• Юлия Беляева
• Консультант Центра информационной безопасности компании «Инфосистемы Джет»
• специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс.

жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб.

Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст.

11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

1. Что говорит Роскомнадзор?
2. На сайте службы опубликованы разъяснения1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
3. На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

• сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
• отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019).

В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия.

Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

• ФОРМА
• Согласие субъекта на обработку персональных данных
• Другие формы

Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

1. Относится ли номер телефона к персональным данным?

1. Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
2. Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник».

Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца.

Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019).

Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было.

Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных.

Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных.

Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

• Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
• Что говорит законодательство?
• В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

• для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

1. Что говорит Роскомнадзор?
2. На официальном сайте Роскомнадзора2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
3. По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

• персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
• не указан перечень организаций, в которые передаются персональные данные;
• требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией.

Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

***

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы.

Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел.

Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора.

Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.  

_____________________________

1 С разъяснениями можно ознакомиться на официальном сайте: pd.rkn.gov.ru/press-service/subject1/news2729/.

2 С информацией можно ознакомиться на официальном сайте: rkn.gov.ru/treatments/p459/p468/.

Как посмотреть, кому вы дали согласие о персональных данных

Обработка и хранение персональных данных регулируется Федеральным законом «О персональных данных» от 27.07.

2006 N 152-ФЗ, согласно которому субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку по своей воле.

Иначе говоря, в некоторых случаях, например при трудоустройстве, потребуется дать свое согласие на обработку работодателем персональных данных. В то же время закон оставляет право за субъектом отозвать такое согласие.

Depositphotos

Персональные данные обрабатываются государственными и частными компаниями, а также интернет-сервисами. В некоторых случаях, чаще в интернете, мы даем согласие не задумываясь, а впоследствии и вовсе забываем об этом. Доступ к данным остается у тех, чьими услугами даже не пользуемся. 

На портале «Госуслуги» можно проверить, кому и к каким именно данным вы давали доступ. К сожалению, у способа есть один существенный недостаток.

Если согласие было предоставлено на бумаге или в электронном виде на сайте, который не использует «Единую систему идентификации и аутентификации» (ЕСИА), такое согласие можно отозвать, только написав заявление.

Тем не менее даже в этом случае организаций, которые используют ваши данные может быть гораздо больше, чем вы думаете. Однозначно стоит проверить.

Как отозвать согласие об обработке персональных данных

Вы должны быть зарегистрированы на портале «Госуслуги». В противном случае придется зарегистрироваться и подтвердить учетную запись.

• Авторизуйтесь и пролистайте в самый низ страницы. Кликните по ссылке «Единая система идентификации и аутентификации».
• Нажмите «Зарегистрировать себя», если вы ранее не регистрировались в системе.
• Далее нажмите «Да, войти». Может появиться окно с описанием преимуществ нового личного кабинета, подтверждайте и переходите дальше.
• Также на этом шаге вас могут попросить дать разрешение на сбор и хранение данных из других ведомств. Поступайте на ваше усмотрение, рекомендуем разрешить.
• Далее перейдите на вкладку «Настройки учетной записи».
• Найдите блок «Разрешения», кликните на «Просмотреть все».

В нашем случае доступ оказался у шести организаций, включая «Госуслуги». Среди них несколько страховых компаний, «Пенсионный фонд РФ», «Объединенной кредитное бюро», а также «Система управления доступом к информационным ресурсам города Москвы».

Чтобы отозвать согласие, нужно нажать на крестик, который есть напротив каждого из них. Разумеется, бездумно делать это нельзя ни в коем случае.

К примеру, через ЕСИА можно получать посылки на «Почте России». Если же вы точно не собираетесь пользоваться услугами той или иной компании, то отзывайте.

Однако как минимум стоит оставить доступ государственным учреждениям в том числе «Госуслугам».

Во время загрузки произошла ошибка.

