Данные клиента - собственность банка Тинькофф, или как банк не выполняет нормы 152-ФЗ "О персональных данных"
Пользуюсь услугами Тинькофф достаточно давно, и по большей части, вполне доволен. В некоторых случаях даже более чем оправдали ожидания (кредит для физ лица который только ИП). Есть мелкие нюансы, но глобально всё нравилось, пока.
При этом, вызывает озабоченность появление большого количества статей в Приёмной о мошеннических действиях, и стандартных отписках банка. В связи с этим, я составил обращение (5-7835503660854) в котором я хочу воспользоваться своим правом, гарантированным мне 152-ФЗ О ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
а так же самим банком в политике
5. Права субъекта ПДн
5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152
Соответственно, я захотел получить для ознакомления все свои персональные данные, обрабатываемые банком. На всякий случай, напоминаю, что:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Аналогичное определение в политике банка. Я думаю очевидно, что записи телефонных разговоров являются персональными данными, а из этого следует что я имею право ознакомиться с ними. В ответ я получил от Тинькофф:
Из этого следует:
- Банк официально считает ваши персональные данные своей собственностью
- Банк без отделений предлагает пользоваться почтой, вместо использования современных технологий, предусмотренных законом
На всякий случай, я решил поинтересоваться у Роскомнадзора, может это не персональные данные в телефонных звонках? На что получил ответ:
Таким образом, согласно официальной позиции РКН - записи разговоров являются ПД.
Согласно того же ФЗ-152 обращение может быть составлено в электронном виде, и подписано ЭЦП.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Заметим, что банк не предлагает воспользоваться таким вариантом, хотя точно знает, что у меня есть ЭЦП. В ответ на это, было составлено новое обращение "№5-8067520673777 15 ноября 2021" куда приложен PDF с обращением и ссылка(!) на ЭЦП, т.к. чат не принимает файлы подписи (по расширению). В 152-ФЗ регламентируется время ответа на соответствующие обращения - 30 дней. Сегодня уже прошел 31 день (ещё одно явное нарушение), и наконец, мне был предоставлен ответ в чате:
После чего обращение было закрыто. При попытке ещё раз выяснить что-то в чате:
По сути ответа так и нет, нормы закона игнорируются. Где все остальные данные? Где Фото которые делают представители банка при вручении карты?
В связи с этим приходится выносить всё в публичное пространство, как показывает практика, это позволят решить вопрос на много оперативнее.
Итак, вопросы для Тинькофф Банка
1. Почему не было предложено обратиться с запросом в электронном виде, как это предусмотрено ФЗ? Как именно вам отправлять подпись? почему чат не принимает файлы формата "*.sig" - ЭЦП? Почему до сих пор сотрудники предлагают отправить запрос почтой, когда ФЗ прямо говорит об альтернативе в виде электронного документа и я явно выразил желание этим воспользоваться, более того, предоставил эти документы.
2. Как так оказывается, что ваши внутренние регламенты противоречат Федеральному Закону и вашей же публичной политике?
3. Когда будет дан ответ по существу на мой запрос? (хочу ознакомиться со ВСЕМИ своими ПД, включая записи разговоров, фотографии при вручении карты, IP адреса и др.)? Неужели для этого потребуется привлекать РКН?
4. Как ознакомиться с текстом претензии (а не заголовком) отправляемой в банк, есть подозрение что сотрудники могут составлять претензию некорректно. (очевидно, что претензия относится к моим персональным данным, правда? Если, вдруг, там содержится что-то секретное/коммерческая тайна - это может быть заменено на ***)
5. Почему в публичных вопросах банк заявляет что не может выдать записи разговоров субъектам ПД? Закон прямо говорит об обратном, а разъяснения официальных лиц это подтверждают.
Здравствуйте, уважаемый Влад.
Благодарю вас за обстоятельный подход и вынесение в публичную плоскость весьма важной темы обработки персональных данных, а также темы электронного юридического документооборота с использованием ЭЦП.
Я сам относительно недавно начал подобное расследование и также направлял в банки запросы в рамках ч. 7 ст. 14 152-ФЗ:
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
http://www.consultant.ru/document/cons_doc_LAW_61801/34585db685164ddd73440bf08348903bff6715aa/
К сожалению в ответ мне пока удалось получить только юридически безграмотные отписки и ссылки на списки третьих лиц, которым я давал согласие на обработку своих персональных данных при заключении договора.
