ЦБ и Роскомнадзор рекомендуют банкам изменить подход к обработке персональных данных клиентов. Помогут ли регуляторы ограничить передачу данных третьим лицам и снизить риск утечек?
Как сейчас банки используют наши персональные данные и почему мы на это соглашаемся
Кредитные организации являются операторами персональных данных. Для клиента это значит, что они имеют право собирать и обрабатывать личную информацию о нем, например, для заключения и исполнения кредитного договора. Такие действия с личной информацией возможны только с согласия клиента. Клиент может «согласиться», поставив галочку в бумажном договоре, электронной форме или даже — сюрприз-сюрприз! — просто изучая информацию на сайте.
Последний вариант реализовал на своем веб-ресурсе, в частности, СберБанк. Он предупреждает посетителей, что при работе с сайтом они автоматически дают банку согласие на обработку своих персональных данных. Конечно, перечень данных, к которым банк в этом случае получит доступ, будет ограниченным и обезличенным, но в дальнейшем они могут быть использованы для дополнения цифрового профиля пользователя.
Финансовые организации любят включать текст соглашения на обработку и использование персональных данных в другие документы, что не позволяет ограничить использование этих сведений: отказываясь делиться своими персональными данными, клиент фактически отказывается от услуги.
«Часто в банках вы не получаете договор или соглашение на руки, а просто принимаете оферту, даете свое согласие на присоединение к общим условиям, а там вы всё автоматически разрешаете. Конечно, это несправедливо, особенно по отношению к социально значимому населению», — считает председатель правления потребительского кооператива «Инвестиционный капитал» Андрей Каредин.
Обычно организации запрашивают у клиентов следующие сведения: пол, возраст, семейное положение, e-mail и т. п., но это лишь видимая часть айсберга, считает основатель DBX Digital Ecosystem Игорь Захаров. Помимо этих сведений, финансовые организации фиксируют и анализируют и другую информацию: время и длительность активности пользователей на сайте и в личном кабинете (оценивается системами CRM и сервисами веб-аналитики), операции по счетам, направления движения средств, назначения переводов и платежей и др.
ФактКому и зачем банки передают наши персональные данные
Финансовые организации собирают и используют наши персональные данные непосредственно для заключения и исполнения договора и для собственных нужд, например в рекламных целях. По мнению Андрея Каредина, особенно этим грешат крупные игроки, имеющие собственные экосистемы. «Получается уже фактически спамерская атака, вот ЦБ и Роскомнадзор и вмешиваются», — отмечает Каредин.
Помимо этого, в рамках своих бизнес-процессов банки могут передавать личную информацию о клиентах другим организациям. Как правило, это бюро кредитных историй, страховые компании, операторы связи, коллекторские агентства и партнеры банка.
Причина, по которой личная информация так свободно передается организациям, не имеющим прямого отношения к банковской деятельности, — в размытости формулировок, которые кредитные организации зачастую используют в соглашениях о передаче и использовании персональных данных.
«В настоящее время на практике кредитные организации включают максимально расплывчатые и широкие формулировки, касающиеся обработки персональных данных клиентов, что позволяет им передавать эти данные достаточно широкому кругу лиц, напрямую никак не связанных с банковской деятельностью. Такая информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после фактического прекращения кредитных отношений между банком и клиентом», — поясняет партнер коллегии адвокатов Pen & Paper Сергей Учитель.
Что рекомендуют ЦБ и Роскомнадзор
В начале августа Центробанк и Роскомнадзор опубликовали совместное письмо, в котором рекомендовали финансовым организациям изменить подход к обработке персональных данных клиентов. Регуляторы считают, что банкам следует запрашивать у клиентов отдельное согласие в отношении каждого оператора, которому могут передаваться их персональные данные, включая биометрические. Помимо этого, в документах стоит указывать конкретную дату или период времени, в течение которых допускается обработка персональных данных, без возможности автоматической пролонгации этого срока. При этом обрабатывать данные, согласно закону, значит в том числе собирать, хранить и передавать их.
Роскомнадзор совместно с Банком России напоминает, что обработка персональных данных должна ограничиваться достижением заранее определенных целей, например исполнением обязательств по кредитному договору.
Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама
Стандартный текст заявления о согласии на обработку персональных данных обычно содержит формулировку, разрешающую передавать данные другим организациям. При этом большинство банков не утруждает себя перечислением этих организаций, отделываясь упоминанием загадочных «третьих лиц» или «партнеров». Что это значит на практике, большинство из нас знает на личном опыте: порой стоит один раз дать такое согласие, как на следующий день по «случайному» стечению обстоятельств телефон начинают обрывать эти самые «третьи лица» с предложениями взять кредит, подключить новый тариф сотовой связи или оформить страховку.
Конечно, исполнение рекомендаций регуляторов вряд ли полностью избавило бы нас от партнерского спама, однако необходимость получать от клиентов согласие на передачу их персональных данных каждому возможному партнеру, безусловно, существенно снизила бы энтузиазм финансовых организаций в части распространения этой информации. Кроме того, такая мера помогла бы сузить «круг подозреваемых» в поиске источников утечек личных данных, а заодно и вероятность таких утечек.
Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора
Комментируемые рекомендации, изданные в виде информационного письма, не являются нормативным актом ЦБ РФ, имеющим общеобязательный характер и содержащий норму права, поясняет Сергей Учитель. Но необходимо принять во внимание, что рекомендации исходят от главного регулятора банковского сектора, что влечет необходимость для кредитных организаций следовать этим рекомендациям или как минимум учитывать их в своей работе и в разрабатываемых внутренних документах, регламентах и процедурах. Нередко участники банковского сектора России придерживаются позиции, что издаваемые Центробанком рекомендации, комментарии и ответы на наиболее часто встречающиеся вопросы с точки зрения правового значения все равно имеют «силу закона».
Письмо носит рекомендательный характер, однако уже большинство финансовых учреждений могло убедиться по опыту, что отказ следовать рекомендациям регулятора в последующем приводит к более серьезным мерам, добавляет инвестиционный советник ООО «ПФО Холдинг» Руслан Исмаилов.
При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.
Кто должен отвечать за безопасность персональных данных
Согласно федеральному закону № 152-ФЗ, кредитная организация является оператором персональных данных и непосредственно несет перед клиентами ответственность за сохранность этих данных.
«Оператор персональных данных вправе поручить обработку данных другому лицу. Это делается на основании договора, в котором должны быть предусмотрены объемы передаваемых сведений, перечень действий с ними и прочее. При этом важно учитывать, что ответственной перед заемщиком за любые действия с личной информацией остается кредитная организация», — разъясняет Сергей Учитель.
Другой вопрос — как доказать, что в утечке данных виноват конкретный банк? «В 2020 году Центробанк заблокировал более 25 тысяч мошеннических телефонных номеров, — отмечает Исмаилов. — Тут мы имеем четкое понимание, что базы для обзвона формируются путем «слива» персональных данных из финансовых учреждений. Из федерального закона № 152-ФЗ следует, что максимальный срок хранения сведений, имеющихся в тех же самых банках, четко не определен, но в основном данные должны храниться на протяжении пяти лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет».
На вопрос Банки.ру о том, как и кому передаются персональные данные клиентов, СберБанк, МКБ, Россельхозбанк, Газпромбанк и УБРиР ответили, что обрабатывают эти данные в соответствии с положениями федерального закона № 152-ФЗ. Другие опрошенные нами банки воздержались от комментариев.
Юлия КРИВОШЕЕВА, Banki.ru
