защита персональных данных по кредитным договорам
Защита персональных данных в банках
Защита персональных данных
с помощью DLP-системы
З аключая договор на банковское обслуживание или оформляя кредит, клиент финансового учреждения предоставляет ему для обработки существенный массив своих персональных данных – от имени и реквизитов паспорта до сведений о недвижимости и семейном положении. Не всегда при этом он подписывает согласие на их обработку. Насколько защищены его права, и существует ли ответственность кредитных учреждений за неправомерную обработку персональных данных или передачу их третьим лицам?
Правила защиты персональных данных в банках
Степень успешности банковского бизнеса зависит во многом и от умения учреждения хранить банковскую тайну. Персональные данные клиентов имеют иной режим конфиденциальности, при их защите используются другие методы правового регулирования, но организационные и технические меры, применяемые для защиты обоих массивов данных, могут быть идентичными. Разница состоит лишь в том, что стандарты защиты устанавливаются:
Строгие требования побуждают банки системно подходить к защите персональных данных, тем более что их утечка несет за собой риски для деловой репутации и судебных исков, связанных с возмещением ущерба, причиненного гражданину.
В кредитном учреждении персональные данные граждан хранятся в следующих информационных системах:
Кроме того, на материальных носителях их можно найти в кредитных досье, в которых содержатся договоры, заявления на получение кредита, сведения о залогах и поручителях. Информация, находящаяся на материальных носителях, наименее защищена от утечек, происходящих в случае неправомерных действий сотрудников. Система защиты персональных данных клиентов банка в этом случае должна строиться на базе контроля за действиями инсайдеров силами служб безопасности.
Банки уже разработали технические системы защиты персональных данных, интегрированные с действующими в них информационными системами, обеспечивающими защиту сведений, относящихся к банковской тайне. Как показывает практика, внешние посягательства, хакерские атаки на банки больше нацелены на сведения, касающиеся счетов и вкладов, именно персональные данные интересуют преступников меньше. Но существует две группы рисков, о которых должен знать каждый доверяющий банку свои сведения:
В первом случае ответственность понесет конкретный сотрудник, во втором наказать банк сможет только суд, но не во всех случаях.
Нормативно-правовая документация, регулирующая защиту персональных данных в банках
Сейчас отношения в этой сфере регулируются шестью стандартами, каждый из которых освещает определенный вопрос безопасности, и дополнительно методическими рекомендациями, разработанными Ассоциацией российских банков (АРБ). Два стандарта посвящены непосредственно защите персональных данных в информационных системах банков и актуальной модели угроз.
Стандарты определяют необходимость создания нескольких дополнительных подсистем защиты. Это подсистемы:
В большинстве случаев системы, в которых обрабатывается банковская информация, не имеют самостоятельного доступа к сети Интернет. Но это не касается Клиент-Банка, модулей, обрабатывающих перевод денег на карты, и некоторых других баз данных. Если они имеют собственный выход в Сеть, дополнительно создаются подсистемы:
Для распределенной системы дополнительно необходимо устанавливать криптографические средства для шифрования и защиты передаваемых персональных данных.
Защита персональных данных при их передаче третьим лицам
Судебные процессы по взысканию морального вреда в случае передачи банками персональных сведений граждан коллекторам уже появились в практике. В большинстве случаев суды встают на сторону банков, если кредитное учреждение оговорило в согласии на обработку персональных данных право на передачу информации третьим лицам. Но, с другой стороны, судебная практика утверждает, что перечень таких лиц должен быть строго определен. Клиент банка – субъект персональных данных – не всегда подписывает отдельное согласие на обработку данных, иногда нормы, предполагающие именно такие условия их обработки, предусмотрены в кредитном договоре. Если согласие как отдельный документ, оформление которого предусмотрено законом об обработке персональных данных, оформлено не было, у клиента остается возможность взыскать с кредитного учреждения не очень большие, обычно не превышающие 10 тысяч рублей суммы в виде компенсации морального ущерба.
Правомерно и не вызывая каких-либо вопросов банк может передавать персональные данные клиентов:
Во всех остальных случаях гражданин должен быть проинформирован, кому именно будут переданы его персональные данные для обработки или в иных целях, и выразить на это свое согласие.
Заключая договор с банком, нужно крайне внимательно относиться к тем сведениям, которые ему передаются, тщательно изучать согласие на обработку персональных данных с точки зрения списка лиц, которым они могут быть переданы для обработки.
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы 1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Как происходит утечка персональных данных?
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
Какими могут быть последствия утечки данных?
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Что делать, если в распространении личной информации виноват банк?
Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).