При этом информацию о конкретных лицах, ФАКТИЧЕСКИ обрабатывавших мои персональные данные, вместе с самими моими ФАКТИЧЕСКИМИ обрабатываемыми и обрабатывавшимися персональными данными и иной запрошенной информацией мне так и не была предоставлена. Планирую позже при наличии времени и желания обратиться уже в судебном порядке с теми же самыми требованиями.
Понимаю вас, после первой отписки я подобные требования сразу в досудебной форме отправлял, чтобы экономить время, а потом с помощью КЭП и ГАС Правосудие отправлял иски в суд. При этом в ряде случаев именно при досудебном урегулировании всё предоставляли и выплачивали компенсацию, если до этого утаивали, "мутили воду" и т.д
Спасибо за информацию!)
Не могли бы рассказать чуть подробнее, в какой форме и какую именно информацию вам в итоге предоставляли?
А то тут в теме идут горячие споры о том, что можно считать персональными данными клиента, обрабатываемыми банком, а что нельзя.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
По каждому пункту:
1) заявление, в т.ч и электронное(если при галочке на сайте не формируется заявление, куда ваши ПД подставляются – нарушение)
2)то, что пишут в своих договорах компании
3) что-то из договора, но с комментариями пояснениями "для смертных".
4)список договоров с "партнерами по рекламе" и их суть, и, если есть, данные партнеров и цель обработки ими
5) полный список данных, в т.ч данные приложений, звонков и т.д(видео и аудио материалы я не запрашивал, на них указан факт и даны "идентификаторы" для запроса, если нужно).
6) общий срок по договору и срок фактического хранения каждого элемента ПД.
7)выписки из договора "как с оператором связаться", но с комментариями о том, что оператора можно обязать "отозвать данные у партнеров", но у оператора оставить без распространения.
8) это инфа, если данные участвуют в рекламе или публичных источниках, в т.ч и частично-публичных.
9) Информация о партнёрах, что имеют доступ к данным и не аффилированы с оператором(не сотрудники).
10) тут мне присылали "ответ партнёров оператора о сохранности данных"
Спасибо большое за развернутый ответ!)
Хотел бы по мере возможности задать вам еще несколько важных на мой взгляд уточняющих вопросов.
Скажите, пожалуйста, ваши ПД, предоставленные по п. 5 каким-либо образом соотносились с п. 9? То есть указывалось, какие именно партнеры какие именно ваши ПД обрабатывают? Допустим, этот партнер только ФИО и телефон, а вот этот партнер ФИО, телефон и паспортные данные.
5) полный список данных, в т.ч данные приложений, звонков и т.д(видео и аудио материалы я не запрашивал, на них указан факт и даны "идентификаторы" для запроса, если нужно).9) Информация о партнёрах, что имеют доступ к данным и не аффилированы с оператором(не сотрудники).
В п. 5 нет, там были лишь пометки, у оператора или его партнёра, а в п.9 уже расписаны партнеры с указанием пунктов обрабатываемых ПД(их пронумеровали для удобства).
Отлично, спасибо!)
Надеюсь, я тоже смогу в подобной форме в итоге получить)
Вы выше писали про "досудебную форму для экономии времени" и "досудебное урегулирование". Не могли бы пояснить чуть подробнее, что вы имеете в виду?
И в какой момент, после каких ваших действий вам предоставляли данные по п. 9 в описанной вами удобной пронумерованной форме?
По п.9 нумеровал оператор, для удобства.
Ну я составлял досудебную претензию по вопросам персональных данных, где первая её часть выглядит, как заявление на предоставление таких данных, а вторая о том, почему именно в такой форме (с целью признания заявления одновременно попыткой в досудебном порядке обязать оператора исполнить закон), ну и пояснения о том, что я буду судиться только в своём суде по месту регистрации (а это жопа мира) и указанием компенсации(в т ч и той, что будет заявлена в суде) за несоблюдение, частичное соблюдение или самовольное(самоуправное, т.е "наш банк так это видит") соблюдение и трактовку федерального законодательства, без имения полномочий по трактовки законодательства указанных в соответствующих законодательных актах РФ. Также, т.к это касалось отношений в рамках ЗоЗПП напомнил о штрафе на всё это чудо в 50%.
Ну когда досудебка приходят ее в юридический отдел направляют, а не рядовые неграмотные консультанты отвечают. Но не везде ))
Зато, там есть ограничения на ответ, т.к после срока он недействительный, и иск подать можно. Исключение, если ответчик предоставит кипу доказательств того, что это форс мажор