение, говорит Дмитрий Шевченко.

В 2018 году Роскомнадзор выписал таких штрафов на 3,9 млрд рублей.

«Если разглашение персональных данных привело к гражданско-правовым последствиям, к примеру, причинен моральный вред, либо разглашение привело к убыткам субъекта персональных данных, то может быть предъявлен иск о возмещении убытков и компенсации морального вреда», — отмечает Никитова.

Однако утечку личной информации еще нужно доказать, подчеркивают собеседники Банки.ру. «Это практически нереально, так как не доказать, что есть ущерб.

Вот утекут данные и деньги, тогда другой вопрос», — констатирует Работягов.

«Чтобы привлечь оператора, допустившего утечку, к ответственности, придется доказывать, что он или нарушил требования по обеспечению безопасности, или слил данные сознательно», — заключает Кузнецов из Positive Technologies.

В последние годы россияне стали с большим трепетом относиться к теме персональных данных

Мнения экспертов подтверждает статистика. По данным Право.ru, в прошлом году российские суды рассмотрели всего 160 исков клиентов к банкам, которые касались нарушения закона «О персональных данных». Лишь 16% обращений были удовлетворены полностью или частично.

В 2017-м этот показатель был на уровне 15,5%, хотя самих споров суды рассмотрели в пять раз больше. В последние годы россияне стали с большим трепетом относиться к теме персональных данных, говорит Никитова. Кроме того, ужесточилась ответственность бизнеса за нарушения закона.

Это влияет на судебную практику, хотя с цифрами не поспоришь: россияне редко идут в суд для защиты своих персональных данных и еще реже выигрывают в спорах.

Источник: http://bankir.ru/publikacii/20190719/nichego-lichnogo-kak-zashchitit-svoi-personalnye-dannye-ot-izlishnego-lyubopytstva-bankov-10009764/

Зачем нужно согласие на обработку персональных данных — Право на vc.ru

Использование личных данных при подаче заявки на кредит

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

– Физическое лицо: предупреждение или штраф в размере 1 000 – 3 000 рублей;

– Должностное лицо: штраф в размере от 5 000 – 10 000 рублей;

– Юридическое лицо: штраф в размере 30 000 – 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

– Физическое лицо: штраф в размере 3 000 – 5 000 рублей;

– Должностное лицо: штраф в размере от 10 000 – 20 000 рублей;

– Юридическое лицо: штраф в размере 15 000 – 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

– Физическое лицо: штраф в размере 700 – 1 500 рублей;

– Должностное лицо: штраф в размере от 3 000 – 6 000 рублей;

– Индивидуальный предприниматель: штраф в размере от 5 000 – 10 000 рублей

– Юридическое лицо: штраф в размере 15 000 – 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.

ru – не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” – относятся к персональным данным, т.к.

мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека – и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите – это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД – наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит – невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги – нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица – вы должны получать его согласие и иначе никак – закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы – индивидуальный предприниматель – вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах – относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор – “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

– политика обработки персональных данных;

– приказ об утверждении вышеуказанной политики;

– согласие на обработку персональных данных;

– чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность – такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов.

Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств.

И согласие на обработку ПД – всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем – вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Юрист ответит
Добавить комментарий