Защита персональных данных

«Мы продолжим троллить банки и государственные органы, пока не добьемся реальной защиты гражданских прав» (с) Юристы Гризли. Статья из серии «Империя зла» о неудачной попытке защитить свои персональные данные от банка.

Ситуация. 11/04/2014 г. я с другом Ю. зашли в магазин, где он собирался приобрести колеса для автомобиля. В магазине были рекламные объявления о продаже колес в беспроцентную рассрочку. При оформлении кредита Ю. предложили оформить анкету, одним из вопросов был: Назовите ФИО и телефон своего знакомого, с которым вы не проживаете на одной территории. Ю. назвал мои персональные данные: ФИО и номер телефона. При этом я в разговоре не участвовал и свое ни письменное, ни устное согласие на обработку своих данных не давал. Я бы забыл об этом моменте, если бы на следующий день 12.04.2014 в субботу, мне не начали названивать из ОТПбанка, предлагая свои банковские услуги. И я написал жалобу в Роскомнадзор по Липецкой области через интернет портал, в которой просил привлечь президента банка к административной ответственности.

Для подачи жалобы на незаконное использование ваших персональных данных: Заходим на сайт Управление роскомнадзора по Липецкой области http://48.rkn.gov.ru/ Нажимаем на кнопку: Сформировать обращение, заполняем форму и выбираем тематику обращения — и отправляем запрос. Ваша жалоба будет быстро рассмотрена. Общий сайт Роскомнадзора для других регионов http://rkn.gov.ru/news/rsoc/
Был получен ответ от роскомнадзора, который привожу практически без изменений.

При рассмотрении Вашего обращения от 12.04.2014 № 618192 было установлено:
Гражданин Ю. передал представителю ОТПБанка персональные данные (фамилию, имя и отчество О., номер телефона ХХХ ХХ ХХ
По утверждению О. согласия Ю. на обработку его персональных данных при заключении договора с ОТПбанком он не давал.
Всесторонне и объективно рассмотрев предоставленную Вами информацию установлено:
Действие Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее Закон) не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд (п. 1 ч. 2 ст. 1 Закона);
Гражданин О. является физическим лицом — субъектом персональных данных;
Гражданин Ю. является физическим лицом — оператором персональных данных (далее — Оператор1);
ОТПБанк является юридическим лицом — оператором персональных данных (далее — Оператор2);
Действия Ю. по предоставлению персональных данных О. в ОТПБанк не могут быть квалифицированы как обработка персональных данных физическим лицом исключительно для личных и семейных нужд. При заключении договора с ОТПБанком Ю. был обязан получить согласие на обработку персональных данных О. в любой позволяющей подтвердить факт его получения форме (ч. 1 ст. 9 Закона).
Оператор1 вправе поручить обработку персональных данных другому лицу (Оператору2) с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Законом (ч. 3 ст. 6 Закона);

Если персональные данные (ФИО и номер телефона) получены не от субъекта персональных данных (О.), Оператор2 (ОТПБанк) до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию (ч. 3 ст. 18 Закона):
наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные Законом права субъекта персональных данных;
источник получения персональных данных.
Оператор2 освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные ч. 3 ст. 18 Закона, в случаях, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором1 (ч. 4 ст. 18 Закона).

Из представленной Вами информации следует, что О. присутствовал при заключении договора между Ю. и ОТПБанком и располагал информацией об осуществлении обработки его персональных данных ОТПБанком.
На основании вышеизложенного в случае отсутствия согласия на обработку Ваших персональных данных Ю. имеются признаки совершения Ю. административного правонарушения, ответственность за которое предусмотрена ст. 13.11 КоАП РФ.
Дела об административных правонарушениях по ст. 13.11 КоАП РФ возбуждаются прокурором.

Разъясняем, что для разрешения сложившейся ситуации Вы вправе воспользоваться положениями ст. 20 и ст. 21 Закона.
Оператор2 (ОТПБанк) обязан сообщить в порядке, предусмотренном ст. 14 Закона, Вам о наличии персональных данных, относящихся к Вам, а также предоставить возможность ознакомления с этими персональными данными в течение тридцати дней с даты получения Вашего запроса.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных при их обращении либо при получении запроса субъекта персональных данных Оператор2 (ОТПБанк) обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных либо с даты получения запроса субъекта персональных данных.

Оператор2 (ОТПБанк) обязан предоставить безвозмездно субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор2 (ОТПБанк) обязан уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором (Оператор1 и (или) Оператор2) или лицом, действующим по поручению оператора, оператор (Оператор1 и (или) Оператор2) в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор (Оператор1 и (или) Оператор2) обязан уведомить субъекта персональных данных.

В связи с неполнотой сведений о гражданине Ю. Управление Роскомнадзора по Липецкой области как уполномоченный орган, не имеет возможности:
Требовать от Оператора2 (ОТПБанка) блокирования или уничтожения полученных незаконным путем персональных данных;
Принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Закона;
Привлечь к административной ответственности лицо, виновное в нарушении Закона.
В случае отсутствия согласия на обработку Ваших персональных данных просим Вас предоставить в письменном виде по адресу: 398910, г. Липецк, пер. Попова, д. 5, дополнительную информацию о гражданине Ю.

В случае наличия согласия на обработку Ваших персональных данных гражданином Ю. рекомендуем Вам:
В соответствии со ст. 21 Закона направить Ю. и в ОТПБанк уведомление об отзыве согласия на обработку персональных данных:

  • Потребовать уничтожение ОТПБанком Ваших персональных данных;
  • Потребовать у ОТПБанка проинформировать Вас о результатах рассмотрения Вашего обращения.

В части использования Ваших персональных данных в целях продвижения товаров, работ, услуг на рынке ч. 2 ст. 15 Закона предусмотрено, что Оператор2 (ОТПБанк) обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

В части сканирования представителем ОТПБанка паспорта гражданина Ю. разъясняем, что предоставленной Вами информации недостаточно для объективного и всестороннего рассмотрения данной ситуации, т.к. для оценки взаимоотношений между гражданином и финансово-кредитной организации применяется не только Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, но и другие федеральные законы. Обращаем внимание, что п. 2 ч. 1 ст. 6 Закона обработка персональных данных допускается для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Из практики рассмотрения обращений граждан установлено, что на финансово-кредитные организации возложены соответствующие функции, полномочия и обязанности, при которых данные организации обязаны делать копию сведений из паспортов граждан.

С этим я категорически не согласен, ибо нет такого закона, который позволял бы работникам банка изготавливать копию паспорта техническим способом, путем ксерокопирования или сканирования.

консультация по отношениям с банками 8-910-2561-999

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *