Данные клиента - собственность банка Тинькофф, или как банк не выполняет нормы 152-ФЗ "О персональных данных"
Пользуюсь услугами Тинькофф достаточно давно, и по большей части, вполне доволен. В некоторых случаях даже более чем оправдали ожидания (кредит для физ лица который только ИП). Есть мелкие нюансы, но глобально всё нравилось, пока.
При этом, вызывает озабоченность появление большого количества статей в Приёмной о мошеннических действиях, и стандартных отписках банка. В связи с этим, я составил обращение (5-7835503660854) в котором я хочу воспользоваться своим правом, гарантированным мне 152-ФЗ О ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
а так же самим банком в политике
5. Права субъекта ПДн
5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152
Соответственно, я захотел получить для ознакомления все свои персональные данные, обрабатываемые банком. На всякий случай, напоминаю, что:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Аналогичное определение в политике банка. Я думаю очевидно, что записи телефонных разговоров являются персональными данными, а из этого следует что я имею право ознакомиться с ними. В ответ я получил от Тинькофф:
Из этого следует:
- Банк официально считает ваши персональные данные своей собственностью
- Банк без отделений предлагает пользоваться почтой, вместо использования современных технологий, предусмотренных законом
На всякий случай, я решил поинтересоваться у Роскомнадзора, может это не персональные данные в телефонных звонках? На что получил ответ:
Таким образом, согласно официальной позиции РКН - записи разговоров являются ПД.
Согласно того же ФЗ-152 обращение может быть составлено в электронном виде, и подписано ЭЦП.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Заметим, что банк не предлагает воспользоваться таким вариантом, хотя точно знает, что у меня есть ЭЦП. В ответ на это, было составлено новое обращение "№5-8067520673777 15 ноября 2021" куда приложен PDF с обращением и ссылка(!) на ЭЦП, т.к. чат не принимает файлы подписи (по расширению). В 152-ФЗ регламентируется время ответа на соответствующие обращения - 30 дней. Сегодня уже прошел 31 день (ещё одно явное нарушение), и наконец, мне был предоставлен ответ в чате:
После чего обращение было закрыто. При попытке ещё раз выяснить что-то в чате:
По сути ответа так и нет, нормы закона игнорируются. Где все остальные данные? Где Фото которые делают представители банка при вручении карты?
В связи с этим приходится выносить всё в публичное пространство, как показывает практика, это позволят решить вопрос на много оперативнее.
Итак, вопросы для Тинькофф Банка
1. Почему не было предложено обратиться с запросом в электронном виде, как это предусмотрено ФЗ? Как именно вам отправлять подпись? почему чат не принимает файлы формата "*.sig" - ЭЦП? Почему до сих пор сотрудники предлагают отправить запрос почтой, когда ФЗ прямо говорит об альтернативе в виде электронного документа и я явно выразил желание этим воспользоваться, более того, предоставил эти документы.
2. Как так оказывается, что ваши внутренние регламенты противоречат Федеральному Закону и вашей же публичной политике?
3. Когда будет дан ответ по существу на мой запрос? (хочу ознакомиться со ВСЕМИ своими ПД, включая записи разговоров, фотографии при вручении карты, IP адреса и др.)? Неужели для этого потребуется привлекать РКН?
4. Как ознакомиться с текстом претензии (а не заголовком) отправляемой в банк, есть подозрение что сотрудники могут составлять претензию некорректно. (очевидно, что претензия относится к моим персональным данным, правда? Если, вдруг, там содержится что-то секретное/коммерческая тайна - это может быть заменено на ***)
5. Почему в публичных вопросах банк заявляет что не может выдать записи разговоров субъектам ПД? Закон прямо говорит об обратном, а разъяснения официальных лиц это подтверждают.
Прочитал статью, которая отобразилась у меня в рекомендациях и понял, что зря открыл её. Пустые возмущения и (возможно) неправильный ответ от (возможно, ибо я не знаю) юриста
«персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);»
А что КОНКРЕТНО сюда входит?
- ФИО и дата рождения? Да. По ним можно найти человека, к которому они относятся
- данные паспорта? Да, по ним также можно найти человека
- голос? Возможно косвенно да, но не прямо. Если вы не знаете человека, которому он принадлежит, вы никогда не соотнесёте его с тем кому он принадлежит. На примере той же биометрической идентификации (знаю, ибо давал одному банку свои биометрические данные), пока вы здоровы, вы конкретный клиент (который определился по этим данным в системе банка), как только вы простудились или по какой-то причине потеряли голос, вы для системы банка такой же человек с улицы, как и не клиент банка. Да, будет запись разговора с посаженным голосом, но можно ли будет по ней косвенно (по голосу) соотнести вас с конкретным физическим лицом? Сомневаюсь
- номер телефона. Косвенно (даже очень сильно косвенно) да, но не прямо. Пока телефон при вас, это соотносится с вами как клиентом. А если вы потеряли свой телефон и:
—— с него в банк позвонило другое лицо. Будет ли это значить, что звонящий с телефона клиента является клиентом? Я считаю нет
—— клиент звонит с телефона другого клиента банка (например родственника или коллеги, но не знает, что владелец номера так же клиент банка). Значит ли это, что звонит тот, чей номер определился у банка. Я считаю нет
Наверняка мне скажут, что по голосу можно опознать человека. Да, можно. Внимание, ПРИ НАЛИЧИИ ТЕХНИЧЕСКОЙ ВОЗМОЖНОСТИ.
