Und welche Art von Zustimmung ist es nicht wert, unterschrieben zu werden.
Guten Tag, Habr!
Dieser Artikel wurde ganz spontan aus einer solchen Geschichte geboren.
Da ich auch Mitbegründer der Organisation bin, in der ich arbeite, muss ich von Zeit zu Zeit verschiedene Dokumente von den Banken unterschreiben, mit denen wir zusammenarbeiten, dann nehmen wir einen Kredit auf, dann muss ich einen Antrag auf Ausschreibung stellen und so weiter. Das gewöhnliche Leben einer gewöhnlichen LLC.
Und jetzt, gestern, bringen sie mir ein weiteres Dokument zur Unterschrift - Zustimmung zur Verarbeitung personenbezogener Daten von einer lokalen Bank. Ich habe es zuerst auf der Maschine unterschrieben und mich dann trotzdem entschlossen, es zu lesen.
Yazhprogrammer Ich bin immer noch ein Experte, einschließlich des Schutzes personenbezogener Daten. Read warf mich in einen kranken Schock.
Unter dem Schnitt werden wir verstehen, was mit der Zustimmung falsch ist und warum es illegal ist.
Der Einwilligungstext beginnt mit den Worten:
Meine Zustimmung wird erteilt, um Vereinbarungen mit der Bank zu schließen und sie weiter auszuführen, Entscheidungen zu treffen oder andere Maßnahmen zu ergreifen , die rechtliche Konsequenzen für mich oder andere Personen haben, mir Informationen über die von der Bank erbrachten Dienstleistungen zu liefern und gilt für die folgenden Informationen: Nachname, Name, Patronym ... und alle anderen Informationen in Bezug auf meine Persönlichkeit, die der Bank zu einem bestimmten Zeitpunkt zur Verfügung stehen oder bekannt sind (im Folgenden als „persönliche Informationen“ bezeichnet)
Hier ist alles in Ordnung. Ich stimme der Verarbeitung personenbezogener Daten für jeden Zweck zu. Ja, gerade jetzt. Das Bundesgesetz Nr. 152- über personenbezogene Daten sagt uns Folgendes:
Artikel 5 Teil 2:
2. Die Verarbeitung personenbezogener Daten sollte sich auf die Erreichung bestimmter , vorgegebener und legitimer Ziele beschränken . Die Verarbeitung personenbezogener Daten, die mit der Erhebung personenbezogener Daten nicht vereinbar sind, ist nicht gestattet .
Ich werde nicht kauen. Bei Habré sind die Leute schlau, Sie selbst verstehen, welche Konflikte im Wortlaut der Einwilligung und im Gesetz bestehen. Und der Satz „zu einem bestimmten Zeitpunkt“ machte mich ein wenig langweilig. Obwohl es mit diesem Entwurf in Ordnung sein kann, wenn es Philologen gibt, können Sie gerne einen Kommentar abgeben.
Wir gehen weiter. Einwilligungstext (Rechtschreibung und Zeichensetzung gespeichert):
Diese Einwilligung gilt 5 (fünf) Jahre nach Ablauf der Aufbewahrungsfrist für die relevanten Informationen oder Dokumente, die die oben genannten Informationen enthalten, die gemäß den Rechtsvorschriften der Russischen Föderation und den Vertragsbeziehungen festgelegt wurden. Danach kann sie widerrufen werden, indem mir mindestens eine schriftliche Mitteilung an die Bank gesendet wird 3 (drei) Monate vor dem Widerruf der Einwilligung.
Es tut mir leid, die Bank zu verärgern, aber die Zustimmung gemäß
Absatz 9 (2) desselben Gesetzes über personenbezogene Daten kann jederzeit widerrufen werden. Wie auch immer, welche Art von Unsinn - Einwilligung kann erst nach Ablauf der Einwilligung widerrufen werden?
Das Folgende ist ein Absatz über die Aktionen, die mit meinen persönlichen Daten ausgeführt werden können. Ich werde nicht einmal von dort zitieren. Ich denke, es ist klar, dass jede Maßnahme ergriffen werden kann.
Nun, der letzte Absatz ist auch ein Meisterwerk (Rechtschreibung und Zeichensetzung gespeichert):
Ich erkenne hiermit an und bestätige, dass die Bank ihre Funktionen überträgt, wenn es erforderlich ist, personenbezogene Daten zur Erreichung der oben genannten Ziele an Dritte ( einschließlich einer Nichtkredit- und Nichtbankenorganisation ) weiterzugeben sowie Dritte in die Erbringung von Dienstleistungen für diese Zwecke einzubeziehen Behörde einer anderen Person, ist die Bank berechtigt , den Umfang offen zu legen notwendig , um die oben genannten Aktionen Informationen über mich persönlich durchzuführen (einschließlich meiner personenbezogenen Daten), wie dritte, ihre Beauftragten oder andere autorisierte und und Personen sowie solche Personen zur Verfügung zu stellen, die Dokumente solche Informationen enthalten. Hiermit bestätige und bestätige ich auch, dass diese Einwilligung von mir an alle oben genannten Dritten erteilt wird, vorbehaltlich der entsprechenden Änderungen, und dass diese Dritten berechtigt sind, personenbezogene Daten auf der Grundlage dieser Einwilligung zu verarbeiten.
