Обработка персональных данных: главные вопросы
Основания обработки Персональных данных (ПДн) перечислены в части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Согласие на обработку ПДн является одним из оснований обработки ПДн. Другим часто встречающимся основанием обработки ПДн становится выполнение договора, в котором одна из сторон является владельцем данных. Это относится к заключению договора на банковское обслуживание и другим соглашениям между банком и клиентом.
Что понимается под обработкой персональных данных
Когда человек впервые обращается в банк за обслуживанием, ему необходимо подписать договор комплексного банковского обслуживания (ДКБО). ДКБО определяет условия и порядок предоставления банком услуг, а также порядок заключения отдельных соглашений. Речь о так называемых договорах о предоставлении банковского продукта в рамках дистанционных каналов обслуживания. Благодаря им клиент может оформлять любые продукты и пользоваться услугами дистанционно — на сайте или в приложении банка. ДКБО содержит ряд обязательных полей для заполнения: персональные данные, сведения о налоговом резидентстве и обязательствах клиента, а также ряд согласий со стороны обратившегося в банк человека. На последнем остановимся подробнее.
Что такое персональные данные (ПДн)? Прежде всего, это информация, которая однозначно идентифицирует человека, как субъекта персональных данных, или которая помогает это сделать. Это может быть фамилия, имя и отчество, дата рождения, данные паспорта, адрес места проживания, ИНН и пр. Также к ПДн относятся информация об образовании, родственниках, национальности и религиозных убеждения, медицинские сведения и многое другое. Это понятие открытое и постоянно расширяемое. Четко круг персональных данных не определен — российские юристы спорят об этом уже много лет.
ПДн, которые клиент (субъект ПДн) передает в банк, а банк принимает в обработку, должны соответствовать целям обработки, указанным в договоре и в согласии клиента на передачу/обработку. То есть формально у вас не могут попросить больше информации, чем необходимо для целей вашего обслуживания в банке. Например, банк не имеет права для целей оформления вами вклада требовать у вас предоставить информацию о состоянии вашего здоровья.
Согласие на обработку персональных данных — это документ, дающий разрешение банку (оператору ПДн) обрабатывать ваши ПДн в бумажном, электронном или смешанном виде. Банк в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» может осуществлять следующие действия с ПДн:
- сбор
- запись
- систематизацию
- накопление
- хранение
- уточнение (обновление, изменение)
- извлечение
- использование
- передачу (предоставление, доступ)
- блокирование
- удаление, уничтожение персональных данных
Важно помнить, что в соответствии с законом без получения предварительного согласия обрабатывать ПДн могут госорганы, суды, приставы и ряд других организаций.
Зачем банку нужны персональные данные клиентов
Цели использования ПДн прописываются в вашем письменном согласии на их обработку в банке. Чаще всего цели обработки ПДн следующие:
- Заключение договора
- Осуществление банковских операций
- Оценка платежеспособности клиента
- Проверка подлинности сведений о клиенте или потенциальном клиенте
- Продвижение услуг банка на рынке
Может ли банк передать персональные данные третьим лицам
Банк вправе передавать ПДн клиента третьим лицам только с согласия клиента. То есть подписывая такие согласия, вы соглашаетесь, что ваши ПДн могут использовать не только банк, но и сторонние организации для целей, указанных в тексте согласия на их передачу.
Передавая третьим лицам ПДн клиентов, банк соблюдает все требования законодательства для обеспечения их безопасной обработки и требует того же от третьих лиц.
Можно ли отозвать согласие на обработку и передачу персональных данных
Да, клиент может отозвать свое согласие на обработку и передачу ПДн. Делается это в той форме, которая указана в согласии.
После получения отзыва согласия банк должен выполнить требование в срок, который не превышает 30 дней. Однако здесь есть нюанс. Клиент может отозвать согласие в любое время, но если договор с оператором данных у него не прекращен, то оператор продолжает обработку ПДн до прекращения договора, а после наступления этого момента еще в течение срока, установленного законодательством. В соответствии с Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», российские банки обязаны хранить данные о клиентах не менее пяти лет после завершения договора.
То есть пока у вас есть непогашенный кредит или открытый счет в банке, а также остаются не расторгнутые договоры с банком, в том числе ДКБО, банк не прекратит обработку ПДн.
В случае отзыва клиентом согласия банк вправе также продолжить обработку ПДн без согласия при наличии иных оснований обработки ПДн, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». При этом в случае отзыва клиентом согласия на обработку его ПДн, Банк прекращает осуществлять рекламную рассылку в отношении данного клиента даже при наличии иных оснований для обработки его ПДн.