Что мошенники могут сделать, зная ваши персональные данные

1. Оформить микрозайм через интернет

У крупных МФО для получений онлайн-займа требуется, как правило, сделать фото со своим паспортом. Но на некоторых сайтах можно оформить заём, просто зная ФИО, дату и место рождения, номер, дату выдачи, код подразделения и адрес регистрации. 

Если мошенники обратятся сразу в несколько таких микрофинансовых организаций, они смогут занять крупную сумму.

Также мошенники могут сделать фальшивый паспорт с данными жертвы и вклеить в него свою фотографию. А потом получить по нему более крупный кредит в банке. 

Как проверить наличие мошеннических кредитов на своё имя

Проверить, не оформляли ли мошенники на ваше имя займы и кредиты, можно, запросив свою кредитную историю в бюро кредитных историй (БКИ). Делать это стоит как минимум раз в полгода-год. 

Что делать в такой ситуации 

Если на вас незаконно оформлен заём, в первую очередь нужно направить в МФО или банк претензию и попросить кредитора списать задолженность. После — обязательно обратиться в полицию и написать заявление, что вы стали жертвой мошенников (статья 159 УК РФ). Если МФО или банк не пойдёт вам навстречу, то придётся обращаться в суд, чтобы признать кредитный договор незаключённым. 

• 2. Прислать поддельную квитанцию на оплату штрафа
• Ещё один распространённый тип мошенничества — поддельная квитанция на оплату штрафов ГИБДД, ФНС или других государственных органов. 
• Мошенники обычно требуют срочно погасить долг и угрожают подачей иска в суд. 

Что делать в такой ситуации 

Нужно убедиться, действительно ли вам начислен штраф или нет. Проверить это можно на сайте Госуслуг. Также многие кредитные организации позволяют бесплатно это сделать в своём интернет-банке. 

3. Оформить сим-карту

Преступники могут оформить новую сим-карту по паспортным данным и пользоваться ей при телефонных аферах. Для получения сим-карты в салоне связи обязательно попросят паспорт. Но клиент может уговорить сотрудника использовать скан документа, потому что оригинал «забыл» дома. Скан паспорта мошенник может создать с помощью специальных программ. 

Что делать в такой ситуации 

Если третьи лица заключили от вашего имени договор на оказание услуг связи, то в первую очередь напишите претензию мобильному оператору. Отправьте заявление заказным письмом с уведомлением о вручении.  

В письме опишите все обстоятельства дела и укажите, что сим-карту вы не получали, договор не подписывали. Попросите провести проверку по этому факту и заблокировать сим-карту. Также сразу запросите у оператора  заверенную копию договора — она нужна будет для обращения в суд и в полицию, если компания откажет в удовлетворении ваших требований.

При обращении в полицию с заявлением попросите их провести проверку по предполагаемому факту мошенничества (статья 159 УК РФ).

Чтобы признать сделку недействительной, потому что вы не заключали и не подписывали этот договор (статьи 166 и 168 ГК РФ) — подайте соответствующее заявление в суд.

Что могут злоумышленники, если у них есть ваш номер телефона и имя

1. Притвориться банком и выудить другие данные для кражи денег с карты

Этих данных достаточно, чтобы завязать с жертвой разговор под видом банка и выудить недостающую информацию для кражи денег с карты: пароль для входа в интернет-банк, CVV-код (трёхзначный код на обратной стороне карты), пароль из СМС или ПИН-код. 

Аферисты действуют по телефону напористо, сразу выдают самые мрачные сценарии («ваш счёт будет заблокирован», «с вашего счёта пытаются вывести деньги», «злоумышленник через ваш личный кабинет пытается взять на ваше имя кредит ПРЯМО СЕЙЧАС» и так далее). Основная цель — взволновать и напугать человека, чтобы он перестал мыслить критически, после чего выведать у него данные счёта и/или карты. 

Если вы сомневаетесь, то мошенник может предложить заказать обратный звонок. Он будет упирать на то, что при обратном звонке на экране телефона вы увидите номер, указанный на вашей банковской карте. Однако не стоит верить и этому: существуют специальные программы, благодаря которым телефонный номер можно подменить. 