Защита персональных данных по кредитным договорам
ПАМЯТКА ДЛЯ КРЕДИТНЫХ И МИКРОФИНАНСОВЫХ ОРГАНИЗАЦИЙПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПАМЯТКА
ДЛЯ КРЕДИТНЫХ И МИКРОФИНАНСОВЫХ ОРГАНИЗАЦИЙПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Кредитной организацией согласно ст. 1 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» является юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции.
Микрофинансовой организациейсогласно ст. 2 Федерального закона от 02.07.2010 № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях» является юридическое лицо, которое осуществляет микрофинансовую деятельность и сведения о котором внесены в государственный реестр микрофинансовых организаций.
Кредитная или микрофинансовая организация (далее – Организация) самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данныхработников, заемщиков, иных контрагентов и их представителей, а также других субъектов персональных данных, является Оператором персональных данных.
В соответствии с ч. 7 ст. 22 Федерального закона о персональных данных в случае изменения сведений, поданных Оператором (организацией) ранее в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных оператор (организация) обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Большинство Организаций посредством своих официальных сайтов предоставляют услуги пользователям этих сайтов, в связи с чем осуществляют сбор персональных данных граждан с использованием информационно-телекоммуникационной сети «Интернет» (регистрация на сайте, заполнение анкеты, предоставление различной информации через форму обратной связи, куда необходимо внести персональные данные).В данных случаях на сайте Организации должен быть размещён документ, определяющий политику в отношении обработки персональных данных.
Правовым основанием обработки Организацией персональных данных клиентов является согласие субъекта персональных данных на обработку его персональных данных, а также договор, заключенный Организацией с субъектом персональных данных.
В соответствии с пунктом 5 части 1 статьи 6 Федерального закона о персональных данных обработка персональных данных без согласия субъекта персональных данных допускается в случае, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Согласно пункту 7 части 1 статьи 6 Федерального закона о персональных данныхобработка персональных данных без согласия субъекта персональных данных допускается также в случае, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Основными нарушениями, допускаемыми кредитными и микрофинансовыми организациями при обработке персональных данных, являются:
представление в уполномоченный орган Уведомления об обработке персональных данных (Информационного письма), содержащего неполные и (или) недостоверные сведения;
обработка персональных данных субъектов без получения их согласия и при отсутствии иных, предусмотренных законом оснований;
поручение иному лицу осуществлять обработку персональных данных без согласия субъекта персональных данных;
непринятие мер по опубликованию в информационно-телекоммуникационной сети документа, определяющего политику оператора в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных.
Время публикации: 15.06.2018 10:40
Последнее изменение: 15.06.2018 10:40
Ничего личного: как защитить свои персональные данные от излишнего любопытства банков
Сохранение и защита персональных данных — скорее забота клиента, чем банка.
Клиенты все чаще подозревают банки в некорректной работе с персональными данными. Где границы дозволенного законом и как на них указать финансовым организациям?
В 2018 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора. По данным ведомства, последние пару лет количество таких обращений снижается, но кредитные организации по-прежнему остаются в топ-листе «нарушителей». В отчете за прошлый год нет информации о доле поданных банковскими клиентами жалоб, которые были признаны обоснованными. В 2015-м по итогам проверок нарушения подтвердились в 35% случаев.
Банки.ру изучил отзывы на форуме и в «Народном рейтинге» и выявил пять распространенных поводов для недовольства клиентов.
Атака рекламой
«Достали уже! Никакой управы на них нет! Постоянно звонят и предлагают свои кредитные карты и кредиты!! Сколько можно уже?! Когда уже все это закончится!» — возмущался один из пользователей «Народного рейтинга». Он, как и многие клиенты банков, готов получать услуги, но без лишнего рекламного сопровождения.
«Угораздило меня полгода назад открыть в Восточном Банке депозит на небольшую сумму. С тех пор на мой телефон регулярно идут холодные звонки с различными предложениями финансовых услуг от банка. При этом я ставлю контакт в черный список, но в следующий раз мне звонят с другого номера. Присылаете СМС, шлете спам в почту, ну этого хватит. Зачем человеку мешать работать?» — писала еще одна недовольная клиентка.
Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента. К персональным данным относятся фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное, социальное или имущественное положение, образование, профессия, уровень дохода, перечисляет партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. Сюда же попадает биометрическая информация, банковская и кредитная история, если верить условиям обработки персональных данных на сайтах финансовых организаций. И это только очевидная часть обрабатываемых персональных данных, подчеркивает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Подобные сведения необходимы не только для проверки личности, но и для оценки платежеспособности клиента, замечает зампред правления банка «Ренессанс Кредит» Сергей Королев. Банки, как и любые операторы персональных данных, могут работать с личной информацией клиента только с его согласия, которое он дает, как правило, при первом обращении в кредитную организацию. «Согласие должно быть конкретным, информированным и сознательным», — подчеркивает руководитель практики интеллектуального и информационного права юридической группы «Яковлев и партнеры» Анна Никитова.
