Dan persetujuan macam apa yang tidak layak ditandatangani.
Selamat siang, Habr!
Artikel ini lahir sepenuhnya secara spontan dari kisah semacam itu.
Karena saya juga adalah salah satu pendiri organisasi tempat saya bekerja, dari waktu ke waktu saya harus menandatangani berbagai dokumen dari bank tempat kami bekerja, kemudian kami mengambil pinjaman, maka saya perlu menyediakan aplikasi untuk tender dan sebagainya. Kehidupan biasa seorang LLC biasa.
Dan sekarang, kemarin mereka membawakan saya dokumen lain untuk ditandatangani - persetujuan untuk pemrosesan data pribadi dari satu bank lokal. Saya pertama kali menandatanganinya di mesin, dan kemudian masih memutuskan untuk membacanya.
Program Yazh Saya masih ahli, termasuk perlindungan data pribadi. Read membuatku shock.
Di bawah potongan, kita akan mengerti apa yang salah dengan persetujuan dan mengapa itu ilegal.
Teks persetujuan dimulai dengan kata-kata:
Saya memberikan persetujuan untuk tujuan menyimpulkan perjanjian dengan Bank dan pelaksanaan selanjutnya, membuat keputusan atau mengambil tindakan lain yang menimbulkan konsekuensi hukum bagi saya atau orang lain, memberi saya informasi tentang layanan yang disediakan oleh Bank dan berlaku untuk informasi berikut: nama keluarga, nama, patronimik ... dan informasi lain apa pun yang terkait dengan kepribadian saya, tersedia atau diketahui pada saat tertentu pada saat Bank (selanjutnya disebut sebagai "Informasi Pribadi")
Semuanya baik-baik saja di sini. Saya memberikan persetujuan saya untuk pemrosesan data pribadi apa pun untuk tujuan apa pun. Ya, sekarang juga. Berikut adalah yang diceritakan oleh undang-undang federal No. 152- Tentang Data Pribadi tentang ini:
Bagian 2 dari Pasal 5:
2. Pemrosesan data pribadi harus dibatasi pada pencapaian tujuan spesifik , yang telah ditentukan dan sah. Pemrosesan data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi tidak diperbolehkan .
Saya tidak akan mengunyah. Di Habré, orang-orang pintar, Anda sendiri memahami jenis konflik apa yang ada dalam kata-kata persetujuan dan hukum. Dan frasa "saat tertentu dalam waktu" membuat saya sedikit membosankan. Meskipun mungkin ok dengan desain ini, jika ada filolog, selamat datang untuk berkomentar.
Kita melangkah lebih jauh. Teks persetujuan (ejaan dan tanda baca disimpan):
Persetujuan ini berlaku selama 5 (lima) tahun setelah berakhirnya periode penyimpanan untuk informasi yang relevan atau dokumen yang mengandung informasi di atas, ditentukan sesuai dengan undang-undang Federasi Rusia dan hubungan kontraktual, setelah itu dapat dicabut dengan mengirimkan kepada saya pemberitahuan tertulis yang sesuai kepada Bank tidak kurang dari 3 (tiga) bulan sebelum penarikan persetujuan.
Saya minta maaf telah mengecewakan Bank, tetapi persetujuan sesuai dengan
ayat 9 (2) Undang-Undang tentang Data Pribadi yang sama dapat ditarik kapan saja. Pokoknya, izin omong kosong macam apa yang dapat dicabut hanya setelah berakhirnya izin?
Berikut ini adalah paragraf tentang tindakan yang dapat dilakukan dengan data pribadi saya. Saya bahkan tidak akan mengutip dari sana. Saya pikir jelas bahwa tindakan apa pun dapat dilakukan.
Nah, paragraf terakhir juga merupakan mahakarya (ejaan dan tanda baca disimpan):
Saya dengan ini mengakui dan mengkonfirmasi bahwa, jika perlu untuk memberikan Data Pribadi untuk mencapai tujuan di atas kepada pihak ketiga ( termasuk organisasi non-kredit dan non-perbankan ), serta ketika melibatkan pihak ketiga dalam penyediaan layanan untuk tujuan ini, Bank mentransfer fungsinya dan wewenang untuk orang lain, Bank berhak untuk mengungkapkan sejauh yang diperlukan untuk melaksanakan informasi tindakan di atas tentang saya pribadi (termasuk data pribadi saya), pihak ketiga tersebut, agen atau lainnya yang berwenang dan dan orang, serta untuk menyediakan orang-orang tersebut, dokumen-dokumen yang berisi informasi tersebut. Saya dengan ini juga mengakui dan mengkonfirmasi bahwa persetujuan ini dianggap diberikan oleh saya kepada pihak ketiga yang disebutkan di atas, tunduk pada perubahan yang relevan, dan pihak ketiga tersebut berhak untuk memproses data pribadi berdasarkan persetujuan ini.
Luar biasa. Bank tidak hanya dapat melakukan apa yang diinginkannya dengan data pribadi APAPUN saya, tetapi juga memiliki hak untuk mentransfernya kepada siapa pun, dengan cara apa pun, dalam jumlah berapa pun.
