Данные клиента - собственность банка Тинькофф, или как банк не выполняет нормы 152-ФЗ "О персональных данных"
Пользуюсь услугами Тинькофф достаточно давно, и по большей части, вполне доволен. В некоторых случаях даже более чем оправдали ожидания (кредит для физ лица который только ИП). Есть мелкие нюансы, но глобально всё нравилось, пока.
При этом, вызывает озабоченность появление большого количества статей в Приёмной о мошеннических действиях, и стандартных отписках банка. В связи с этим, я составил обращение (5-7835503660854) в котором я хочу воспользоваться своим правом, гарантированным мне 152-ФЗ О ПЕРСОНАЛЬНЫХ ДАННЫХ
а так же самим банком в политике
Соответственно, я захотел получить для ознакомления все свои персональные данные, обрабатываемые банком. На всякий случай, напоминаю, что:
Аналогичное определение в политике банка. Я думаю очевидно, что записи телефонных разговоров являются персональными данными, а из этого следует что я имею право ознакомиться с ними. В ответ я получил от Тинькофф:
Из этого следует:
- Банк официально считает ваши персональные данные своей собственностью
- Банк без отделений предлагает пользоваться почтой, вместо использования современных технологий, предусмотренных законом
На всякий случай, я решил поинтересоваться у Роскомнадзора, может это не персональные данные в телефонных звонках? На что получил ответ:
Таким образом, согласно официальной позиции РКН - записи разговоров являются ПД.
Согласно того же ФЗ-152 обращение может быть составлено в электронном виде, и подписано ЭЦП.
Заметим, что банк не предлагает воспользоваться таким вариантом, хотя точно знает, что у меня есть ЭЦП. В ответ на это, было составлено новое обращение "№5-8067520673777 15 ноября 2021" куда приложен PDF с обращением и ссылка(!) на ЭЦП, т.к. чат не принимает файлы подписи (по расширению). В 152-ФЗ регламентируется время ответа на соответствующие обращения - 30 дней. Сегодня уже прошел 31 день (ещё одно явное нарушение), и наконец, мне был предоставлен ответ в чате:
После чего обращение было закрыто. При попытке ещё раз выяснить что-то в чате:
По сути ответа так и нет, нормы закона игнорируются. Где все остальные данные? Где Фото которые делают представители банка при вручении карты?
В связи с этим приходится выносить всё в публичное пространство, как показывает практика, это позволят решить вопрос на много оперативнее.
Итак, вопросы для Тинькофф Банка
1. Почему не было предложено обратиться с запросом в электронном виде, как это предусмотрено ФЗ? Как именно вам отправлять подпись? почему чат не принимает файлы формата "*.sig" - ЭЦП? Почему до сих пор сотрудники предлагают отправить запрос почтой, когда ФЗ прямо говорит об альтернативе в виде электронного документа и я явно выразил желание этим воспользоваться, более того, предоставил эти документы.
2. Как так оказывается, что ваши внутренние регламенты противоречат Федеральному Закону и вашей же публичной политике?
3. Когда будет дан ответ по существу на мой запрос? (хочу ознакомиться со ВСЕМИ своими ПД, включая записи разговоров, фотографии при вручении карты, IP адреса и др.)? Неужели для этого потребуется привлекать РКН?
4. Как ознакомиться с текстом претензии (а не заголовком) отправляемой в банк, есть подозрение что сотрудники могут составлять претензию некорректно. (очевидно, что претензия относится к моим персональным данным, правда? Если, вдруг, там содержится что-то секретное/коммерческая тайна - это может быть заменено на ***)
5. Почему в публичных вопросах банк заявляет что не может выдать записи разговоров субъектам ПД? Закон прямо говорит об обратном, а разъяснения официальных лиц это подтверждают.
Здравствуйте, уважаемый Влад.
Благодарю вас за обстоятельный подход и вынесение в публичную плоскость весьма важной темы обработки персональных данных, а также темы электронного юридического документооборота с использованием ЭЦП.
Я сам относительно недавно начал подобное расследование и также направлял в банки запросы в рамках ч. 7 ст. 14 152-ФЗ:
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
http://www.consultant.ru/document/cons_doc_LAW_61801/34585db685164ddd73440bf08348903bff6715aa/
К сожалению в ответ мне пока удалось получить только юридически безграмотные отписки и ссылки на списки третьих лиц, которым я давал согласие на обработку своих персональных данных при заключении договора.