Кредитные организации включают в подобные документы весь перечень действий, которые они хотели бы совершать с информацией о клиенте. Речь может идти в том числе о передаче данных партнерам, использовании их для рекламной рассылки или для анализа.
«Все, под чем подпишется клиент, тем и распоряжаются. Передают внутри своей группы компаний, в маркетинг, коллекторам — в зависимости от того, какой список компаний присутствует в соглашении на обработку персональных данных», — отмечает руководитель практики «ИТ-безопасность» «КСК Групп» Алексей Работягов.
Если бланк согласия не предусматривает точных формулировок, стоит выяснить пределы этого согласия, рекомендует Никитова. По словам специалистов, человек может одобрить одни операции и запретить другие. Например, клиент может отказаться от получения рекламной рассылки, говорит Королев из «Ренессанс Кредита». Наличие такой опции также подтвердили в Сбербанке. Еще порядка 15 крупных кредитных организаций, в которые обратился корреспондент Банки.ру, не дали ответа на этот вопрос.
Отказаться только от рекламной рассылки получается не всегда и не сразу. Чаще приходится сначала согласиться со всем, а потом отзывать согласие на использование персональных данных для рекламных целей, поясняет Работягов. Юрист Дмитрий Шевченко сомневается, что такие отказы дадут эффект: «Направление банком СМС-сообщения не может нарушить прав клиента применительно к положениям закона о персональных данных. Более того, в направляемых сообщениях обычно не указываются персональные данные либо другая информация, по которой возможно идентифицировать конкретного клиента банка».
Прости-прощай
Если клиент хочет расстаться с кредитной организацией, это не означает автоматического удаления персональных данных. В теории они хранятся и используются, пока действует договор сторон. А в реальности многие игроки не спешат избавляться от ценной информации.
«Столкнулся с такой проблемой: не могу отозвать из ряда банков свои персональные данные! Прихожу в офис Россельхозбанка, озвучиваю свое пожелание, а на меня таким взглядом смотрят и говорят, что они про такое не слышали! Я, конечно, настоял на заявлении, но ответа не получил по истечении уже четырех месяцев!» — делился негативным опытом на форуме Банки.ру пользователь под ником savelich74.
Просьба удалить персональные данные должна подаваться в письменной форме — сразу в отделении или по почте. При этом банк должен уведомить клиента, что требование выполнено, объясняет Никитова. Закон определяет 11 случаев, когда банк может обрабатывать персональные данные без согласия клиента, подчеркивает Дмитрий Кузнецов. Например, если информация необходима для защиты законных интересов банка.
Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля, замечает Работягов. «Персональные данные хранятся в течение сроков, установленных действующим законодательством, например, при отсутствии действующего договора — в течение пяти лет с даты прекращения договора», — подтвердили в Райффайзенбанке. В Сбербанке озвучили тот же срок хранения личной информации клиента, сославшись на требования 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». — Прим. ред.).
Получается, что право на отзыв своих персональных данных у клиента есть, а вот шансов на положительный результат — гораздо меньше.
Предложение от незнакомца
Рекламные и продуктовые предложения поступают клиентам от банков и организаций, с которыми те никогда не связывались.
«Прекратите названивать с различных номеров с вашими предложениями! Согласие на обработку данных в вашем банке я не давала!» — жаловалась пользователь «Народного рейтинга» на Тинькофф Банк.
Зачастую подобное взаимодействие с клиентом дает обратный эффект. Вместо интереса к продукту банк провоцирует раздражение.
«Сегодня на почту приходит предложение оформить кредит. Никаких контактов с банком у меня не было. С чего бы банк стал предлагать мне кредиты? В общем, крупный банк занимается рассылкой спама. Всех бесят спамерские рассылки с любыми предложениями. Теперь я ни за что не обращусь в этот банк для получения банковских услуг», — писала несостоявшаяся клиентка Хоум Кредит Банка.
Закон не запрещает банкам получать персональные данные граждан из общедоступных источников. Аналогичный пункт есть в большинстве документов, которые описывают политику кредитных организаций в отношении персональных данных. Вопрос в том, что считать общедоступным источником.
Например, в 2017 году Сбербанк сообщал о намерении проверять заемщиков по «цифровому следу» — открытым данным из соцсетей. Неясно, широко ли это применяется на практике госбанком и другими игроками, но некоторые участники рынка обращают внимание на то, что такой подход несет определенные риски.
Национальное бюро кредитных историй пробовало собирать открытую информацию в соцсетях, но в итоге столкнулось с судебным иском, рассказал на Scoring Case Forum директор по маркетингу НБКИ Алексей Волков. «Дело даже не в вопросе, чьи это данные, а в вопросе самого субъекта и его согласия. Суд решил, что данные в соцсетях не являются открытыми, кто бы что ни считал. Исходя из понимания, что для нас как для бюро, для структуры сверхпубличной, продолжение этой практики является токсичным, мы этот проект свернули», — пояснил эксперт.
