Суд: банки обязаны хранить персональные данные своих клиентов не менее 5 лет, даже если они отозвали свое согласие
AlexLipa / Depositphotos.com
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (ч. 2 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Однако оператор вправе продолжить обработку сведений о лице без его согласия в случаях, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, оператора или третьих лиц или прямо закреплены в законе (п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ).
Так, по одному делу, где ответчиком выступил банк, персональные данные по требованию суда изъяты не были (апелляционное определение Московского городского суда от 14 июня 2019 года по делу № 33-25479). Гражданин обратился в банк с заявлением на открытие счета и получение банковской карты, в чем ему отказали. После этого он написал заявление об отзыве согласия на обработку его персональных данных и уничтожении их по соответствующему акту, который ему не был предоставлен. В связи с этим он обратился в суд с требованием к банку прекратить правоотношения между ними, восстановить положение дел, существовавшее до момента обращения в банк об открытии счетов, признать недействительными и отозвать сведения об истце, направленные в Росфинмониторинг.
Районный суд, а позднее, и апелляционный суд, куда обратился гражданин, отказали ему в удовлетворении исковых требований, указав на то, что хранение персональных данных должно осуществляться в форме, позволяющей определить их владельца, не дольше, чем этого требуют цели обработки полученной информации, если срок хранения сведений не установлен. Суды отметили, что обрабатываемая информация подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если не предусмотрено иное. При этом организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны хранить документы, содержащие сведения для идентификации личности, не менее пяти лет (п. 4 ст. 7 Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»). В связи с этим суды отметили, что банк должен хранить персональные данные истца в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу. Суды также напомнили, что банк обязан предоставлять информацию и документы, по запросу уполномоченного органа и это не будет являться нарушением служебной, банковской или коммерческой тайны.
При этом в случае отзыва согласия субъектом персональных данных, если не предусмотрено иное, оператор обязан прекратить их обработку не позднее 30 дней с даты поступления указанного отзыва, а значит клиенту банка не должны поступать звонки с предложениями услуг, однако суды этот вопрос не уточнили (п. 5 ст. 21 Закона № 152-ФЗ).
На основании какого закона действует банк при сборе персональных данных сбербанк
а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.
3. Классификация персональных данных и Субъектов персональных данных
4. Общие принципы обработки персональных данных
5. Основные участники системы управления процессом обработки персональных данных
6. Организация системы управления процессом обработки персональных данных
7. Заключительные положения
ПРИЛОЖЕНИЕ 1.
Список терминов и определений
Работник Банка – физическое лицо, заключившее с Банком трудовой договор. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Розничный клиент – физическое лицо, которое заключило с Банком договор на оказание услуг, включая получение услуг путем присоединения к условиям публичного договора, и персональные данные которого переданы Банку. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.
Представитель Корпоративного клиента – физическое лицо, персональные данные которого переданы Банку и
ПРИЛОЖЕНИЕ 2.
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
ПЦП – подразделения центрального подчинения ПАО Сбербанк. ЦА – Центральный аппарат ПАО Сбербанк. ЭБВНД – электронная база внутренних нормативных документов Банка.
ПРИЛОЖЕНИЕ 3.
ПЕРЕЧЕНЬ ССЫЛОЧНЫХ ДОКУМЕНТОВ
Реквизиты ВНД
Политика обработки персональных данных в ПАО Сбербанк № 3324
Подразделение-разработчик ВНД
Департамент развития отношений с клиентами и вторичных продаж
Исполнитель ВНД
Левочкина Жанэт, 36-532
Тип / вид ВНД
Код направления деятельности/код процесса
0100 / не применимо
Действие ВНД распространяется на подразделения
[X] Центральный аппарат
[X] Подразделения центрального подчинения
[X] Территориальные банки
[X] Внутренние структурные подразделения
[ ] Группа ПАО Сбербанк
[X] Филиалы за рубежом
ВНД по процессу верхнего уровня
История ВНД
Номер редакции
Реквизиты распорядительного документа, утвердившего ВНД / изменения в ВНД, дата и должность утвердившего лица
Постановление Правления ОАО «Сбербанк России», Протокол от 29.04.2014 № 506 § 27
Постановление Правления ПАО Сбербанк, Протокол от 17.11.2016 N 554 §29а
Постановление Правления ПАО Сбербанк, Протокол от 04.07.2017 № 607 §1а
Постановление Правления ПАО Сбербанк, Протокол от 28.12.2017 № 624 §118а
ВНД, которые утрачивают силу с вступлением в силу данного ВНД
Дата ввода ВНД в действие
Срок действия ВНД
С даты утверждения
Информация о проведении экспертизы с использованием краудсорсинга
ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «СБЕРБАНК РОССИИ»
УТВЕРЖДЕНА Постановлением Правления ОАО «Сбербанк России» Протокол от 29.04.2014 № 506 § 27
«29» апреля 2014г. № 3324
ПОЛИТИКА обработки персональных данных в ПАО Сбербанк (с учетом изменений №1 от 17.11.2016, №2 от 04.07.2017, № 3 от 28.12.2017)
Информация о том, как банк обрабатывает ваши данные и для чего
Политика конфиденциальности (privacy notice)
СберБанк очень серьезно относится к вопросам конфиденциальности и безопасности информации. Защита Ваших персональных данных — один из наших ключевых приоритетов.
