Эксперимент. Легко ли забрать у банка свои персональные данные? А узнать, как их хранят?
Мы разрешаем использовать свои личные данные, когда устанавливаем приложение, регистрируемся на сайте, получаем карту клиента в фитнес-клубе, оформляем кредит или зарплатную карту в банке, покупаем сим-карту мобильного оператора и общаемся в соцсетях. Трудно представить человека, способного назвать примерное число компаний, у которых есть копии его паспорта, данные о доходе, образовании, профессии, адрес и телефон. Если вы не отшельник, а обычный житель города, — сотни организаций хранят о вас эти сведения. Эти данные нужны им, чтобы обслуживать нас, а еще рекламировать услуги — предлагать кредит, авиабилеты или тренировки в спортзале. Но проблема не только в том, что нам предлагают что-то, когда мы об этом не просим. А в том, что базы с нашими данными передаются третьим лицам. Легально, когда мы сами (обычно не глядя) подписываем согласие с такими условиями. Нелегально — ими торгуют сотрудники. А еще базы данных воруют хакеры. И в итоге вам звонят из компаний, в которых вы не обслуживались, или вашим родителям звонят незнакомые и просят прислать деньги, потому что вы якобы в беде. Любой человек по закону может просить у компаний отчитаться, как используют его личные данные, а также запрещать им продолжать обработку. Мы проверили — насколько легко реализовать эти права. Один редактор ТАСС отзывает персональные данные у банка, второй — требует отчет у мобильного оператора, а третий — "чистит" смартфон. Эксперимент № 1. Запретить банку использовать личные данные Анастасия Степанова, редактор неновостных материалов ТАСС. Отзывает у банка согласие на обработку персональных данных. Я захожу в московское отделение Райффайзенбанка на Страстном бульваре и говорю то, что менеджеры слышат от клиентов не каждый день: "Мне нужно отозвать свои персональные данные у вашего банка". У меня была зарплатная карта в этом банке. Пару лет назад истек срок действия. Два-три раза в год мне приходят sms с предложением кредита. Меня не раздражают сообщения, но я знаю, что утечки данных клиентов крупных компаний случаются довольно часто. И если можно снизить риски, забрав личные сведения у организации, где вы уже не обслуживаетесь, то почему так не сделать? Я не нахожу новостей о массовых утечках персональных данных клиентов конкретно Райффайзенбанка. Хотя Google выдает неприятную историю о специалисте службы поддержки компании, который передавал заказчикам данные некоторых клиентов. Информация о каждом стоила две тысячи рублей. Покупатели хотели знать, где фактически живет человек, его семейное положение, сколько у него детей, адрес электронной почты, телефон. Менеджер выдает мне бланк заявления об отзыве персональных данных. Я, как следует из него, прошу "прекратить обработку моих персональных данных в срок, не превышающий 30 дней с момента подачи заявления". Я могу выбрать, как узнать о решении банка, — прийти в отделение, получить ответ по "Почте России" или по электронной почте. Удобнее всего, конечно, получить письмо на электронную почту. И я, чтобы отозвать персональные данные, уже имеющиеся у банка, оставляю адрес электронной почты, который он не знал. Мне отдают копию заявления и согласия на обработку персональных данных, подписанного мной несколько лет назад. В согласии сообщается, что банк вправе отказаться уничтожать мои личные данные. Прошу юриста объяснить, в каких случаях так может произойти. Что написано в согласии на обработку персональных данных: "В случае отзыва мной согласия на обработку персональных данных, Банк вправе не прекращать обработку моих персональных данных и не уничтожать их в случаях, предусмотренных законодательством РФ". (орфография и пунктуация сохранены). "Есть ряд оснований, по которым оператор имеет право обрабатывать персональные данные. И наличие согласия субъекта — только одно из оснований", — объясняет Людмила Космовская, адвокат. Если у вас заключен любой договор с банком, то он имеет право продолжать обрабатывать данные по следующим причинам (кроме согласия): для целей исполнения договора (п. 5 ч. 1 ст. 6 Закона о персональных данных); банк обязан сохранять идентифицирующие клиента документы в течение не менее пяти лет с момента истечения договора (ч. 4 ст. 7 ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"); обязан хранить первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет (ч. 1 ст. 17 ФЗ "О бухгалтерском учете"). Райффайзенбанк может отказать мне, с момента окончания действия моей карты не прошло пяти лет. У вас, если вы успешно повторите мой опыт, вероятно, останутся