Y qué tipo de consentimiento no vale la pena firmar.
Buen dia, Habr!
Este artículo nació completamente espontáneamente de una historia así.
Como también soy cofundador de la organización en la que trabajo, de vez en cuando tengo que firmar varios documentos de los bancos con los que trabajamos, luego tomamos un préstamo, luego necesito presentar una solicitud de licitación, etc. La vida ordinaria de una LLC ordinaria.
Y ahora, ayer me trajeron otro documento para su firma: consentimiento para el procesamiento de datos personales de un banco local. Primero lo firmé en la máquina y luego decidí leerlo.
Yazhprogrammer Sigo siendo un experto, incluida la protección de datos personales. Leer me dejó en estado de shock.
Debajo del corte, entenderemos qué está mal con el consentimiento y por qué es ilegal.
El texto de consentimiento comienza con las palabras:
Mi consentimiento se otorga con el propósito de concluir cualquier acuerdo con el Banco y su posterior ejecución, tomar decisiones o tomar otras acciones que den lugar a consecuencias legales para mí u otras personas, brindándome información sobre los servicios prestados por el Banco y se aplica a la siguiente información: apellido, nombre, patronímico ... y cualquier otra información relacionada con mi personalidad que esté disponible o sea conocida en cualquier momento por el Banco (en lo sucesivo, "Información personal")
Todo está bien aquí. Doy mi consentimiento para el procesamiento de cualquier dato personal para cualquier propósito. Sí, ahora mismo Esto es lo que la ley federal No. 152-On sobre datos personales nos dice sobre esto:
Parte 2 del artículo 5:
2. El procesamiento de datos personales debe limitarse al logro de objetivos específicos , predeterminados y legítimos. No se permite el procesamiento de datos personales que sea incompatible con los fines de recopilación de datos personales .
No voy a masticar. En Habré, las personas son inteligentes, usted mismo comprende qué tipo de conflictos existen en la redacción del consentimiento y la ley. Y la frase "cualquier momento particular en el tiempo" me hizo aburrirme un poco. Aunque puede estar bien con este diseño, si hay filólogos, bienvenidos a comentar.
Vamos más lejos Texto de consentimiento (ortografía y puntuación guardados):
Este consentimiento es válido por 5 (cinco) años después de la expiración del período de almacenamiento de la información relevante o documentos que contienen la información anterior, determinada de acuerdo con la legislación de la Federación Rusa y las relaciones contractuales, después de lo cual puede ser revocada enviándome un aviso por escrito al Banco por lo menos 3 (tres) meses antes de la retirada del consentimiento.
Lamento molestar al Banco, pero el consentimiento de conformidad con el
inciso 9 (2) de la misma Ley de Datos Personales puede ser revocado en cualquier momento. De todos modos, ¿qué tipo de tonterías, el consentimiento puede ser revocado solo después de la expiración del consentimiento?
El siguiente es un párrafo sobre las acciones que se pueden realizar con mis datos personales. Ni siquiera voy a citar a partir de ahí. Creo que está claro que se puede tomar cualquier medida.
Bueno, el último párrafo también es una obra maestra (ortografía y puntuación guardados):
Por la presente, reconozco y confirmo que, si es necesario proporcionar Datos personales para lograr los objetivos anteriores a un tercero ( incluida una organización no crediticia y no bancaria ), así como cuando involucra a terceros en la prestación de servicios para estos fines, el Banco transfiere sus funciones y autoridad a otra persona, el Banco tiene derecho a revelar la medida necesaria para llevar a cabo la información acerca de las acciones por encima de mí en lo personal (incluyendo mis datos personales), las terceras partes, sus agentes u otros autorizados y y personas, así como para proporcionar a dichas personas, los documentos que contengan dicha información. Por la presente, también reconozco y confirmo que este consentimiento se considera otorgado por mí a cualquier tercero indicado anteriormente, sujeto a los cambios relevantes, y que dichos terceros tienen derecho a procesar datos personales sobre la base de este consentimiento.
