Et quel type de consentement ne vaut pas la peine d'être signé.
Bonjour, Habr!
Cet article est né complètement spontanément d'une telle histoire.
Comme je suis également co-fondateur de l'organisation dans laquelle je travaille, je dois de temps en temps signer divers documents auprès des banques avec lesquelles nous travaillons, puis nous prenons un prêt, puis je dois fournir une demande de soumission et ainsi de suite. La vie ordinaire d'une LLC ordinaire.
Et maintenant, hier, ils m'apportent un autre document à signer - le consentement au traitement des données personnelles d'une banque locale. Je l'ai d'abord signé sur la machine, puis j'ai quand même décidé de le lire.
Yazhprogrammer Je suis toujours un expert en matière de protection des données personnelles. Read m'a plongé dans un choc maladif.
Sous la coupe, nous comprendrons ce qui ne va pas avec le consentement et pourquoi il est illégal.
Le texte du consentement commence par les mots:
Mon consentement est donné dans le but de conclure des accords avec la Banque et leur exécution ultérieure, de prendre des décisions ou de prendre d' autres mesures qui entraînent des conséquences juridiques pour moi ou pour d'autres personnes, me fournissant des informations sur les services fournis par la Banque et s'applique aux informations suivantes: nom, prénom, patronyme ... et toute autre information relative à ma personnalité, disponible ou connue à un moment donné de la Banque (ci-après dénommée «Informations personnelles»)
Tout va bien ici. J'autorise le traitement de toute donnée personnelle à quelque fin que ce soit. Ouais, maintenant. Voici ce que la loi fédérale n ° 152- sur les données personnelles nous dit à ce sujet:
Partie 2 de l'article 5:
2. Le traitement des données à caractère personnel doit être limité à la réalisation d' objectifs spécifiques , prédéterminés et légitimes. Le traitement de données personnelles incompatible avec les finalités de la collecte de données personnelles n'est pas autorisé .
Je ne mâcherai pas. Sur Habré, les gens sont intelligents, vous comprenez vous-même quel genre de conflits il y a dans le libellé du consentement et de la loi. Et l'expression «n'importe quel moment particulier» m'a un peu émoussé. Bien que cela puisse convenir à cette conception, s'il y a des philologues, n'hésitez pas à commenter.
Nous allons plus loin. Texte de consentement (orthographe et ponctuation enregistrées):
Ce consentement est valable 5 (cinq) ans après l'expiration de la période de conservation des informations ou documents pertinents contenant les informations ci-dessus, déterminée conformément à la législation de la Fédération de Russie et des relations contractuelles, après quoi il peut être révoqué en m'envoyant un avis écrit à la Banque au moins pour 3 (trois) mois avant le retrait du consentement.
Je suis désolé de contrarier la Banque, mais le consentement conformément au
paragraphe 9 (2) de la même loi sur les données personnelles peut être retiré à tout moment. Quoi qu'il en soit, quel genre de non-sens - le consentement ne peut être révoqué qu'après l'expiration du consentement?
Ce qui suit est un paragraphe sur les actions qui peuvent être effectuées avec mes données personnelles. Je ne citerai même pas de là . Je pense qu'il est clair que n'importe quelle action peut être prise.
Eh bien, le dernier paragraphe est également un chef-d'œuvre (orthographe et ponctuation enregistrées):
Par la présente, je reconnais et confirme que, s'il est nécessaire de fournir des données personnelles pour atteindre les objectifs ci-dessus à un tiers ( y compris un organisme non bancaire et non bancaire ), ainsi que lorsqu'elle implique des tiers dans la fourniture de services à ces fins, la Banque transfère ses fonctions et autorité à une autre personne, la Banque a le droit de divulguer la mesure nécessaire pour mener à bien les informations d'actions ci - dessus à propos de moi personnellement (y compris mes données personnelles), ces tiers, leurs agents ou toute autre entité autorisée et et des personnes, ainsi que de fournir à ces personnes, les documents contenant ces informations. Par la présente, je reconnais et confirme également que ce consentement est considéré comme étant donné par moi à tout tiers indiqué ci-dessus, sous réserve des modifications pertinentes, et ces tiers sont autorisés à traiter les données personnelles sur la base de ce consentement.
