Могут ли ФНС, ПФ и ФСС делиться с банками сведениями в целях кредитных каникул
Могут ли ФНС, ПФ и ФСС делиться с банками сведениями в целях кредитных каникул
Большая часть сведений конфиденциальна, поэтому выдается через портал госуслуг самому заемщику, который перенаправляет данные в банк посредством того же портала.
Минфин рассказал о схеме обмена информацией, имеющейся у госорганов, с банками, когда гражданин претендует на “кредитные каникулы”.
Заемщик вправе решать, кому доступны его персональные данные, считают в ЦБ. Что теперь изменится?
ЦБ и Роскомнадзор рекомендуют банкам изменить подход к обработке персональных данных клиентов. Помогут ли регуляторы ограничить передачу данных третьим лицам и снизить риск утечек?
Как сейчас банки используют наши персональные данные и почему мы на это соглашаемся
Кредитные организации являются операторами персональных данных. Для клиента это значит, что они имеют право собирать и обрабатывать личную информацию о нем, например, для заключения и исполнения кредитного договора. Такие действия с личной информацией возможны только с согласия клиента. Клиент может «согласиться», поставив галочку в бумажном договоре, электронной форме или даже — сюрприз-сюрприз! — просто изучая информацию на сайте.
Последний вариант реализовал на своем веб-ресурсе, в частности, СберБанк. Он предупреждает посетителей, что при работе с сайтом они автоматически дают банку согласие на обработку своих персональных данных. Конечно, перечень данных, к которым банк в этом случае получит доступ, будет ограниченным и обезличенным, но в дальнейшем они могут быть использованы для дополнения цифрового профиля пользователя.
Финансовые организации любят включать текст соглашения на обработку и использование персональных данных в другие документы, что не позволяет ограничить использование этих сведений: отказываясь делиться своими персональными данными, клиент фактически отказывается от услуги.
«Часто в банках вы не получаете договор или соглашение на руки, а просто принимаете оферту, даете свое согласие на присоединение к общим условиям, а там вы всё автоматически разрешаете. Конечно, это несправедливо, особенно по отношению к социально значимому населению», — считает председатель правления потребительского кооператива «Инвестиционный капитал» Андрей Каредин.
Обычно организации запрашивают у клиентов следующие сведения: пол, возраст, семейное положение, e-mail и т. п., но это лишь видимая часть айсберга, считает основатель DBX Digital Ecosystem Игорь Захаров. Помимо этих сведений, финансовые организации фиксируют и анализируют и другую информацию: время и длительность активности пользователей на сайте и в личном кабинете (оценивается системами CRM и сервисами веб-аналитики), операции по счетам, направления движения средств, назначения переводов и платежей и др.
Кому и зачем банки передают наши персональные данные
Финансовые организации собирают и используют наши персональные данные непосредственно для заключения и исполнения договора и для собственных нужд, например в рекламных целях. По мнению Андрея Каредина, особенно этим грешат крупные игроки, имеющие собственные экосистемы. «Получается уже фактически спамерская атака, вот ЦБ и Роскомнадзор и вмешиваются», — отмечает Каредин.
Помимо этого, в рамках своих бизнес-процессов банки могут передавать личную информацию о клиентах другим организациям. Как правило, это бюро кредитных историй, страховые компании, операторы связи, коллекторские агентства и партнеры банка.
Причина, по которой личная информация так свободно передается организациям, не имеющим прямого отношения к банковской деятельности, — в размытости формулировок, которые кредитные организации зачастую используют в соглашениях о передаче и использовании персональных данных.
«В настоящее время на практике кредитные организации включают максимально расплывчатые и широкие формулировки, касающиеся обработки персональных данных клиентов, что позволяет им передавать эти данные достаточно широкому кругу лиц, напрямую никак не связанных с банковской деятельностью. Такая информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после фактического прекращения кредитных отношений между банком и клиентом», — поясняет партнер коллегии адвокатов Pen & Paper Сергей Учитель.
