Как не нужно составлять согласие на обработку персональных данных

Информационный центр corporate blogInformation SecurityLegislation in IT
И какие согласия не стоит подписывать.



Доброго времени суток, Хабр!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.

Текст согласия начинается со слов:
Согласие дается мною для целей заключения с Банком любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Банком услугах и распространяется на следующую информацию: фамилия, имя, отчество… и любая иная информация, относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Банку (далее — «Персональные данные»)
Здесь прекрасно все. Даю свое согласие на обработку любых персональных данных с любыми целями. Ага, щас. Вот что нам говорит об этом федеральный закон №152-ФЗ «О персональных данных»:
ч. 2 статьи 5:
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Разжевывать не буду. На Хабре люди умные, сами понимаете какие тут коллизии формулировок согласия и закона. А еще немного заставила потупить фраза «любой конкретный момент времени». Хотя может с этой конструкцией и все нормально, если есть филологи, добро пожаловать в комментарии.

Едем дальше. Текст согласия (орфография и пунктуация сохранены):
Настоящее согласие действует в течении 5 (пяти) лет после истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации и договорными отношениями, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия.
Мне жаль огорчать Банк, но согласие в соответствии с частью 2 статьи 9 все того же закона «О персональных данных» может быть отозвано в любой момент. Да и вообще что за бред — согласие может быть отозвано только после завершения срока действия согласия?

Далее идет абзац о действиях, которые можно совершать с моими персональными данными. Я даже не буду приводить оттуда цитату. Думаю итак понятно, что действия могут совершаться любые.

Ну и последний абзац тоже шедеврален (орфография и пунктуация сохранены):
Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе некредитной и небанковской организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия.
Просто шикарно. Мало того, что Банк может делать что хочет с моими ЛЮБЫМИ персональными данными, так он еще и имеет право передавать их кому угодно, как угодно, в каком угодно объеме.

Что говорит закон?
часть 1 статьи 9:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Извините, но ЭТО назвать «информированным и конкретным» язык не поворачивается.

При этом и регуляторы на проверках по нашему опыту за такие «согласия» сразу выписывают штраф. Я, в общем-то, и начал подписывать не глядя, думая, что такие тексты сгинули где-нибудь в 2012 году, а то и раньше. Печально видеть такое от финансовой организации, в которой наверняка сидит орава юристов.

Что же делать вам как организации? Составлять действительно конкретные и информированные согласия. Четко и не двусмысленно формулировать цели обработки и конкретные категории персональных данных, которые не являются излишними по заявлению к указанным целям. Если планируете передавать персональные данные третьим лицам, то придется попотеть и указать конкретные третьи лица, конкретные передаваемые персональные данные и конкретные цели такой передачи (важно помнить, что здесь не нужно указывать, то что вы обязаны передавать в соответствии с какими-либо Федеральными законами).

Что вам делать как субъекту персональных данных, если видите такое согласие? Тут все зависит от конкретной ситуации. Если вы откажитесь подписать согласие, то вам скорее всего сообщат, что в таком случае вам не смогут оказать услугу. Если услуга вам очень нужна, подписывайте согласие, получайте услугу, но потом можно нажаловаться на нарушение закона «О персональных данных» например сюда.

И помните, что если вы что-то где-то подписали, то это еще не значит, что Банк или кто-либо еще после этого может творить что захочет с вашими персональными данными. Любые договоры, согласия и прочие документы, прямо противоречащие действующему законодательству являются незаконными.

Что касается конкретной истории, то «куда надо» я сообщил. Ждем развития ситуации. Собственно поэтому пока что не разглашаем название Банка, вдруг одумается и исправится. Если нет, то, видимо, будет вторая часть — продолжение, в том числе с оглашением имен «героев» и реакцией регуляторов.

UPD 29.11.2019:
Пришел ответ от РКН на мое обращение:
… сначала идут цитаты из 152-ФЗ на 2 страницы..., затем:

Дополнительно сообщаю, что оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российский Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора.
В соответствии с пп. «б» п. 8 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13.02.2019 № 146 (далее – Правила), внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных.
Вместе с тем, обстоятельства, указанные в Вашем обращении, не подпадают под основания, установленные Правилами, в связи с чем, Ваше обращение не является основанием для проведения Управлением Роскомнадзора по Приморскому краю внеплановой проверки.
Вы имеете право самостоятельного обращения в суд с исковым заявлением, если полагаете, что нарушены Ваши права как субъекта персональных данных. С порядком защиты Ваших прав можете ознакомиться в главе 3 «Права субъекта персональных данных».


Чего и требовалось ожидать: «Спи спокойно, гражданин, твои права не нарушаются»
Tags:152-фзперсональные данныесогласиекак не надо делать
Hubs: Информационный центр corporate blog Information Security Legislation in IT
+119
58.3k 211
Comments 115

Information

Founded
Location
Россия
Website
ic-dv.ru
Employees
51–100 employees
Registered