С целью соблюдения Ваших прав и свобод в области защиты личной информации мы разработали Политику конфиденциальности. В ней объясняется, на каком основании, как и для каких целей мы обрабатываем персональные данные.
Настоящим ПАО Сбербанк (Россия, Москва, 117997, ул. Вавилова, д. 19) (далее — Банк/СберБанк) информирует физические лица (далее — субъекты данных) об их правах в части защиты персональных данных, а также об условиях и применяемых в ПАО Сбербанк принципах обработки персональных данных в соответствии с требованиями европейского Регламента по защите данных (GDPR).
Условия и принципы обработки персональных данных в СберБанке
В рамках своей деятельности Банк обрабатывает различные категории персональных данных. В данном разделе Вы можете ознакомиться с информацией о том, как и на каких основаниях СберБанк осуществляет обработку Ваших персональных данных, а также о правах, которыми Вы обладаете в этой связи.
Законность обработки персональных данных
СберБанк обрабатывает Ваши персональные данные в строгом соответствии с законом. Обработка персональных данных может производиться в следующих случаях:
1. Субъект данных дал явно выраженное согласие на обработку своих персональных данных для одной или нескольких конкретных целей*;
2. Обработка необходима для исполнения договора, в котором субъект данных является одной из сторон, или для принятия мер по требованию субъекта данных до заключения договора;
3. Обработка необходима для выполнения юридических обязательств, возложенных на Банк;
4. Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
5. Обработка необходима для выполнения задач, осуществляемых в интересах государства;
6. Обработка необходима для целей обеспечения законных интересов Банка или третьей стороны, за исключением случаев, когда такие интересы противоречат интересам или основным правам и свободам субъекта данных, которые требуют защиты персональных данных, в частности, если субъектом данных является ребенок.
*При наличии письменного согласия субъекта данных Банк может использовать полученные персональные данные для принятия решений, основанных на исключительно автоматизированной обработке (например, при принятии решения о предоставлении кредита).
Какие персональные данные мы обрабатываем и с какой целью?
В рамках осуществления своей деятельности Банк обрабатывает различные категории персональных данных. Перечень обрабатываемых персональных данных содержит, в том числе, следующую информацию:
1. Основная информация о субъекте (ФИО, контактные данные, паспортные данные, гражданство и т.д.);
2. Финансовое положение (банковская история, доход, имеющиеся активы и т.д.);
3. Социальное положение (профессия, трудовой стаж, образование, семейное положение и т.д.);
4. Информация, собранная и накопленная Банком в процессе предоставления услуг субъекту данных, в том числе сведения об истории использования услуг, продуктов и сервисов Банка;
5. Фотографические и/или видео изображения;
6. Информация о действиях, совершаемых на сайте и в мобильных приложениях Банка, а также сведения об используемых устройствах (такие как геолокация, IP-адреса, Cookies, данные о транзакциях и т.д.);
7. Специальные категории персональных данных (данные о состоянии здоровья), а также биометрические данные.
Мы собираем и обрабатываем персональные данные в рамках четко сформулированных целей, в том числе:
1. Заключение с физическими лицами любых договоров и их дальнейшее исполнение (например, договоров на предоставление банковских услуг);
2. Осуществление банковских операций и сделок;
3. Проведение Банком акций, опросов и исследований;
4. Предоставление информации об оказываемых Банком услугах, о разработке Банком новых продуктов и услуг;
5. Информирование клиентов о предложениях по продуктам и услугам Банка;
6. Формирование статистической отчетности;
7. Привлечение и отбор кандидатов на работу в Банке;
8. Регулирование трудовых и иных, непосредственно связанных с ними отношений;
9. Исполнение обязательств Банка в сфере трудового законодательства, права социального обеспечения и социальной защиты;
10. Выявление случаев мошенничества, хищения денежных средств со счета, иных противоправных действий, предотвращения таких противоправных действий;
11. Взаимодействие с клиентами, контрагентами и государственными/надзорными органами.