вопросы: как точно понять, что данные уничтожены? И прекратятся ли звонки с предложениями кредита? "Вы вправе запросить в банке акт о прекращении обработки ваших персональных данных, — уточняет Людмила Космовская. — Какое-то время вам могут продолжать звонить с предложениями услуг. Информация о прекращении обработки данных может идти в кол-центры банка пару недель. И часто банки дают заказ на обзвон физлиц сторонним кол-центрам, которым передают свои базы данных с вашими контактами. Если вы хотите таким образом прекратить звонки с предложениями кредитов — не факт, что у вас это получится. Но это не означает, что банк не будет нести ответственности перед клиентом за звонки кол-центров. Согласно закону, оператор несет ответственность перед субъектом, даже если поручает обработку данных другому лицу". В процессе обслуживания менеджер банка ответил мне, что клиенты редко обращаются с такими запросами. В пресс-службе компании отказались сообщать, сколько человек просят прекратить использовать их личные данные ежегодно или ежемесячно. Эксперимент № 2. Получить у мобильного оператора отчет о работе с персональными данными Арина Раксина, редактор неновостных материалов ТАСС. Пытается узнать, какие ее персональные данные есть у мобильного оператора и что он с ними делает. Я пользуюсь услугами "Билайна" уже десять лет. Ни договора, ни тем более подписанного согласия на обработку персональных данных на руках у меня давно нет. Поэтому первым делом звоню в службу поддержки и спрашиваю, могу ли получить отчет о моих персональных данных, которые есть у компании. Первая реакция ожидаемая — сотрудница кол-центра не понимает, что именно мне нужно. Уточняю, что хочу знать, какие мои данные есть у компании, что она с ними делает, для каких целей, и передавала ли третьим лицам. Я имею право знать об этом, как говорится в 7 части ст. 14 закона "О персональных данных". Оператор пытается узнать, не случилось ли у меня что-то и почему я переживаю за сохранность данных. Отвечаю, мол, нет, просто я — сознательный пользователь и беспокоюсь о безопасности своих данных. Оператор предлагает мне обратиться в офис. Там я по второму кругу прохожу через непонимание, вопросы, все ли в порядке, и заверения, что данные не могли никуда утечь. Менеджер признается, что к ним никто не обращался с таким запросом. И сразу она мне помочь не может. Во внутренней поддержке для сотрудников ей отвечают, что подробную информацию о персональных данных могут выдать только по запросу правоохранительных органов. Вот если бы я просто хотела отозвать согласие — все было гораздо проще. Ситуацию спасает второй сотрудник. Он предполагает, что нужная информация указана в согласии на обработку персональных данных. Это действительно так. В распечатанном согласии, кроме моих паспортных данных и своего юридического адреса, оператор перечисляет: Зачем он собирает данные. "Продвижение товаров, работ, услуг, в том числе товаров, работу, услуг, третьих лиц; предоставление информации о субъекте персональных данных третьим лицам, с которыми субъект персональных данных планирует и/или заключает договоры, планирует использовать или пользуется услугами третьих лиц". Ведущий эксперт правового консалтинга "Гарант" Лариса Амирова говорит, что не стала бы подписывать такое согласие: "Оператор собирает информацию в маркетинговых целях, а не только для оказания услуг связи". Она считает, что согласие на обработку данных в указанных целях можно и отозвать. Кстати, документ о политике "Обработки персональных данных" от 2017 года самого "Билайна" в списке целей разносит взаимодействие в рамках заключенных договоров об оказании услуг связи и продвижение товаров, работ и услуг оператора и его партнеров. Что оператор делает с данными. "Осуществляет обработку — сбор, запись, систематизация, накопление, использование, хранение, уточнение (обновление, изменение), извлечение, передачу (предоставление, доступ), блокирование, обезличивание, уничтожение персональных данных”. Какую именно информацию оператор обрабатывает. "Фамилия, имя, отчество, паспортные данные, адрес местонахождения, телефонный номер, адрес электронной почты, информация об оказанных оператором услугах связи (в том числе информации о моем местонахождении при получении услуг связи) и платежах за эти услуги по заключенному договору об оказании услуг связи и иным договорам, должность и место работы, информация, полученная от других лиц, в том числе информация об исполненных/неисполненных денежных обязательствах, полученная от кредитных бюро, иная информация, предоставленная субъектом персональных данных". В