Tout simplement génial. Non seulement la Banque peut faire ce qu'elle veut avec TOUTES MES données personnelles, mais elle a également le droit de les transférer à n'importe qui, de quelque manière que ce soit, pour n'importe quel montant.
Que dit la loi?
Partie 1 de l'article 9 :
Le consentement au traitement des données personnelles doit être spécifique, informé et conscient.
Désolé, mais l'informatique ne devient pas «informée et spécifique».
Dans le même temps, les régulateurs lors des inspections de notre expérience pour un tel «consentement» écrivent immédiatement une amende. En général, j'ai commencé à signer sans regarder, pensant que de tels textes avaient disparu quelque part en 2012, voire plus tôt. C'est triste de voir cela d'une organisation financière, dans laquelle un groupe d'avocats est probablement assis.
Que devez-vous faire en tant qu'organisation? Faites un consentement vraiment spécifique et éclairé. Formuler clairement et sans ambiguïté les objectifs de traitement et les catégories spécifiques de données personnelles qui ne sont pas redondantes lors de leur application aux fins indiquées. Si vous prévoyez de transférer des données personnelles à des tiers, vous devrez transpirer et indiquer des tiers spécifiques, les données personnelles spécifiques à transférer et les objectifs spécifiques d'un tel transfert (il est important de se rappeler que vous n'avez pas besoin d'indiquer ici ce que vous devez transférer conformément aux lois fédérales) .
Que devez-vous faire en tant que sujet de données personnelles si vous voyez un tel consentement? Tout dépend de la situation spécifique. Si vous refusez de signer le consentement, vous serez probablement informé que dans ce cas, ils ne seront pas en mesure de vous fournir un service. Si vous avez vraiment besoin du service, signez le consentement, obtenez le service, mais alors vous pouvez vous plaindre de la violation de la loi "sur les données personnelles" par exemple
ici .
Et rappelez-vous que si vous avez signé quelque chose quelque part, cela ne signifie pas que la Banque ou toute autre personne après cela peut faire ce qu'elle veut avec vos données personnelles. Tous les accords, consentements et autres documents qui contredisent directement la législation actuelle sont illégaux.
En ce qui concerne une histoire spécifique, puis «si nécessaire», ai-je signalé. Nous attendons le développement de la situation. En fait, par conséquent, jusqu'à présent, nous n'avons pas divulgué le nom de la Banque, elle va soudainement changer d'avis et récupérer. Sinon, alors, apparemment, il y aura une deuxième partie - une suite, y compris avec l'annonce des noms des «héros» et la réaction des régulateurs.
UPD 29/11/2019:Une réponse d'ILV est venue à mon appel:
... viennent d'abord des citations de 152-FZ Ă 2 pages ... , puis:
En outre, je vous informe que l'évaluation des activités de l'opérateur qui traite des données personnelles pour la conformité aux exigences de la législation de la Fédération de Russie dans le domaine des données personnelles est effectuée lors de mesures de contrôle et de surveillance par rapport à l'opérateur spécifié.
Conformément aux paragraphes. «B» p. 8 des règles d'organisation et de mise en œuvre du contrôle et de la surveillance par l'État du traitement des données à caractère personnel approuvées par le décret du gouvernement de la Fédération de Russie du 13 février 2019 n ° 146 (ci-après dénommé «les règles»), les inspections imprévues sont effectuées sur la base de l'ordre de l'organisme de contrôle et de surveillance délivré conformément à les résultats de l'examen des plaintes des citoyens reçues par l'organe de contrôle et de surveillance, à condition qu'il existe des documents en circulation confirmant la violation de leurs droits, tels que définis aux articles 14 à 17 de la loi fédérale sur les personnes données ", actions (inaction) de l'opérateur dans le traitement de ses données personnelles.
Dans le même temps, les circonstances spécifiées dans votre appel ne relèvent pas des motifs établis par le Règlement, et par conséquent, votre appel n'est pas la base d'une inspection imprévue par le Bureau de Roskomnadzor pour le territoire Primorsky.
Vous avez le droit d'intenter une action en justice de manière indépendante auprès du tribunal si vous pensez que vos droits en tant que sujet de données personnelles ont été violés. Vous pouvez vous familiariser avec la procédure de protection de vos droits au chapitre 3, «Droits du sujet des données personnelles».
À quoi s'attendre: «Dormez bien, citoyen, vos droits ne sont pas violés»