Как мы собираем персональные данные?
Персональные данные субъектов поступают в Банк строго для выполнения заранее определенных целей или требований законодательства различными способами, в том числе:
1. Напрямую от потенциальных или действующих клиентов Банка (их представителей, посредников, поручителей) или через третьих лиц;
2. Напрямую от работников группы компаний Сбербанк, их близких родственников, физических лиц, заключивших с Банком договор гражданско-правового характера или входящих в органы управления Банка;
3. Напрямую от кандидатов на вакансии или от внешних кадровых агентств;
4. От государственных органов и организаций;
5. Путем сбора и накопления новых персональных данных в ходе взаимодействия с субъектом (история продуктов, транзакций, обращений), в ходе использования субъектами персональных данных сайтов и мобильных приложений Банка (данные о местоположении, IP-адресах, действиях на сайте и в приложениях) или при получении вышеперечисленных персональных данных от третьих лиц;
6. Из общедоступных источников.
Как долго мы храним персональные данные?
Мы уважаем Ваши права и хотим убедиться, что Вы осведомлены о них. Каждый субъект данных, персональные данные которого обрабатываются Банком, обладает следующими правами:
Доступ к персональным данным
Субъект данных имеет право запросить подтверждение факта обработки его персональных данных. В случае такой обработки субъект данных имеет право на ознакомление с обрабатываемыми персональными данными, а также информацией о целях обработки, категории обрабатываемых данных, действиях с данными, получателях данных и гарантиях при передаче данных третьим лицам, сроках обработки, источниках получения данных, наличии исключительно автоматизированного процесса принятия решений. Субъект данных также имеет право на получение перечня обрабатываемых персональных данных.
Отзыв согласия на обработку персональных данных
В тех ситуациях, когда Банк использует в качестве основания для обработки персональных данных субъекта его согласие, субъект данных имеет право в любой момент отозвать данное им согласие. В каждом согласии на обработку персональных данных, которое субъект предоставляет Банку, предусмотрен порядок его отзыва — если субъект хочет отозвать какое-либо из согласий, данных им Банку, то он может воспользоваться порядком, непосредственно предусмотренным в таком согласии.
Исправление персональных данных
Субъект данных имеет право потребовать исправить свои персональные данные в случае обнаружения неточностей в составе персональных данных, которые обрабатываются Банком. Принимая во внимание цели обработки, субъект данных имеет право на внесение дополнений в персональные данные, в том числе посредством предоставления дополнительного заявления.
Ограничение обработки персональных данных
Субъект данных имеет право инициировать ограничение обработки всех или части своих персональных данных, если применяется одно из следующих условий:
Удаление персональных данных
Субъект данных имеет право потребовать удалить свои персональные данные из систем Банка и/или других имеющихся материальных источников, если применяется одно из следующих условий:
Переносимость данных
Субъект данных имеет право запросить в структурированном, универсальном и машиночитаемом формате перечень своих персональных данных, предоставленных Банку для обработки, и поручить Банку передать свои персональные третьему лицу при наличии соответствующей технической возможности у Банка. В данном случае Банк не несет ответственность за действия третьего лица, совершенные с персональными данными в дальнейшем.
Возражение против обработки персональных данных
Субъект данных имеет право возразить против обработки части или полного перечня своих персональных данных в целях, указанных при предоставлении в Банк своих персональных данных, кроме случаев, когда законные основания Банка для обработки превалируют над интересами, правами и свободами субъекта данных или обработка необходима для обоснования, осуществления или оспаривания судебных исков.
Отказ от маркетинговых активностей
Субъект данных имеет право потребовать ограничить обработку его персональных данных в целях маркетинговых активностей Банка.
Подача жалобы в национальный надзорный орган
Субъект данных имеет право подать жалобу в надзорный орган, если Банк каким-либо образом нарушает его права в области обработки персональных данных.
Жалоба может быть подана в надзорный орган страны постоянного пребывания субъекта в ЕС, страны его работы или страны, где, по мнению субъекта, были нарушены его права.
Для того, чтобы найти соответствующий национальный надзорный орган, в который можно подать жалобу, Вы можете воспользоваться списком на сайте Европейского совета по защите данных по следующей ссылке.