Apa yang dikatakan hukum?
Bagian 1 dari Pasal 9 :
Persetujuan untuk pemrosesan data pribadi harus spesifik, informasi dan sadar.
Maaf, tetapi ITU tidak mengubah "informasi dan spesifik".
Pada saat yang sama, para regulator di inspeksi dalam pengalaman kami untuk "persetujuan" tersebut segera menulis denda. Secara umum, saya mulai menandatangani tanpa melihat, berpikir bahwa teks semacam itu telah menghilang di suatu tempat di 2012, atau bahkan lebih awal. Sangat menyedihkan melihat ini dari sebuah organisasi keuangan, di mana sekelompok pengacara mungkin duduk.
Apa yang harus Anda lakukan sebagai organisasi? Membuat persetujuan yang benar-benar spesifik dan terinformasi. Jelas dan tidak ambigu merumuskan tujuan pemrosesan dan kategori spesifik data pribadi yang tidak berlebihan pada aplikasi untuk tujuan yang ditunjukkan. Jika Anda berencana untuk mentransfer data pribadi ke pihak ketiga, Anda harus berkeringat dan menunjukkan pihak ketiga tertentu, data pribadi spesifik yang akan ditransfer dan tujuan spesifik dari transfer tersebut (penting untuk diingat bahwa Anda tidak perlu menunjukkan di sini apa yang harus Anda transfer sesuai dengan undang-undang federal) .
Apa yang harus Anda lakukan sebagai subjek data pribadi jika Anda melihat persetujuan tersebut? Itu semua tergantung pada situasi spesifik. Jika Anda menolak untuk menandatangani persetujuan, maka kemungkinan besar Anda akan diberitahu bahwa dalam hal ini mereka tidak akan dapat memberi Anda layanan. Jika Anda benar-benar membutuhkan layanan, tandatangani izin, dapatkan layanan, tetapi kemudian Anda dapat mengeluh tentang pelanggaran hukum "Pada data pribadi" misalnya di
sini .
Dan ingat bahwa jika Anda menandatangani sesuatu di suatu tempat, ini tidak berarti bahwa Bank atau siapa pun setelah itu dapat melakukan apa pun yang diinginkan dengan data pribadi Anda. Setiap perjanjian, persetujuan, dan dokumen lain yang secara langsung bertentangan dengan undang-undang saat ini adalah ilegal.
Berkenaan dengan cerita tertentu, maka "jika perlu" saya melaporkan. Kami sedang menunggu perkembangan situasi. Sebenarnya, oleh karena itu, untuk saat ini kami tidak mengungkapkan nama Bank, tiba-tiba berubah pikiran dan menjadi lebih baik. Jika tidak, maka, tampaknya, akan ada bagian kedua - kelanjutan, termasuk dengan pengumuman nama "pahlawan" dan reaksi regulator.
UPD 11/29/2019:Sebuah jawaban dari ILV datang ke banding saya:
... kutipan pertama datang dari 152-FZ ke 2 halaman ... , lalu:
Selain itu, saya memberi tahu Anda bahwa evaluasi kegiatan operator yang memproses data pribadi untuk kepatuhan dengan persyaratan undang-undang Federasi Rusia di bidang data pribadi dilakukan selama tindakan kontrol dan pengawasan terkait dengan operator yang ditentukan.
Sesuai dengan paragraf. “B” hlm. 8 Peraturan untuk organisasi dan pelaksanaan kontrol negara dan pengawasan pemrosesan data pribadi yang disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 13 Februari 2019 No. 146 (selanjutnya disebut sebagai Peraturan), inspeksi yang tidak terjadwal dilakukan berdasarkan urutan dari kontrol dan badan pengawas yang dikeluarkan sesuai dengan hasil pertimbangan pengaduan warga yang diterima oleh badan kontrol dan pengawasan, asalkan ada materi yang beredar yang menegaskan pelanggaran hak-hak mereka, sebagaimana didefinisikan oleh pasal 14-17 dari Undang-Undang Federal “Tentang Pribadi”. data ”, tindakan (tidak bertindak) dari operator dalam pemrosesan data pribadi mereka.
Pada saat yang sama, keadaan yang ditentukan dalam banding Anda tidak jatuh pada dasar yang ditetapkan oleh Peraturan, dan oleh karena itu, banding Anda bukan merupakan dasar untuk inspeksi yang tidak dijadwalkan oleh Kantor Roskomnadzor untuk Wilayah Primorsky.
Anda memiliki hak untuk mengajukan gugatan secara independen ke pengadilan jika Anda yakin bahwa hak-hak Anda sebagai subjek data pribadi telah dilanggar. Anda dapat membiasakan diri dengan prosedur untuk melindungi hak-hak Anda di bab 3, "Hak-hak subjek data pribadi".
Apa yang diharapkan: "Tidur nyenyak, warga negara, hak-hak Anda tidak dilanggar"