Пример телефонного разговора с мошенниками

В записи слышно, что мошенник давит на срочность и напористо настаивает на своём. Настораживают и отдельные слова: аферист говорит «наш банк», не называя наименование организации. Настоящий сотрудник банка называет его при каждом упоминании. К тому же злоумышленник делает ошибку, говоря «носитель карты» вместо «держатель карты». Настоящий сотрудник никогда так не ошибётся.

Помните: настоящий сотрудник колл-центра видит на экране абсолютно всю информацию о вас, которая доступна банку. Поэтому он не будет просить назвать, например, остаток на счёте — он и так увидит сумму остатка в системе.

И сотрудник банка никогда не попросит вас назвать ему CVV-код, цифры из СМС-кода или ПИН-код, он знает, что это секретная информация.

Проверьте собеседника: если он не может ответить на простой вопрос, например, назвать ваш баланс или номер карты, а, напротив, требует этого от вас, — это стопроцентно мошенник. 

Телефонные мошенники также могут отправлять якобы «из банка» СМС. Вас должно насторожить, если:

• в СМС неправильно написано имя получателя, название банка (например, изменена очерёдность букв: «Себрбанк», «Асболют») или оно написано с орфографическими ошибками; 
• СМС открывается в новой переписке, а не продолжает старую ветку.

1. Что делать в такой ситуации 
2. Единственный способ обезопасить себя при сомнительном разговоре с «банком» — повесить трубку и самостоятельно перезвонить по телефону, указанному на вашей карте.
3. То же самое касается и сомнительных СМС — не отвечайте на них и не переходите по ссылкам в сообщениях. 

2. Вымогать деньги от лица Росфинмониторинга

Злоумышленники могут угрожать заблокировать ваш счёт, если вы не заплатите им. Мошенники прикрываются законом о противодействии отмыванию преступных доходов.

Что делать в такой ситуации

Бросить трубку. Федеральная служба по финансовому мониторингу не взаимодействует напрямую с физлицами. А блокировкой счетов занимаются банки. 

Как защитить свои данные и деньги от мошенников

1. Предоставляйте паспортные данные только проверенным людям и компаниям, когда без этого просто нельзя заключить сделку (например, при оформлении кредита или договора купли-продажи). 
2. Проверяйте свою кредитную историю как минимум раз в полгода. Это бесплатно. Ещё можно настроить в БКИ получение сообщений о любых изменениях в кредитной истории. Но это платная услуга, например, в Объединённом кредитном бюро (ОКБ) подписка на месяц стоит 390 ₽, на год — 790 ₽.
3. Если вы делаете копии или сканы паспорта, по возможности пишите прямо на них, для какой компании или какого учреждения сделана копия. Ещё можно зачеркнуть на копии свою подпись.
4. Не паникуйте, если вам пишут или говорят о блокировке счёта или каких-то списаниях. Сразу прерывайте беседу и не отвечайте на СМС, а звоните в банк самостоятельно по номеру, указанному на вашей карте.
5. Если подозреваете телефонного собеседника в мошенничестве, попросите его назвать номер вашей карты или баланс.
6. Внимательно читайте сообщения из банка, чтобы не пропустить ошибок. Если они есть — это СМС от аферистов.
7. Никогда не переходите по ссылкам из СМС-сообщений и не открывайте пришедшие от незнакомцев файлы ни на каком устройстве.

Персональные данные: кто придёт вас проверить? — Право на vc.ru

Закон «О персональных данных» действует с 2006 года, но вопросов о порядке его применения до сих пор остаётся множество. Они возникают из-за нечётких формулировок, неполных определений, запутанных норм и т. д.

{«id»:47605,»gtm»:null}

К сожалению, закон — это только вершина айсберга. К нему прилагается очень много других документов, изданных разными ведомствами. И если вы каким-то образом используете персональные данные, эти ведомства могут вас проверить.