Технология, которая защищает ваши деньги и экономит время
Биометрия в Сбербанке
Технология, которая защищает ваши деньги и экономит время
Биометрия в Сбербанке
Технология, которая защищает ваши деньги и экономит время
Биометрия в Сбербанке
Технология, которая защищает ваши деньги и экономит время
Что такое биометрия
Биометрия — это система распознавания людей по физическим характеристикам. Именно так мы узнаем своих родных, друзей и знакомых, поэтому это самый естественный способ идентификации личности.
Чтобы сделать обслуживание проще и быстрее, СберБанк использует распознавание по лицу и голосу — только с согласия каждого клиента.
Обслуживание с биометрией удобнее и быстрее
Вы сможете проще решить свой вопрос в офисе банка — например, оформить карту. Для подтверждения вашей личности хватит взгляда в камеру. Технология в ближайшее время заработает во всех офисах.
Распознавание лица используется также в торговых точках и при входе на сайты банка и партнёров по Сбер ID.
При звонке в контактный центр пригодится голосовая биометрия — оператор задаст меньше вопросов для подверждения личности.
Ваши деньги защищены лучше
Лицо — ваш ключ, который очень сложно подделать. Поэтому если у мошенников окажутся ваши документы и личные данные, они не получат доступ к счёту. В то же время вас мы узнаем даже с новой причёской, макияжем или бородой
Оплачивайте одним взглядом
В магазинах со специальными терминалами можно совершать покупки без карты — просто посмотрите в камеру.
Заемщик вправе решать, кому доступны его персональные данные, считают в ЦБ. Что теперь изменится?
ЦБ и Роскомнадзор рекомендуют банкам изменить подход к обработке персональных данных клиентов. Помогут ли регуляторы ограничить передачу данных третьим лицам и снизить риск утечек?
Как сейчас банки используют наши персональные данные и почему мы на это соглашаемся
Кредитные организации являются операторами персональных данных. Для клиента это значит, что они имеют право собирать и обрабатывать личную информацию о нем, например, для заключения и исполнения кредитного договора. Такие действия с личной информацией возможны только с согласия клиента. Клиент может «согласиться», поставив галочку в бумажном договоре, электронной форме или даже — сюрприз-сюрприз! — просто изучая информацию на сайте.
Последний вариант реализовал на своем веб-ресурсе, в частности, СберБанк. Он предупреждает посетителей, что при работе с сайтом они автоматически дают банку согласие на обработку своих персональных данных. Конечно, перечень данных, к которым банк в этом случае получит доступ, будет ограниченным и обезличенным, но в дальнейшем они могут быть использованы для дополнения цифрового профиля пользователя.
Финансовые организации любят включать текст соглашения на обработку и использование персональных данных в другие документы, что не позволяет ограничить использование этих сведений: отказываясь делиться своими персональными данными, клиент фактически отказывается от услуги.
«Часто в банках вы не получаете договор или соглашение на руки, а просто принимаете оферту, даете свое согласие на присоединение к общим условиям, а там вы всё автоматически разрешаете. Конечно, это несправедливо, особенно по отношению к социально значимому населению», — считает председатель правления потребительского кооператива «Инвестиционный капитал» Андрей Каредин.
Обычно организации запрашивают у клиентов следующие сведения: пол, возраст, семейное положение, e-mail и т. п., но это лишь видимая часть айсберга, считает основатель DBX Digital Ecosystem Игорь Захаров. Помимо этих сведений, финансовые организации фиксируют и анализируют и другую информацию: время и длительность активности пользователей на сайте и в личном кабинете (оценивается системами CRM и сервисами веб-аналитики), операции по счетам, направления движения средств, назначения переводов и платежей и др.
Кому и зачем банки передают наши персональные данные
Финансовые организации собирают и используют наши персональные данные непосредственно для заключения и исполнения договора и для собственных нужд, например в рекламных целях. По мнению Андрея Каредина, особенно этим грешат крупные игроки, имеющие собственные экосистемы. «Получается уже фактически спамерская атака, вот ЦБ и Роскомнадзор и вмешиваются», — отмечает Каредин.
Помимо этого, в рамках своих бизнес-процессов банки могут передавать личную информацию о клиентах другим организациям. Как правило, это бюро кредитных историй, страховые компании, операторы связи, коллекторские агентства и партнеры банка.
Причина, по которой личная информация так свободно передается организациям, не имеющим прямого отношения к банковской деятельности, — в размытости формулировок, которые кредитные организации зачастую используют в соглашениях о передаче и использовании персональных данных.
