В РФ отношения по поводу персональных данных регулируются ФЗ-152 «О персональных данных». Кроме того, оборот отдельных видов информации может регулироваться иными нормативными актами. Отдельные виды финансовой информации могут подпадать под регулирование ФЗ№395-1 «О банках и банковской деятельности» в качестве банковской тайны, обработка биометрических персональных данных регулируется ФЗ №572. Подробнее порталу PLUSworld рассказывает руководитель практики «Цифровая экономика» юридической компании GMT Legal Денис Поляков.
Персональные данные – это любая информация, которая помогает определить конкретное физическое лицо. Среди финансовой информации – это данные банковского счета, номер банковской карты и т. п. Данные об операциях физического лица также могут признаваться персональными данными, однако более важно в этом случае говорить о правилах работы с банковской тайной.
Оператору персональных данных важно соблюдать основные принципы обработки персональных данных. Основным принципом здесь является наличие законных оснований для обработки персональных данных. Два самых часто используемых основания: согласие физического лица и исполнение заключенного с ним договора.
Согласие
Согласие представляет собой наиболее безопасное для оператора персональных данных основание для законной обработки, поскольку в рамках согласия возможно получить осознанное подтверждение физического лица на обработку его персональных данных. Согласие должно содержать перечень персональных данных, которые будут обрабатываться, способы и цели обработки. Смысл согласия как основания обработки данных заключается в том, чтобы, с одной стороны, расширить для оператора перечень возможностей для обработки данных для своей коммерческой деятельности, а с другой стороны – в определенной защите прав для физического лица от недобросовестных действий со стороны оператора. Фактически, чем более подробно будет указана информация в согласии, тем больше возможностей для обработки у оператора окажется.
В целях получения согласий все операторы, включая финансовые организации, при заключении договора с клиентами дают им на подпись отдельный документ-согласие с подробным описанием порядка обработки персональных данных клиента. Поэтому при подписании любых договоров нужно внимательно просматривать все документы на предмет того, какие именно согласия и на что физическое лицо дает. Из важного в части работы именно финансовых организаций – это обязательное требование о прямом согласии физического лица на передачу его данных коллекторам, или как это красиво называется «передача данных третьим лицам в целях осуществлении деятельности по возврату просроченной задолженности». Такое положение должно быть отдельно выделено и на него требуется получать отдельное согласие. Все может быть оформлено в рамках единого документа, но с обязательным полем для подписи именно в отношении этого способа обработки.
Исполнение договора
Вторым важным основанием обработки персональных данных является исполнение договора с субъектом персональных данных. Данное основание позволяет продолжить ограниченную обработку персональных данных даже в тех случаях, если физическое лицо не дало, или отозвало ранее данное согласие на обработку персональных данных или же с самим согласием были какие-либо проблемы.
При этом важно, что дальнейшая обработка только по основанию «исполнение договора» допускается исключительно с целью его исполнения. Например, клиент – физическое лицо отзывает у банка согласие на обработку персональных данных. В этом случае банк не обязан закрыть счет клиента, он также будет обрабатывать его ФИО, данные счета, операции о транзакциях именно для исполнения договора дистанционного банковского обслуживания.
Однако банк в этом случае не сможет направлять предложения о новых продуктах, совершать обзвоны клиента, также банк не сможет обезличивать данные этого пользователя для целей обработки статистических данных о пользовании им продукта, так как подобные действия не связаны с исполнением основных обязательств сторон по договору банковского обслуживания. Соответственно, данное основание обработки персональных данных хотя и является определенной «безопасной гаванью» для операторов персональных данных для продолжения нормальной работы с клиентом, отозвавшим свое согласие на обработку персональных данных, но оно все же создает необходимость для тщательного контроля со стороны оператора дальнейшей работы с персональными данными такого пользователя с целью исключения превышения полномочий оператора по обработке.
Рассмотренное выше ограничение, связанное с исполнением договора как основанием обработки персональных данных, основано на таких принципах, как целевая обработка персональных данных и минимизация обрабатываемых данных. Целевая обработка персональных данных предполагает, что эти данные могут обрабатываться исключительно для заранее определенных и конкретных целей (формулировки по типу «оператор обрабатывает персональные данные для любых целей, определенных оператором» не пройдут).
Минимизация обработки персональных данных означает, что обработке подлежат только те данные, которые отвечают целям их обработки. Так, нельзя обрабатывать данные о физическом адресе клиента, если в качестве цели обработки указывается, например, указывается рекламная рассылка по электронной почте, поскольку вид персональных данных не соотносится с целью.
Или, например, компания подключила эквайринг к своему сайту, и пользователь вносит свои данные исключительно в банковскую форму оплаты. В этом случае сама компания не может и не должна обрабатывать данные карты, включая ее номер. На сервер компании поступит только обезличенная информация о карте клиента (для последующей привязки), но не номер карты полностью, поскольку для целей реализации такого способа оплаты весь номер карты не требуется компании.
Другая ситуация может быть у компании-работодателя в отношении работника, которому работодатель должен платить зарплату: для целей совершения такой выплате работодатель должен обработать данные банковского счета или реквизиты карты пользователя для совершения платежа.
Отдельным вопросом, подлежащим обсуждению в части обработки персональных данных, содержащих финансовую информацию, конечно же, является соблюдение в дополнение к уже описанным нормам и принципам, регулирование банковской тайны. Такое регулирование установлено ст. 26 ФЗ О банках. К банковской тайне относятся сведения об операциях, о счета и вкладах клиентов и корреспондентов банка. Данная информация предоставляется или: в случаях, прямо предусмотренных законом, например, по запросу суда, правоохранительного органа или по запросу Росфинмониторинга, или в случаях получения запроса физического лица.
В этой связи банки при участии в различных программах лояльности совместно с третьими лицами создают специальное программное обеспечение, посредством которого небанковскому оператору программы лояльности передается информация не о самих клиентах и их транзакциях, а лишь псевдо-анонимизированные коды, по которым такой небанковский оператор может своего клиента идентифицировать. Благодаря этому прямой обработки финансовой операции на стороне оператора программы лояльности не происходит, также как и разглашения банковской тайны на стороне банка.
Операторам персональных данных, в особенности финансовым организациям, необходимо учитывать текущие законодательные требования к обработке персональных данных в целях избежания привлечения к административной ответственности. Также важно, что отдельные виды информации о физических лицах защищается не только в качестве персональных данных, но и в качестве иной защищаемой законом информации. Оператором перед началом обработки персональных данных важно оценить свои цели обработки персональных данных и объем информации, которую он хочет обрабатывать в целях обеспечения их соотношения между собой.
Также нельзя забывать и о необходимости подачи уведомления в РКН о начале обработки персональных данных, особенно с учетом увеличения в конце мая штрафов за отсутствие такой подачи.
Фото: предоставлено автором
