E que tipo de consentimento não vale a pena assinar.
Bom dia, Habr!
Este artigo nasceu completamente espontaneamente dessa história.
Como também sou co-fundador da organização em que trabalho, de tempos em tempos tenho que assinar vários documentos dos bancos com os quais trabalhamos, depois tomamos um empréstimo e preciso fornecer um pedido de licitação e assim por diante. A vida comum de uma LLC comum.
E agora, ontem, eles me trazem outro documento para assinatura - consentimento para o processamento de dados pessoais de um banco local. Eu o assinei primeiro na máquina e depois decidi lê-lo.
Yazhprogrammer Ainda sou um especialista, incluindo a proteção de dados pessoais. Read me jogou em um choque doentio.
De acordo com o corte, entenderemos o que há de errado com o consentimento e por que é ilegal.
O texto de consentimento começa com as palavras:
Meu consentimento é concedido com o objetivo de concluir quaisquer acordos com o Banco e sua posterior execução, tomar decisões ou tomar outras ações que dêem origem a consequências legais para mim ou para outras pessoas, fornecendo informações sobre os serviços prestados pelo Banco e se aplicando às seguintes informações: sobrenome, nome, patronímico ... e qualquer outra informação relacionada à minha personalidade que esteja disponível ou conhecida a qualquer momento no Banco (a seguir denominada "Informações Pessoais")
Está tudo bem aqui. Autorizo o processamento de quaisquer dados pessoais para qualquer finalidade. Sim, agora. Aqui está o que a lei federal nº 152- Sobre dados pessoais nos diz sobre isso:
Parte 2 do artigo 5:
2. O processamento de dados pessoais deve limitar-se à consecução de objetivos específicos , predeterminados e legítimos. Não é permitido o processamento de dados pessoais incompatíveis com a finalidade de coletar dados pessoais .
Eu não vou mastigar. No Habré, as pessoas são inteligentes, você mesmo entende que tipo de conflitos existem na redação do consentimento e da lei. E a frase “qualquer momento em particular” me deixou um pouco entorpecida. Embora possa estar de acordo com este design, se houver filólogos, bem-vindo ao comentar.
Nós estamos indo além. Texto de consentimento (ortografia e pontuação salvas):
Este consentimento é válido por 5 (cinco) anos após o término do período de armazenamento das informações ou documentos relevantes que contenham as informações acima, determinadas de acordo com a legislação da Federação Russa e as relações contratuais, após as quais podem ser revogadas enviando-me uma notificação por escrito ao Banco, pelo menos por 3 (três) meses antes da retirada do consentimento.
Lamento incomodar o Banco, mas o consentimento de acordo com a
subseção 9 (2) da mesma Lei de Dados Pessoais pode ser revogado a qualquer momento. De qualquer forma, que tipo de absurdo - consentimento só pode ser revogado após a expiração do consentimento?
A seguir, é apresentado um parágrafo sobre as ações que podem ser executadas com meus dados pessoais. Eu nem vou citar a partir daí. Eu acho que está claro que qualquer ação pode ser tomada.
Bem, o último parágrafo também é uma obra-prima (ortografia e pontuação salvas):
Reconheço e confirmo que, se for necessário fornecer Dados Pessoais para atingir os objetivos acima mencionados a terceiros ( incluindo uma organização que não seja de crédito e não bancária ), bem como quando envolver terceiros na prestação de serviços para esses fins, o Banco transferirá suas funções e autoridade para outra pessoa, o Banco tem o direito de divulgar na medida necessária para realizar a informação ações acima sobre mim pessoalmente (incluindo os meus dados pessoais), os terceiros, os seus agentes ou outra autorizada e e pessoas, bem como para fornecer tais pessoas, os documentos que contêm tais informações. Por meio deste, também reconheço e confirmo que este consentimento é considerado por mim concedido a terceiros indicados acima, sujeito às alterações relevantes, e quaisquer terceiros têm o direito de processar dados pessoais com base nesse consentimento.