«В настоящее время на практике кредитные организации включают максимально расплывчатые и широкие формулировки, касающиеся обработки персональных данных клиентов, что позволяет им передавать эти данные достаточно широкому кругу лиц, напрямую никак не связанных с банковской деятельностью. Такая информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после фактического прекращения кредитных отношений между банком и клиентом», — поясняет партнер коллегии адвокатов Pen & Paper Сергей Учитель.
Что рекомендуют ЦБ и Роскомнадзор
В начале августа Центробанк и Роскомнадзор опубликовали совместное письмо, в котором рекомендовали финансовым организациям изменить подход к обработке персональных данных клиентов. Регуляторы считают, что банкам следует запрашивать у клиентов отдельное согласие в отношении каждого оператора, которому могут передаваться их персональные данные, включая биометрические. Помимо этого, в документах стоит указывать конкретную дату или период времени, в течение которых допускается обработка персональных данных, без возможности автоматической пролонгации этого срока. При этом обрабатывать данные, согласно закону, значит в том числе собирать, хранить и передавать их.
Роскомнадзор совместно с Банком России напоминает, что обработка персональных данных должна ограничиваться достижением заранее определенных целей, например исполнением обязательств по кредитному договору.
Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама
Стандартный текст заявления о согласии на обработку персональных данных обычно содержит формулировку, разрешающую передавать данные другим организациям. При этом большинство банков не утруждает себя перечислением этих организаций, отделываясь упоминанием загадочных «третьих лиц» или «партнеров». Что это значит на практике, большинство из нас знает на личном опыте: порой стоит один раз дать такое согласие, как на следующий день по «случайному» стечению обстоятельств телефон начинают обрывать эти самые «третьи лица» с предложениями взять кредит, подключить новый тариф сотовой связи или оформить страховку.
Конечно, исполнение рекомендаций регуляторов вряд ли полностью избавило бы нас от партнерского спама, однако необходимость получать от клиентов согласие на передачу их персональных данных каждому возможному партнеру, безусловно, существенно снизила бы энтузиазм финансовых организаций в части распространения этой информации. Кроме того, такая мера помогла бы сузить «круг подозреваемых» в поиске источников утечек личных данных, а заодно и вероятность таких утечек.
Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора
Комментируемые рекомендации, изданные в виде информационного письма, не являются нормативным актом ЦБ РФ, имеющим общеобязательный характер и содержащий норму права, поясняет Сергей Учитель. Но необходимо принять во внимание, что рекомендации исходят от главного регулятора банковского сектора, что влечет необходимость для кредитных организаций следовать этим рекомендациям или как минимум учитывать их в своей работе и в разрабатываемых внутренних документах, регламентах и процедурах. Нередко участники банковского сектора России придерживаются позиции, что издаваемые Центробанком рекомендации, комментарии и ответы на наиболее часто встречающиеся вопросы с точки зрения правового значения все равно имеют «силу закона».
Письмо носит рекомендательный характер, однако уже большинство финансовых учреждений могло убедиться по опыту, что отказ следовать рекомендациям регулятора в последующем приводит к более серьезным мерам, добавляет инвестиционный советник ООО «ПФО Холдинг» Руслан Исмаилов.
При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.
Кто должен отвечать за безопасность персональных данных
Согласно федеральному закону № 152-ФЗ, кредитная организация является оператором персональных данных и непосредственно несет перед клиентами ответственность за сохранность этих данных.
«Оператор персональных данных вправе поручить обработку данных другому лицу. Это делается на основании договора, в котором должны быть предусмотрены объемы передаваемых сведений, перечень действий с ними и прочее. При этом важно учитывать, что ответственной перед заемщиком за любые действия с личной информацией остается кредитная организация», — разъясняет Сергей Учитель.
Другой вопрос — как доказать, что в утечке данных виноват конкретный банк? «В 2020 году Центробанк заблокировал более 25 тысяч мошеннических телефонных номеров, — отмечает Исмаилов. — Тут мы имеем четкое понимание, что базы для обзвона формируются путем «слива» персональных данных из финансовых учреждений. Из федерального закона № 152-ФЗ следует, что максимальный срок хранения сведений, имеющихся в тех же самых банках, четко не определен, но в основном данные должны храниться на протяжении пяти лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет».
На вопрос Банки.ру о том, как и кому передаются персональные данные клиентов, СберБанк, МКБ, Россельхозбанк, Газпромбанк и УБРиР ответили, что обрабатывают эти данные в соответствии с положениями федерального закона № 152-ФЗ. Другие опрошенные нами банки воздержались от комментариев.