В этой статье мы расскажем о том, кто к вам может прийти, и что проверить.

Правительственной организацией, проверяющей исполнение закона «О персональных данных», назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На практике, она проверяет лишь «бумажную» сторону дела: внутренние документы, которые должны быть у вас по действующему закону.

Если для обработки данных вы используете компьютеры и компьютерные сети, кроме организационных и административных регламентов, вам неизбежно потребуются технические средства защиты. В некоторых случаях они должны быть сертифицированными.

Техническими средствами защиты данных занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК). Список сертифицированных средств защиты данных опубликован на сайте ФСТЭК.

Если в применённых вами средствах защиты данных использована криптография, к надзору подключается Федеральная служба безопасности РФ (ФСБ). Сертифицированные средства криптографической защиты перечислены на сайте ФСБ.

• Роскомнадзор
  • — Необходимость и наличие уведомления об операторской деятельности
  • — Наличие «Политики оператора в отношении обработки персональных данных»
  • — Опубликована ли Политика на сайте или иным способом?

  Имеется ли приказ о назначении лица, ответственного за осуществление Политики?

• ФСТЭК
  1. — Правильно ли определен тип угроз?
  2. — Правильно ли определена категория обрабатываемых данных?
  3. — Правильно ли определен требующийся уровень защищённости?
  4. — Правильно ли применены выбранные технические средства защиты?
• ФСБ

  — Используются ли криптографические средства защиты?

  — Сертифицированы ли средства, которые должны быть сертифицированы?

  — Правильно ли применены криптографические средства защиты?

Никакие другие ведомства проводить проверки по обработке персональных данных не уполномочены и, соответственно, заниматься такими проверками не могут.

Непосредственно для обработки персональных данных никакие лицензии не нужны, но для обеспечения их безопасности могут потребоваться сертифицированные технические средства.

• Ознакомиться с текстом федерального закона № 152 «О персональных данных»
• Понять, какого рода данные вы планируете обрабатывать, и распространяется ли на вас действие указанного закона
• Осознать угрозы, которые могут возникать в отношении обрабатываемых вами данных
• Определить способы и инструменты защиты данных
• Составить и должным образом оформить внутренние регламентирующие документы
• Получить согласия лиц, персональные данные которых вы намерены обрабатывать
• Применить выбранные вами способы и инструменты защиты данных
• Уточнить, нет ли других норм, относящихся к вашему случаю

В большинстве случаев утечка персональных данных — результат безалаберности и игнорирования элементарных правил информационной безопасности сотрудниками компании, а не каких-то серьёзных технических просчётов.

Если к вам придут с проверкой, а вы не соответствуете ФЗ-152, вы отделаетесь штрафом. И такое случается крайне редко. А вот если произойдёт утечка данных, скорее всего, вы потеряете бо́льшую часть клиентов, причём, навсегда.

Именно поэтому нужно начинать с внутренних правил и организации работы сотрудников, имеющих доступ к персональным данным ваших клиентов.

• Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006

Ничего личного: как защитить свои персональные данные от излишнего любопытства банков

Клиенты все чаще подозревают банки в некорректной работе с персональными данными. Где границы дозволенного законом и как на них указать финансовым организациям?

В 2018 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора.

По данным ведомства, последние пару лет количество таких обращений снижается, но кредитные организации по-прежнему остаются в топ-листе «нарушителей».

В отчете за прошлый год нет информации о доле поданных банковскими клиентами жалоб, которые были признаны обоснованными. В 2015-м по итогам проверок нарушения подтвердились в 35% случаев.

Банки.ру изучил отзывы на форуме и в «Народном рейтинге» и выявил пять распространенных поводов для недовольства клиентов.

Атака рекламой

«Достали уже! Никакой управы на них нет! Постоянно звонят и предлагают свои кредитные карты и кредиты!! Сколько можно уже?! Когда уже все это закончится!» — возмущался один из пользователей «Народного рейтинга». Он, как и многие клиенты банков, готов получать услуги, но без лишнего рекламного сопровождения.