Что рекомендуют ЦБ и Роскомнадзор
В начале августа Центробанк и Роскомнадзор опубликовали совместное письмо, в котором рекомендовали финансовым организациям изменить подход к обработке персональных данных клиентов. Регуляторы считают, что банкам следует запрашивать у клиентов отдельное согласие в отношении каждого оператора, которому могут передаваться их персональные данные, включая биометрические. Помимо этого, в документах стоит указывать конкретную дату или период времени, в течение которых допускается обработка персональных данных, без возможности автоматической пролонгации этого срока. При этом обрабатывать данные, согласно закону, значит в том числе собирать, хранить и передавать их.
Роскомнадзор совместно с Банком России напоминает, что обработка персональных данных должна ограничиваться достижением заранее определенных целей, например исполнением обязательств по кредитному договору.
Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама
Стандартный текст заявления о согласии на обработку персональных данных обычно содержит формулировку, разрешающую передавать данные другим организациям. При этом большинство банков не утруждает себя перечислением этих организаций, отделываясь упоминанием загадочных «третьих лиц» или «партнеров». Что это значит на практике, большинство из нас знает на личном опыте: порой стоит один раз дать такое согласие, как на следующий день по «случайному» стечению обстоятельств телефон начинают обрывать эти самые «третьи лица» с предложениями взять кредит, подключить новый тариф сотовой связи или оформить страховку.
Конечно, исполнение рекомендаций регуляторов вряд ли полностью избавило бы нас от партнерского спама, однако необходимость получать от клиентов согласие на передачу их персональных данных каждому возможному партнеру, безусловно, существенно снизила бы энтузиазм финансовых организаций в части распространения этой информации. Кроме того, такая мера помогла бы сузить «круг подозреваемых» в поиске источников утечек личных данных, а заодно и вероятность таких утечек.
Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора
Комментируемые рекомендации, изданные в виде информационного письма, не являются нормативным актом ЦБ РФ, имеющим общеобязательный характер и содержащий норму права, поясняет Сергей Учитель. Но необходимо принять во внимание, что рекомендации исходят от главного регулятора банковского сектора, что влечет необходимость для кредитных организаций следовать этим рекомендациям или как минимум учитывать их в своей работе и в разрабатываемых внутренних документах, регламентах и процедурах. Нередко участники банковского сектора России придерживаются позиции, что издаваемые Центробанком рекомендации, комментарии и ответы на наиболее часто встречающиеся вопросы с точки зрения правового значения все равно имеют «силу закона».
Письмо носит рекомендательный характер, однако уже большинство финансовых учреждений могло убедиться по опыту, что отказ следовать рекомендациям регулятора в последующем приводит к более серьезным мерам, добавляет инвестиционный советник ООО «ПФО Холдинг» Руслан Исмаилов.
При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.
Кто должен отвечать за безопасность персональных данных
Согласно федеральному закону № 152-ФЗ, кредитная организация является оператором персональных данных и непосредственно несет перед клиентами ответственность за сохранность этих данных.
«Оператор персональных данных вправе поручить обработку данных другому лицу. Это делается на основании договора, в котором должны быть предусмотрены объемы передаваемых сведений, перечень действий с ними и прочее. При этом важно учитывать, что ответственной перед заемщиком за любые действия с личной информацией остается кредитная организация», — разъясняет Сергей Учитель.
Другой вопрос — как доказать, что в утечке данных виноват конкретный банк? «В 2020 году Центробанк заблокировал более 25 тысяч мошеннических телефонных номеров, — отмечает Исмаилов. — Тут мы имеем четкое понимание, что базы для обзвона формируются путем «слива» персональных данных из финансовых учреждений. Из федерального закона № 152-ФЗ следует, что максимальный срок хранения сведений, имеющихся в тех же самых банках, четко не определен, но в основном данные должны храниться на протяжении пяти лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет».
На вопрос Банки.ру о том, как и кому передаются персональные данные клиентов, СберБанк, МКБ, Россельхозбанк, Газпромбанк и УБРиР ответили, что обрабатывают эти данные в соответствии с положениями федерального закона № 152-ФЗ. Другие опрошенные нами банки воздержались от комментариев.