Simplemente asombroso. El Banco no solo puede hacer lo que quiera con CUALQUIER información personal, sino que también tiene el derecho de transferirla a cualquier persona, de cualquier manera y en cualquier cantidad.
¿Qué dice la ley?
Parte 1 del artículo 9 :
El consentimiento para el procesamiento de datos personales debe ser específico, informado y consciente.
Lo sentimos, pero TI no se vuelve "informado y específico".
Al mismo tiempo, los reguladores en las inspecciones en nuestra experiencia para tal "consentimiento" inmediatamente escriben una multa. En general, comencé a firmar sin mirar, pensando que tales textos habían desaparecido en algún lugar en 2012, o incluso antes. Es triste ver esto de una organización financiera, en la que probablemente estén sentados un grupo de abogados.
¿Qué debes hacer como organización? Haga un consentimiento verdaderamente específico e informado. Formule de manera clara y no ambigua los objetivos de procesamiento y las categorías específicas de datos personales que no son redundantes tras la aplicación a los fines indicados. Si planea transferir datos personales a terceros, deberá sudar e indicar a terceros específicos, los datos personales específicos que se transferirán y los objetivos específicos de dicha transferencia (es importante recordar que no necesita indicar aquí qué debe transferir de acuerdo con las leyes federales) .
¿Qué debe hacer como sujeto de datos personales si ve dicho consentimiento? Todo depende de la situación específica. Si se niega a firmar el consentimiento, lo más probable es que se le informe que en este caso no podrán proporcionarle un servicio. Si realmente necesita el servicio, firme el consentimiento, obtenga el servicio, pero luego puede quejarse de la violación de la ley "Sobre datos personales", por ejemplo
aquí .
Y recuerde que si firmó algo en algún lugar, esto no significa que el Banco o cualquier otra persona pueda hacer lo que quiera con sus datos personales. Cualquier acuerdo, consentimiento y otros documentos que contradicen directamente la legislación actual son ilegales.
Con respecto a una historia específica, luego "cuando fue necesario" informé. Estamos esperando el desarrollo de la situación. En realidad, por lo tanto, hasta ahora no hemos divulgado el nombre del Banco, de repente cambiará de opinión y se recuperará. Si no, entonces, aparentemente, habrá una segunda parte: una continuación, incluso con el anuncio de los nombres de "héroes" y la reacción de los reguladores.
UPD 29/11/2019:Una respuesta de ILV llegó a mi apelación:
... primero vienen citas de 152-FZ a 2 páginas ... , luego:
Además, le informo que la evaluación de las actividades del operador que procesa los datos personales para cumplir con los requisitos de la legislación de la Federación de Rusia en el campo de los datos personales se lleva a cabo durante las medidas de control y supervisión en relación con el operador especificado.
De acuerdo con los párrafos. "B" p. 8 de las Reglas para la organización e implementación del control estatal y la supervisión del procesamiento de datos personales aprobados por el Decreto del Gobierno de la Federación de Rusia del 13 de febrero de 2019 No. 146 (en adelante, las Reglas), las inspecciones no programadas se llevan a cabo según el orden del organismo de control y supervisión emitido de acuerdo con Los resultados de la consideración de las quejas de los ciudadanos recibidas por el organismo de control y supervisión, siempre que haya materiales en circulación que confirmen la violación de sus derechos, tal como se define en los artículos 14-17 de la Ley Federal "Sobre Personal datos ", acciones (inacción) del operador en el procesamiento de sus datos personales.
Al mismo tiempo, las circunstancias especificadas en su apelación no se ajustan a los motivos establecidos por las Reglas y, por lo tanto, su apelación no es la base para una inspección no programada por la Oficina de Roskomnadzor para el territorio de Primorsky.
Tiene derecho a presentar una demanda de forma independiente ante el tribunal si cree que se han violado sus derechos como sujeto de datos personales. Puede familiarizarse con el procedimiento para proteger sus derechos en el capítulo 3, "Derechos del sujeto de los datos personales".
Lo que se esperaba: "Duerma bien, ciudadano, no se violan sus derechos"