Данные клиента - собственность банка Тинькофф, или как банк не выполняет нормы 152-ФЗ "О персональных данных"
Пользуюсь услугами Тинькофф достаточно давно, и по большей части, вполне доволен. В некоторых случаях даже более чем оправдали ожидания (кредит для физ лица который только ИП). Есть мелкие нюансы, но глобально всё нравилось, пока.
При этом, вызывает озабоченность появление большого количества статей в Приёмной о мошеннических действиях, и стандартных отписках банка. В связи с этим, я составил обращение (5-7835503660854) в котором я хочу воспользоваться своим правом, гарантированным мне 152-ФЗ О ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
а так же самим банком в политике
5. Права субъекта ПДн
5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152
Соответственно, я захотел получить для ознакомления все свои персональные данные, обрабатываемые банком. На всякий случай, напоминаю, что:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Аналогичное определение в политике банка. Я думаю очевидно, что записи телефонных разговоров являются персональными данными, а из этого следует что я имею право ознакомиться с ними. В ответ я получил от Тинькофф:
Из этого следует:
- Банк официально считает ваши персональные данные своей собственностью
- Банк без отделений предлагает пользоваться почтой, вместо использования современных технологий, предусмотренных законом
На всякий случай, я решил поинтересоваться у Роскомнадзора, может это не персональные данные в телефонных звонках? На что получил ответ:
Таким образом, согласно официальной позиции РКН - записи разговоров являются ПД.
Согласно того же ФЗ-152 обращение может быть составлено в электронном виде, и подписано ЭЦП.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Заметим, что банк не предлагает воспользоваться таким вариантом, хотя точно знает, что у меня есть ЭЦП. В ответ на это, было составлено новое обращение "№5-8067520673777 15 ноября 2021" куда приложен PDF с обращением и ссылка(!) на ЭЦП, т.к. чат не принимает файлы подписи (по расширению). В 152-ФЗ регламентируется время ответа на соответствующие обращения - 30 дней. Сегодня уже прошел 31 день (ещё одно явное нарушение), и наконец, мне был предоставлен ответ в чате:
После чего обращение было закрыто. При попытке ещё раз выяснить что-то в чате:
По сути ответа так и нет, нормы закона игнорируются. Где все остальные данные? Где Фото которые делают представители банка при вручении карты?
В связи с этим приходится выносить всё в публичное пространство, как показывает практика, это позволят решить вопрос на много оперативнее.
Итак, вопросы для Тинькофф Банка
1. Почему не было предложено обратиться с запросом в электронном виде, как это предусмотрено ФЗ? Как именно вам отправлять подпись? почему чат не принимает файлы формата "*.sig" - ЭЦП? Почему до сих пор сотрудники предлагают отправить запрос почтой, когда ФЗ прямо говорит об альтернативе в виде электронного документа и я явно выразил желание этим воспользоваться, более того, предоставил эти документы.
2. Как так оказывается, что ваши внутренние регламенты противоречат Федеральному Закону и вашей же публичной политике?
3. Когда будет дан ответ по существу на мой запрос? (хочу ознакомиться со ВСЕМИ своими ПД, включая записи разговоров, фотографии при вручении карты, IP адреса и др.)? Неужели для этого потребуется привлекать РКН?
4. Как ознакомиться с текстом претензии (а не заголовком) отправляемой в банк, есть подозрение что сотрудники могут составлять претензию некорректно. (очевидно, что претензия относится к моим персональным данным, правда? Если, вдруг, там содержится что-то секретное/коммерческая тайна - это может быть заменено на ***)
5. Почему в публичных вопросах банк заявляет что не может выдать записи разговоров субъектам ПД? Закон прямо говорит об обратном, а разъяснения официальных лиц это подтверждают.
Здравствуйте.
Действующим законодательством не регламентировано направление клиентам копий записей разговоров.
Мы принимаем запросы в том числе в форме электронного документа, подписанного электронной подписью. В вашем случае попросили направить запрос по Почте РФ, согласно п.4.5 Условий комплексного банковского обслуживания.
Мы поддерживаем следующие форматы документов для загрузки в чате: .odt, .jpg, .xml, .docx, .tif, .jpeg, .zip, .rtx, .xlsx, .rtf, .p7s, .xlsm, .heif, .xlam, .heic, .doc, .xls, .png, .csv, .txt, .mp3, .ogg, .pdf, .oga, .tiff, .mp4
Позднее дополним свой ответ.
Статья интересная, спасибо.
Но за манипуляции - дизреспект. Ответ Роскомнадзора:"Телефонный звонок в котором используют ваши ПД - относится к ПД". А вы утверждаете, что звонки=ПД без каких либо "но".
Поддерживаю про манипуляцию, только еще в другом аспекте.
Ркн не говорит, что «записи разговоров являются ПД» - вывод, который делается в статье. Ркн в своем ответе пишет, что «запись телефонного разговора… является материальным носителем… персональных данных». Материальные носители ПД и сами ПД это не одно и то же.
Тинькофф по ч.7 ст.14 152-ФЗ не обязан предоставлять материальные носители (записи разговоров, бумажные заявления, договоры, серверы, на которых хранятся ПД в электронном виде, и т.д.). Он обязан предоставить сами «обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных» (п.5).
Не говоря уже об исключениях по п.3-4 ч.8 ст.14 152-ФЗ, которые Тинькофф имеет право применить при отказе в предоставлении записей звонков.
А разве любые звонки в/из банка могут НЕ содержать ПД клиента? Просто не представляю, что это могут быть за звонки.
Не звонки = ПД, а аудиозаписи = ПД.
И РКН неграмотно и некорректно назвал аудиозаписи "материальным носителем персональных данных".
Материальный носитель - это, к примеру, флеш-память, жесткий диск, лазерный диск и т.д. Записи разговоров не являются материальными носителями.
Запись разговора - это информация, то есть последовательность битов, представляющая собой аудиофайл определенного формата, которая может хранится на самых разных материальных носителях. Ее можно даже распечатать на бумаге в форме нулей и единиц при желании. Но это будет противоречить "доступной форме" из ч. 2 ст. 14 152-ФЗ.
Смотрим на определение персональных данных: "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".
Смотрим на определение информации из 149-ФЗ: "информация - сведения (сообщения, данные) независимо от формы их представления".
Из данного определения следует, что ЛЮБЫЕ сведения (сообщения, данные) независимо о формы их представления, содержащиеся в аудиозаписи, которые прямо или косвенно можно отнести к автору, являются персональными данными автора.
В том числе, например, сами по себе любые записи голоса автора уже являются его биометрическими персональными данными, то есть сведениями, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Подробнее написал в комментарии ниже:
https://vc.ru/claim/335465-dannye-klienta-sobstvennost-banka-tinkoff-ili-kak-bank-ne-vypolnyaet-normy-152-fz-o-personalnyh-dannyh
Даже смешно. Любой оператор любой организации, если это не мошенники, конечно, или не откровенный спам, всегда спрашивает, как к вам обращаться. И называет вам по имени. А имя - это тоже персональные данные. Так что трудно представить хоть один разговор с сотрудником банка, при котором телефонный звонок не относился бы к персональным данным.