Наши комментарии по изменениям к банковской тайне
Статья 26 Федерального закона № 189-ФЗ
Федеральный закон № 189-ФЗ внёс такие изменения к статье 26: были исключены слова “с их согласия” в части 16 статьи 26.
Фактически это означает, что ранее сведения о субъектах тайны, их операциях и счетах могли передаваться в Единое бюро кредитных историй только с разрешения самих субъектов тайны.
Такое положение вещей не могло устраивать коммерческие банки, кредитные организации и создателей Единого бюро кредитных историй, ведь его наполнения реально не происходило.
Да и какая должна быть система, когда у каждого субъекта тайны необходимо было запрашивать его согласие на такую передачу?
Скорее всего, все банковские и кредитные организации должны были дополнять анкеты и договора с клиентами пунктом о согласии последних на передачу сведений о них в Единое бюро кредитных историй.
При этом, система могла заработать только для новых клиентов.
И то – спустя какое-то время, необходимое для проведения банками подготовительной работы, что обычно занимает месяцы.
Текущими изменениями Федеральный закон № 189-ФЗ исключил необходимость выполнения такой работы и сделал систему единой для всех клиентов, как для уже существующих, так и всех новых автоматически, упростив жизнь кредитным операторам.
С другой стороны, банки и кредитные учреждения не обязаны передавать никакие сведения в Единое бюро кредитных историй, поскольку нет законодательных актов, накладывающих такое обязательство.
Надеемся, что это будет следующим логичным шагом в построении реально действующего бюро кредитных историй, из которого со временем можно будет получить не только достоверную, но и полную информацию.
Статья 26 часть 29 Федерального закона № 189-ФЗ
Федеральный закон № 189-ФЗ излагает 29-ую часть статьи 26 в новой формулировке, которая теперь включает слова: «разработки и поддержания в актуальном состоянии планов восстановления финансовой устойчивости».
Суть изменений можно выразить в том, что новая редакция направлена на лучшее урегулирование деятельности по повышению финансово-операционной устойчивости кредитных и банковских организаций.
Её необходимость, как следует понимать, была обусловлена началом периода кризиса в 2014 году и, как следствие, требованием банков дать им возможность вывести свою устойчивость на новый уровень.
Это изменение формулировки позволяет кредитным учреждениям передавать сведения, составляющие банковскую тайну, во внешние органы (включая материнские компании) в ходе процесса по разработке и внедрению шагов по улучшению краткосрочной и долгосрочной ликвидности, сокращению издержек и финансовому оздоровлению, на период кризиса.
Статья 26 часть 31 Федерального закона № 189-ФЗ
Этим же Федеральным Законом вносятся аналогичные изменения к части 31 статьи 26, только уже для Банка России.
Последний должен разработать общие рекомендации для кредитных учреждений по преодолению негативных последствий экономического кризиса и дать им возможность согласовать такую деятельность с положениями статьи 26 Закона «О банках и банковской деятельности».
Статья 26 часть 32 Федерального закона № 189-ФЗ
Этим же Федеральным Законом вносится новая часть 32 статьи 26, которая гласит, что Банк России может передавать сведения согласно части 31, при условии, что получающие такие сведения органы (в т.ч. других государств):
будут соблюдать такую же или более высокую защиту данных сведений, как и Банк России;
- не передавать их правоохранительным органам без письменного согласия на это Банка России;
- не использовать их иначе, кроме как для исполнения своих прямых функций, без письменного согласия на это Банка России.
Такое дополнение призвано повысить защищённость Банка России от запросов надзорных, регуляторных, кредитно-финансовых и правоохранительных органов, за счёт создания дополнительных требований, которые таки органы теперь будут обязаны соблюдать, чтобы получить сведения от Банка России.
Кроме того, дальнейшая судьба передаваемой информации теперь также будет зависеть от Банка России, который может разрешить или запретить использование информации различными инстанциями, если они отличны от тех, кто изначально такую информацию получал.