«Угораздило меня полгода назад открыть в Восточном Банке депозит на небольшую сумму. С тех пор на мой телефон регулярно идут холодные звонки с различными предложениями финансовых услуг от банка.

При этом я ставлю контакт в черный список, но в следующий раз мне звонят с другого номера. Присылаете СМС, шлете спам в почту, ну этого хватит.

Зачем человеку мешать работать?» — писала еще одна недовольная клиентка.

Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента.

К персональным данным относятся фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное, социальное или имущественное положение, образование, профессия, уровень дохода, перечисляет партнер юридического бюро «Замоскворечье» Дмитрий Шевченко.

Сюда же попадает биометрическая информация, банковская и кредитная история, если верить условиям обработки персональных данных на сайтах финансовых организаций. И это только очевидная часть обрабатываемых персональных данных, подчеркивает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Подобные сведения необходимы не только для проверки личности, но и для оценки платежеспособности клиента, замечает зампред правления банка «Ренессанс Кредит» Сергей Королев.

Банки, как и любые операторы персональных данных, могут работать с личной информацией клиента только с его согласия, которое он дает, как правило, при первом обращении в кредитную организацию.

«Согласие должно быть конкретным, информированным и сознательным», — подчеркивает руководитель практики интеллектуального и информационного права юридической группы «Яковлев и партнеры» Анна Никитова.

Кредитные организации включают в подобные документы весь перечень действий, которые они хотели бы совершать с информацией о клиенте. Речь может идти в том числе о передаче данных партнерам, использовании их для рекламной рассылки или для анализа.

«Все, под чем подпишется клиент, тем и распоряжаются. Передают внутри своей группы компаний, в маркетинг, коллекторам — в зависимости от того, какой список компаний присутствует в соглашении на обработку персональных данных», — отмечает руководитель практики «ИТ-безопасность» «КСК Групп» Алексей Работягов.

Если бланк согласия не предусматривает точных формулировок, стоит выяснить пределы этого согласия, рекомендует Никитова. По словам специалистов, человек может одобрить одни операции и запретить другие.

Например, клиент может отказаться от получения рекламной рассылки, говорит Королев из «Ренессанс Кредита». Наличие такой опции также подтвердили в Сбербанке.

Еще порядка 15 крупных кредитных организаций, в которые обратился корреспондент Банки.ру, не дали ответа на этот вопрос.

Отказаться только от рекламной рассылки получается не всегда и не сразу. Чаще приходится сначала согласиться со всем, а потом отзывать согласие на использование персональных данных для рекламных целей, поясняет Работягов.

Юрист Дмитрий Шевченко сомневается, что такие отказы дадут эффект: «Направление банком СМС-сообщения не может нарушить прав клиента применительно к положениям закона о персональных данных.

Более того, в направляемых сообщениях обычно не указываются персональные данные либо другая информация, по которой возможно идентифицировать конкретного клиента банка».

Прости-прощай

Если клиент хочет расстаться с кредитной организацией, это не означает автоматического удаления персональных данных. В теории они хранятся и используются, пока действует договор сторон. А в реальности многие игроки не спешат избавляться от ценной информации.

«Столкнулся с такой проблемой: не могу отозвать из ряда банков свои персональные данные! Прихожу в офис Россельхозбанка, озвучиваю свое пожелание, а на меня таким взглядом смотрят и говорят, что они про такое не слышали! Я, конечно, настоял на заявлении, но ответа не получил по истечении уже четырех месяцев!» — делился негативным опытом на форуме Банки.ру пользователь под ником savelich74.

Просьба удалить персональные данные должна подаваться в письменной форме — сразу в отделении или по почте. При этом банк должен уведомить клиента, что требование выполнено, объясняет Никитова.