Так что я считаю, что банк отказал правомерно. Запись - это носитель персональных данных, пусть и не материальный
- бумага - носитель данных (материальный), записанная на ней информация - данные.
- мобильный телефон (аппарат) - носитель данных, записанная в нем информация (учетная запись пользователя и всё остальное) - данные. Причём владельцев данных в этом случае будет минимум два. Владельцем данных учетной записи будут пользователь, а владельцем операционной системы (тоже данные. Железо без софта не работает) - компания разработчик. Ставим сторонние приложения и, опта, у нас ещё один владелец данных - создатель приложения
- компьютер, флешка, другие компьютерные устройства и связанное с ними (железо) - носитель, записанное на них - данные
Из всего сказанного обобщу:
Банк обязан предоставить персональные данные клиента, которые обрабатывает (фио, дату рождения, данные паспорта, ОБРАЗЕЦ голоса, не знаю, может отпечатки пальцев и 3д-цифровой слепок лица), но явно не должен предоставлять носитель этих данных, а уж если это мнение вас не убедило, то по вашей логике -персональные данные сотрудника, который с вами общался (ибо уже он не давал своего согласия на передачу вам своих персональных данных в виде голоса и имени).
Я соглашусь с мнением, что запись разговора - НОСИТЕЛЬ персональных данных, но не персональные данные
Рекомендую ознакомиться до конца с данной веткой:
https://vc.ru/claim/335465-dannye-klienta-sobstvennost-banka-tinkoff-ili-kak-bank-ne-vypolnyaet-normy-152-fz-o-personalnyh-dannyh?comment=3644757&from=copylink&type=quick
В ней человек рассказывает о том, как банки прекрасно предоставляли ему все запрошенное после пинка в форме развернутой досудебки и собственно далее иска в суд.
Особое внимание обратите на следующую цитату, в которой человек по каждому пункту ч. 7 ст. 14 указал, что именно ему предоставляли банки:
5) полный список данных, в т.ч данные приложений, звонков и т.д(видео и аудио материалы я не запрашивал, на них указан факт и даны "идентификаторы" для запроса, если нужно).То есть банки в том числе предоставляли данные об аудио и видеозаписях с идентификаторами для дальнейшего запроса и получения их субъектом персональных данных.
Также рекомендую ознакомиться еще и с этой веткой:
https://vc.ru/claim/335465-dannye-klienta-sobstvennost-banka-tinkoff-ili-kak-bank-ne-vypolnyaet-normy-152-fz-o-personalnyh-dannyh?comment=3643576&from=copylink&type=quick
Пример того, что может являться персональными данными:
"Мы хотим, чтобы Вы понимали, какие данные о Вас мы можем собирать, хранить или обрабатывать. У Вас есть возможность запросить архив данных о Вашем профиле ВКонтакте. Сейчас выгрузка работает в тестовом режиме, но мы прикладываем все усилия для совершенствования этой функции, чтобы Вам было проще получить необходимую информацию.
Вы можете скачать данные о своём профиле ВКонтакте в любой момент, независимо от страны проживания. В том числе пользователи из стран ЕС имеют возможность запросить данные в соответствии с GDPR. Это максимально легко и безопасно. Запрос архива нужно подтвердить с помощью одноразового кода, а уникальную ссылку для скачивания невозможно открыть из другого профиля. Вы также можете добавить дополнительный уровень защиты — и зашифровать архив с помощью персонального ключа OpenPGP.
Подготовка выгрузки занимает некоторое время, этот процесс может длиться несколько дней. Вы получите уведомление, когда архив будет готов для скачивания. Для безопасности Ваших данных он будет доступен для загрузки в течение ограниченного времени.
Копия Вашей информации из ВКонтакте будет выгружена в ZIP-архиве, поэтому данные удобнее смотреть на компьютере. Для большего комфорта мы поделили информацию на разные категории. Например, легко можно найти список фотографий, которым Вы поставили отметку «Нравится», историю денежных переводов или круг Ваших интересов, которые учитываются при таргетинге рекламных объявлений."
https://vk.com/data_protection?section=rules&scroll_to_archive=1