Einfach genial. Die Bank kann nicht nur mit meinen persönlichen Daten tun, was sie will, sondern hat auch das Recht, sie in irgendeiner Weise an jedermann zu übertragen.
Was sagt das Gesetz?
Artikel 9 Teil 1 :
Die Zustimmung zur Verarbeitung personenbezogener Daten muss spezifisch, informiert und bewusst sein.
Entschuldigung, aber die IT wird nicht "informiert und spezifisch".
Gleichzeitig schreiben die Aufsichtsbehörden bei den Inspektionen nach unserer Erfahrung für eine solche "Zustimmung" sofort eine Geldstrafe aus. Im Allgemeinen begann ich zu unterschreiben, ohne hinzuschauen, weil ich dachte, dass solche Texte 2012 oder sogar früher irgendwo verschwunden waren. Es ist traurig, dies von einer Finanzorganisation zu sehen, in der wahrscheinlich eine Reihe von Anwälten sitzen.
Was sollten Sie als Organisation tun? Machen Sie eine wirklich spezifische und informierte Zustimmung. Formulieren Sie klar und nicht mehrdeutig die Verarbeitungsziele und spezifischen Kategorien personenbezogener Daten, die bei Anwendung auf die angegebenen Zwecke nicht redundant sind. Wenn Sie vorhaben, personenbezogene Daten an Dritte weiterzugeben, müssen Sie bestimmte Dritte, die zu übertragenden personenbezogenen Daten und die spezifischen Ziele einer solchen Übermittlung schwitzen und angeben (es ist wichtig zu beachten, dass Sie hier nicht angeben müssen, was Sie gemäß den Bundesgesetzen übermitteln müssen). .
Was sollten Sie als Gegenstand personenbezogener Daten tun, wenn Sie eine solche Zustimmung sehen? Es hängt alles von der spezifischen Situation ab. Wenn Sie sich weigern, die Einwilligung zu unterschreiben, werden Sie höchstwahrscheinlich darüber informiert, dass sie Ihnen in diesem Fall keine Dienstleistung erbringen können. Wenn Sie den Service wirklich benötigen, unterschreiben Sie die Einwilligung, holen Sie sich den Service, aber dann können Sie sich hier beispielsweise über den Verstoß gegen das Gesetz "Über personenbezogene Daten" beschweren.
Und denken Sie daran, dass wenn Sie irgendwo etwas unterschrieben haben, dies nicht bedeutet, dass die Bank oder andere Personen danach mit Ihren persönlichen Daten tun können, was sie wollen. Vereinbarungen, Zustimmungen und andere Dokumente, die der aktuellen Gesetzgebung direkt widersprechen, sind illegal.
In Bezug auf eine bestimmte Geschichte habe ich dann "wo nötig" berichtet. Wir warten auf die Entwicklung der Situation. Daher wird der Name der Bank derzeit nicht bekannt gegeben, und plötzlich ändert sich ihre Meinung und es wird besser. Wenn nicht, dann wird es anscheinend einen zweiten Teil geben - eine Fortsetzung, einschließlich der Bekanntgabe der Namen der „Helden“ und der Reaktion der Regulierungsbehörden.
UPD 29.11.2019:Eine Antwort von ILV kam zu meiner Berufung:
... kommen zuerst Zitate von 152-FZ auf 2 Seiten ... , dann:
Darüber hinaus informiere ich Sie darüber, dass die Bewertung der Aktivitäten des Betreibers, der personenbezogene Daten verarbeitet, um die Anforderungen der Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten zu erfüllen, während Kontroll- und Überwachungsmaßnahmen in Bezug auf den angegebenen Betreiber erfolgt.
In Übereinstimmung mit den Absätzen. "B" S. 8 der Regeln für die Organisation und Durchführung der staatlichen Kontrolle und Überwachung der Verarbeitung personenbezogener Daten, die durch das Dekret der Regierung der Russischen Föderation vom 13. Februar 2019 Nr. 146 (im Folgenden als Regeln bezeichnet) genehmigt wurden, werden außerplanmäßige Inspektionen auf der Grundlage der Anordnung der Kontroll- und Überwachungsbehörde durchgeführt, die gemäß die Ergebnisse der Prüfung der bei der Kontroll- und Aufsichtsbehörde eingegangenen Beschwerden der Bürger, sofern Materialien im Umlauf sind, die die Verletzung ihrer Rechte gemäß Artikel 14-17 des Bundesgesetzes „Persönlich Daten “, Handlungen (Untätigkeit) des Betreibers bei der Verarbeitung seiner personenbezogenen Daten.
Gleichzeitig fallen die in Ihrer Berufung angegebenen Umstände nicht unter die in den Regeln festgelegten Gründe, und daher ist Ihre Berufung nicht die Grundlage für eine außerplanmäßige Inspektion durch das Roskomnadzor-Büro für das Primorsky-Territorium.
Sie haben das Recht, unabhängig eine Klage beim Gericht einzureichen, wenn Sie der Ansicht sind, dass Ihre Rechte als Gegenstand personenbezogener Daten verletzt wurden. Sie können sich in Kapitel 3, „Rechte des Subjekts personenbezogener Daten“, mit dem Verfahren zum Schutz Ihrer Rechte vertraut machen.
Was zu erwarten war: „Schlaf gut, Bürger, deine Rechte werden nicht verletzt“