Закон определяет 11 случаев, когда банк может обрабатывать персональные данные без согласия клиента, подчеркивает Дмитрий Кузнецов.

Например, если информация необходима для защиты законных интересов банка.

Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля, замечает Работягов.

«Персональные данные хранятся в течение сроков, установленных действующим законодательством, например, при отсутствии действующего договора — в течение пяти лет с даты прекращения договора», — подтвердили в Райффайзенбанке.

В Сбербанке озвучили тот же срок хранения личной информации клиента, сославшись на требования 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». — Прим. ред.).

Получается, что право на отзыв своих персональных данных у клиента есть, а вот шансов на положительный результат — гораздо меньше.

Предложение от незнакомца

Рекламные и продуктовые предложения поступают клиентам от банков и организаций, с которыми те никогда не связывались.

«Прекратите названивать с различных номеров с вашими предложениями! Согласие на обработку данных в вашем банке я не давала!» — жаловалась пользователь «Народного рейтинга» на Тинькофф Банк.

Зачастую подобное взаимодействие с клиентом дает обратный эффект. Вместо интереса к продукту банк провоцирует раздражение.

«Сегодня на почту приходит предложение оформить кредит. Никаких контактов с банком у меня не было. С чего бы банк стал предлагать мне кредиты? В общем, крупный банк занимается рассылкой спама. Всех бесят спамерские рассылки с любыми предложениями. Теперь я ни за что не обращусь в этот банк для получения банковских услуг», — писала несостоявшаяся клиентка Хоум Кредит Банка.

Закон не запрещает банкам получать персональные данные граждан из общедоступных источников. Аналогичный пункт есть в большинстве документов, которые описывают политику кредитных организаций в отношении персональных данных. Вопрос в том, что считать общедоступным источником.

Например, в 2017 году Сбербанк сообщал о намерении проверять заемщиков по «цифровому следу» — открытым данным из соцсетей. Неясно, широко ли это применяется на практике госбанком и другими игроками, но некоторые участники рынка обращают внимание на то, что такой подход несет определенные риски.

Национальное бюро кредитных историй пробовало собирать открытую информацию в соцсетях, но в итоге столкнулось с судебным иском, рассказал на Scoring Case Forum директор по маркетингу НБКИ Алексей Волков.

«Дело даже не в вопросе, чьи это данные, а в вопросе самого субъекта и его согласия. Суд решил, что данные в соцсетях не являются открытыми, кто бы что ни считал.

Исходя из понимания, что для нас как для бюро, для структуры сверхпубличной, продолжение этой практики является токсичным, мы этот проект свернули», — пояснил эксперт.

Использование открытых данных для «холодных звонков» — это тоже нарушение закона, утверждают собеседники Банки.ру. «Организация должна получить ваше согласие еще до того, как сотрудник кол-центра наберет ваш телефонный номер», — поясняет Кузнецов. Другой вопрос, как пресечь эту активность банка.

«Можно оставить требование о прекращении обработки по телефонному номеру, а также получить информацию о юридическом адресе, на который вы впоследствии направите письменное заявление об удалении ваших персональных данных.

А также предупредить об ответственности за нарушение законодательства (КоАП РФ, статья 13.11) и обозначить намерение направить жалобу в Роскомнадзор», — советует Никитова.

Все так, но банки изворачиваются, замечает Работягов: «Говорят, что по телефону такой информации не дадим, приходите, пишите официально. Клиенты «забивают», а банк тихонько удаляет их из обзвонной базы».

По словам Кузнецова, обзвоны, как правило, делают не банки, а сторонние организации, поэтому привлечь к ответственности такой кол-центр крайне сложно.

За того парня

Посторонним может оказаться не только банк, но и клиент. Нередко людям поступают сообщения, которые их вообще не касаются. Например, банк звонит по поводу чужого долга. «Названивают каждый день. Какой-то человек оставил в качестве контактного мой номер телефона.

Ищут должника, выпытывают мою личную информацию, разговаривают так, как будто это я им должна, грубо, требовательно.