Использование открытых данных для «холодных звонков» — это тоже нарушение закона, утверждают собеседники Банки.ру. «Организация должна получить ваше согласие еще до того, как сотрудник кол-центра наберет ваш телефонный номер», — поясняет Кузнецов. Другой вопрос, как пресечь эту активность банка.
«Можно оставить требование о прекращении обработки по телефонному номеру, а также получить информацию о юридическом адресе, на который вы впоследствии направите письменное заявление об удалении ваших персональных данных. А также предупредить об ответственности за нарушение законодательства (КоАП РФ, статья 13.11) и обозначить намерение направить жалобу в Роскомнадзор», — советует Никитова. Все так, но банки изворачиваются, замечает Работягов: «Говорят, что по телефону такой информации не дадим, приходите, пишите официально. Клиенты «забивают», а банк тихонько удаляет их из обзвонной базы».
По словам Кузнецова, обзвоны, как правило, делают не банки, а сторонние организации, поэтому привлечь к ответственности такой кол-центр крайне сложно.
За того парня
Посторонним может оказаться не только банк, но и клиент. Нередко людям поступают сообщения, которые их вообще не касаются. Например, банк звонит по поводу чужого долга. «Названивают каждый день. Какой-то человек оставил в качестве контактного мой номер телефона. Ищут должника, выпытывают мою личную информацию, разговаривают так, как будто это я им должна, грубо, требовательно. Почему при взятии кредита вы не обзваниваете оставленные вам дополнительные номера телефонов. Я запрещаю вам беспокоить меня, человека, который не знает никаких ваших должников», — жаловалась пользователь «Народного рейтинга» на банк «Восточный».
Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи. У экспертов нет единого мнения, считается ли это нарушением закона «О персональных данных». «Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться. Отдельного согласия от них не требуется: либо клиент сам уведомляет третьих лиц о дальнейшей обработке их персональных данных банком, либо их уведомляет непосредственно банк», — поясняет зампред «Ренессанс Кредита». В Райффайзенбанке противоречия также не увидели: «Набор таких данных, как имя и телефон, не позволяет определить конкретное физлицо».
«Такой подход не совпадает с основной идеей закона, но банки изворачиваются. Иногда платят штрафы, но в целом принимают риски», — резюмирует Работягов. В таких случаях юристы рекомендуют клиентам обращаться в банк и писать заявление на отзыв персональных данных. Основанием, в частности, может служить то, что вы не являетесь стороной договора.
Утечка без доказательств
Реклама — меньшая из бед, которые могут произойти. Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка.
«Уже несколько лет храню вклады в Московском Кредитном Банке, вклады достаточно крупные. И каждый раз, стоит мне пополнить вклад, как через день начинают поступать звонки от всяких коммерческих организаций с предложениями вложить мои деньги на более выгодных условиях, ситуация тянется не первый год. Посоветуйте, пожалуйста, что делать?! Получается, что сотрудники продают или передают бесплатно информацию о моих счетах, мой адрес и т. д.!» — писала пользователь форума Банки.ру под ником KateV.
Аналогичные подозрения возникают у клиентов, когда от имени банка им начинают звонить мошенники. «Когда звонят конкретно клиенту банка, владея персональными данными, звонят высокопрофессиональные подготовленные мошенники, как в моем случае, звонили с номеров горячей линии банка (на другой номер я бы не повелась). Многие пишут, что работники банка слили инфу (в некоторых банках мне сказали, что за деньги купить можно все)», — отмечала форумчанка под ником 777kolibri_2010.
Российское законодательство предусматривает ответственность оператора за утечку персональных данных или некорректную работу с ними. Это может быть административный штраф до 75 тыс. рублей за каждое нарушение, говорит Дмитрий Шевченко. В 2018 году Роскомнадзор выписал таких штрафов на 3,9 млрд рублей. «Если разглашение персональных данных привело к гражданско-правовым последствиям, к примеру, причинен моральный вред, либо разглашение привело к убыткам субъекта персональных данных, то может быть предъявлен иск о возмещении убытков и компенсации морального вреда», — отмечает Никитова.
Однако утечку личной информации еще нужно доказать, подчеркивают собеседники Банки.ру. «Это практически нереально, так как не доказать, что есть ущерб. Вот утекут данные и деньги, тогда другой вопрос», — констатирует Работягов. «Чтобы привлечь оператора, допустившего утечку, к ответственности, придется доказывать, что он или нарушил требования по обеспечению безопасности, или слил данные сознательно», — заключает Кузнецов из Positive Technologies.