Simplesmente demais. O Banco não apenas pode fazer o que quiser com meus dados pessoais, mas também tem o direito de transferi-los para qualquer pessoa, de qualquer forma, em qualquer valor.
O que diz a lei?
Parte 1 do artigo 9 :
O consentimento para o processamento de dados pessoais deve ser específico, informado e consciente.
Desculpe, mas a TI não fica "informada e específica".
Ao mesmo tempo, os reguladores das inspeções de nossa experiência para esse "consentimento" imediatamente escrevem uma multa. Em geral, comecei a assinar sem olhar, pensando que esses textos haviam desaparecido em algum lugar em 2012, ou mesmo antes. É triste ver isso de uma organização financeira, na qual provavelmente muitos advogados estão sentados.
O que você deve fazer como organização? Faça um consentimento verdadeiramente específico e informado. Formule de forma clara e não ambígua as metas de processamento e categorias específicas de dados pessoais que não são redundantes após a aplicação para os fins indicados. Se você planeja transferir dados pessoais para terceiros, precisará suar e indicar terceiros específicos, os dados pessoais específicos a serem transferidos e os objetivos específicos de tal transferência (é importante lembrar que você não precisa indicar aqui o que deve transferir de acordo com as leis federais) .
O que você deve fazer como um assunto de dados pessoais se vir esse consentimento? Tudo depende da situação específica. Se você se recusar a assinar o consentimento, provavelmente será informado de que, nesse caso, eles não poderão fornecer um serviço. Se você realmente precisar do serviço, assine o consentimento, obtenha o serviço, mas poderá reclamar da violação da lei "Sobre dados pessoais", por exemplo,
aqui .
E lembre-se de que, se você assinou algo em algum lugar, isso não significa que o Banco ou qualquer outra pessoa depois disso possa fazer o que quiser com seus dados pessoais. Quaisquer acordos, consentimentos e outros documentos que contradizem diretamente a legislação atual são ilegais.
No que diz respeito a uma história específica, então "onde necessário", relatei. Estamos aguardando o desenvolvimento da situação. De fato, portanto, por enquanto não divulgamos o nome do Banco, ele de repente muda de idéia e melhora. Se não, então, aparentemente, haverá uma segunda parte - uma continuação, inclusive com o anúncio dos nomes de “heróis” e a reação dos reguladores.
UPD 29/11/2019:Uma resposta da ILV chegou ao meu apelo:
... citações primeiro a partir de 152-FZ para 2 páginas ... , depois:
Além disso, informo que a avaliação das atividades do operador que processa dados pessoais para conformidade com os requisitos da legislação da Federação Russa no campo de dados pessoais é realizada durante medidas de controle e supervisão em relação ao operador especificado.
De acordo com os parágrafos. “B”, página 8 das Regras para organização e implementação do controle estatal e supervisão do processamento de dados pessoais, aprovado pelo Decreto do Governo da Federação Russa de 13 de fevereiro de 2019 nº 146 (doravante denominado Regras), são realizadas inspeções não programadas com base na ordem do órgão de controle e supervisão emitido de acordo com os resultados da análise das reclamações dos cidadãos recebidas pelo órgão de controle e supervisão, desde que existam materiais em circulação confirmando a violação de seus direitos, conforme definido nos artigos 14 a 17 da Lei Federal data ”, ações (inação) do operador no processamento de seus dados pessoais.
Ao mesmo tempo, as circunstâncias especificadas em sua apelação não se enquadram nos fundamentos estabelecidos pelas Regras e, portanto, sua apelação não é a base para uma inspeção não programada pelo Escritório de Roskomnadzor para o Território de Primorsky.
Você tem o direito de entrar com uma ação judicial de forma independente se acreditar que seus direitos como sujeito de dados pessoais foram violados. Você pode se familiarizar com o procedimento para proteger seus direitos no capítulo 3, “Direitos do sujeito dos dados pessoais”.
O que era esperado: "Durma bem, cidadão, seus direitos não são violados"