Почему при взятии кредита вы не обзваниваете оставленные вам дополнительные номера телефонов??? Я запрещаю вам беспокоить меня, человека, который не знает никаких ваших должников», — жаловалась пользователь «Народного рейтинга» на банк «Восточный».

Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи. У экспертов нет единого мнения, считается ли это нарушением закона «О персональных данных». «Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться.

Отдельного согласия от них не требуется: либо клиент сам уведомляет третьих лиц о дальнейшей обработке их персональных данных банком, либо их уведомляет непосредственно банк», — поясняет зампред «Ренессанс Кредита». В Райффайзенбанке противоречия также не увидели: «Набор таких данных, как имя и телефон, не позволяет определить конкретное физлицо».

«Такой подход не совпадает с основной идеей закона, но банки изворачиваются. Иногда платят штрафы, но в целом принимают риски», — резюмирует Работягов. В таких случаях юристы рекомендуют клиентам обращаться в банк и писать заявление на отзыв персональных данных. Основанием, в частности, может служить то, что вы не являетесь стороной договора.

Утечка без доказательств

Реклама — меньшая из бед, которые могут произойти. Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка.

«Уже несколько лет храню вклады в Московском Кредитном Банке, вклады достаточно крупные.

И каждый раз, стоит мне пополнить вклад, как через день начинают поступать звонки от всяких коммерческих организаций с предложениями вложить мои деньги на более выгодных условиях, ситуация тянется не первый год…

Посоветуйте, пожалуйста, что делать?! Получается, что сотрудники продают или передают бесплатно информацию о моих счетах, мой адрес и т. д.!» — писала пользователь форума Банки.ру под ником KateV.

Аналогичные подозрения возникают у клиентов, когда от имени банка им начинают звонить мошенники.

«Когда звонят конкретно клиенту банка, владея персональными данными, звонят высокопрофессиональные подготовленные мошенники, как в моем случае, звонили с номеров горячей линии банка (на другой номер я бы не повелась).

Многие пишут, что работники банка слили инфу (в некоторых банках мне сказали, что за деньги купить можно все)», — отмечала форумчанка под ником 777kolibri_2010.

Российское законодательство предусматривает ответственность оператора за утечку персональных данных или некорректную работу с ними. Это может быть административный штраф до 75 тыс. рублей за каждое нарушение, говорит Дмитрий Шевченко.

В 2018 году Роскомнадзор выписал таких штрафов на 3,9 млрд рублей.

«Если разглашение персональных данных привело к гражданско-правовым последствиям, к примеру, причинен моральный вред, либо разглашение привело к убыткам субъекта персональных данных, то может быть предъявлен иск о возмещении убытков и компенсации морального вреда», — отмечает Никитова.

Однако утечку личной информации еще нужно доказать, подчеркивают собеседники Банки.ру. «Это практически нереально, так как не доказать, что есть ущерб.

Вот утекут данные и деньги, тогда другой вопрос», — констатирует Работягов.

«Чтобы привлечь оператора, допустившего утечку, к ответственности, придется доказывать, что он или нарушил требования по обеспечению безопасности, или слил данные сознательно», — заключает Кузнецов из Positive Technologies.

Мнения экспертов подтверждает статистика. По данным Право.ru, в прошлом году российские суды рассмотрели всего 160 исков клиентов к банкам, которые касались нарушения закона «О персональных данных». Лишь 16% обращений были удовлетворены полностью или частично.

В 2017-м этот показатель был на уровне 15,5%, хотя самих споров суды рассмотрели в пять раз больше. В последние годы россияне стали с большим трепетом относиться к теме персональных данных, говорит Никитова. Кроме того, ужесточилась ответственность бизнеса за нарушения закона.

Это влияет на судебную практику, хотя с цифрами не поспоришь: россияне редко идут в суд для защиты своих персональных данных и еще реже выигрывают в спорах.

Юлия КОШКИНА, Banki.ru