При этом информацию о конкретных лицах, ФАКТИЧЕСКИ обрабатывавших мои персональные данные, вместе с самими моими ФАКТИЧЕСКИМИ обрабатываемыми и обрабатывавшимися персональными данными и иной запрошенной информацией мне так и не была предоставлена. Планирую позже при наличии времени и желания обратиться уже в судебном порядке с теми же самыми требованиями.
Понимаю вас, после первой отписки я подобные требования сразу в досудебной форме отправлял, чтобы экономить время, а потом с помощью КЭП и ГАС Правосудие отправлял иски в суд. При этом в ряде случаев именно при досудебном урегулировании всё предоставляли и выплачивали компенсацию, если до этого утаивали, "мутили воду" и т.д
Спасибо за информацию!)
Не могли бы рассказать чуть подробнее, в какой форме и какую именно информацию вам в итоге предоставляли?
А то тут в теме идут горячие споры о том, что можно считать персональными данными клиента, обрабатываемыми банком, а что нельзя.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
По каждому пункту:
1) заявление, в т.ч и электронное(если при галочке на сайте не формируется заявление, куда ваши ПД подставляются – нарушение)
2)то, что пишут в своих договорах компании
3) что-то из договора, но с комментариями пояснениями "для смертных".
4)список договоров с "партнерами по рекламе" и их суть, и, если есть, данные партнеров и цель обработки ими
5) полный список данных, в т.ч данные приложений, звонков и т.д(видео и аудио материалы я не запрашивал, на них указан факт и даны "идентификаторы" для запроса, если нужно).
6) общий срок по договору и срок фактического хранения каждого элемента ПД.
7)выписки из договора "как с оператором связаться", но с комментариями о том, что оператора можно обязать "отозвать данные у партнеров", но у оператора оставить без распространения.
8) это инфа, если данные участвуют в рекламе или публичных источниках, в т.ч и частично-публичных.
9) Информация о партнёрах, что имеют доступ к данным и не аффилированы с оператором(не сотрудники).
10) тут мне присылали "ответ партнёров оператора о сохранности данных"
Спасибо большое за развернутый ответ!)
Хотел бы по мере возможности задать вам еще несколько важных на мой взгляд уточняющих вопросов.
Скажите, пожалуйста, ваши ПД, предоставленные по п. 5 каким-либо образом соотносились с п. 9? То есть указывалось, какие именно партнеры какие именно ваши ПД обрабатывают? Допустим, этот партнер только ФИО и телефон, а вот этот партнер ФИО, телефон и паспортные данные.
5) полный список данных, в т.ч данные приложений, звонков и т.д(видео и аудио материалы я не запрашивал, на них указан факт и даны "идентификаторы" для запроса, если нужно).9) Информация о партнёрах, что имеют доступ к данным и не аффилированы с оператором(не сотрудники).
В п. 5 нет, там были лишь пометки, у оператора или его партнёра, а в п.9 уже расписаны партнеры с указанием пунктов обрабатываемых ПД(их пронумеровали для удобства).
Отлично, спасибо!)
Надеюсь, я тоже смогу в подобной форме в итоге получить)
Вы выше писали про "досудебную форму для экономии времени" и "досудебное урегулирование". Не могли бы пояснить чуть подробнее, что вы имеете в виду?
И в какой момент, после каких ваших действий вам предоставляли данные по п. 9 в описанной вами удобной пронумерованной форме?
По п.9 нумеровал оператор, для удобства.
Ну я составлял досудебную претензию по вопросам персональных данных, где первая её часть выглядит, как заявление на предоставление таких данных, а вторая о том, почему именно в такой форме (с целью признания заявления одновременно попыткой в досудебном порядке обязать оператора исполнить закон), ну и пояснения о том, что я буду судиться только в своём суде по месту регистрации (а это жопа мира) и указанием компенсации(в т ч и той, что будет заявлена в суде) за несоблюдение, частичное соблюдение или самовольное(самоуправное, т.е "наш банк так это видит") соблюдение и трактовку федерального законодательства, без имения полномочий по трактовки законодательства указанных в соответствующих законодательных актах РФ. Также, т.к это касалось отношений в рамках ЗоЗПП напомнил о штрафе на всё это чудо в 50%.
Ну когда досудебка приходят ее в юридический отдел направляют, а не рядовые неграмотные консультанты отвечают. Но не везде ))
Зато, там есть ограничения на ответ, т.к после срока он недействительный, и иск подать можно. Исключение, если ответчик предоставит кипу доказательств того, что это форс мажор