Национальном бюро кредитных историй (НБКИ) удивились формулировке про информацию, полученную от кредитных бюро: непонятно, с какой целью и на каком основании оператор собирает эти данные. Мне приходится еще раз обратиться в компанию. Теперь сотрудник отвечает, что "как вариант, данные могут собираться для составления истории плательщика. Если не оплачивать задолженность по услугам связи, то долг может быть передан в коллекторское агентство для его дальнейшей оплаты". Заместитель директора по маркетингу НБКИ Владимир Шикин подтверждает, что поправки 2014 года в закон "О кредитных историях" дают поставщикам услуг ЖКХ и связи право (но не обязанность) передавать в кредитную историю долги, подтвержденные судом. "Если пользователь не оплачивает услуги, есть решение суда о признании долга, и этот человек в течение десяти дней с даты решения не передал данные, то поставщик услуг может направить информацию в НБКИ. Этой возможностью активно пользуются поставщики ЖКУ, но не мобильные операторы", — объяснил эксперт. В Объединенном кредитном бюро (ОКБ) рассказали, что у них мобильные операторы не запрашивают информацию о кредитной истории граждан. Но теоретически сделать это может любое юрлицо или индивидуальный предприниматель при наличии согласия. Информация о том, кто интересовался кредитной историей человека, кстати, остается в этой истории, и ее можно узнать. Сроки обработки данных и сколько они будут храниться у оператора. "Обработка персональных данных осуществляется с момента подписания настоящего согласия и до момента, когда субъект персональных данных отзовет свое согласие. Согласие может быть отозвано посредством подачи письменного заявления в офисе Оператора". Мне не удается получить внятного ответа, могу ли я отозвать согласие и остаться клиентом компании. Если верить сайту, то могу. Но оператор все равно вправе продолжить обработку персональных данных. В силу статьи 53 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи" "согласие субъекта персональных данных при исполнении договора об оказании услуг связи не требуется". В пресс-службе Роскомнадзора отметили, что "субъект персональных данных вправе отозвать согласие на обработку персональных данных в целях продвижения товаров, работ и услуг. И обработка персональных данных для подобного рода услуг осуществляться не будет при условии отсутствия иных правовых оснований, предусмотренных статьей 6 закона "О персональных данных". Сведения о третьих лицах, которые могут получить доступ к персональным данным. "Перечень указанных в настоящем согласии третьих лиц размещается оператором на сайте в сети Интернет". Я нахожу список лиц, "для продвижения товаров, работ и услуг которых осуществляется обработка персональных данных и на получение информации от которых получено согласие". Он не очень большой — 18 компаний, 11 из них — банки, микрофинансовая компания и небанковская кредитная организация, две страховые, две сервисные компании, одно транспортное предприятие, одно торгово-сервисное и организация, отвечающая за хранение документов. Также отдельно на сайте можно отыскать и перечень лиц, привлекаемых к обработке персональных данных. Корректно ли мне ответили? Эксперты объясняют, что закон не предусматривает конкретной формы, как должен выглядеть ответ на подобный запрос. Документ только перечисляет информацию, которую оператор данных должен сообщить. В Роскомнадзоре уточнили, что предоставлять информацию, касающуюся обработки персональных данных, тот должен в бумажной или электронной форме. И, по сути, всю предполагаемую законом информацию я узнала. Кстати, я обратилась еще в несколько офисов с этим запросом, ситуация та же — в лучшем случае мне предлагали распечатать согласие на обработку данных. Лариса Амирова напоминала, что в законе есть такой пункт, как "иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами”. Человек, по сути, может попытаться узнать о своих персональных данных любую информацию. Был ли эксперимент полезен? Тоже да. По крайней мере, стало очевидно, что ответ будет не персональным, а обобщенным. И основная информация уже есть в форме согласия на обработку данных, которое стоит внимательно читать перед тем, как подписывать, даже если речь идет об онлайн-сервисе. В пресс-службе "Билайна" не стали комментировать, запрашивают ли их клиенты отчеты об использовании своих персональных данных и как часто это происходит. Эксперимент №3. Забрать у Facebook доступ к личным данным Артур Громов, редактор неновостных материалов ТАСС. Забрал у Facebook права доступа к некоторым функциям и рассказывает, что изменилось для него как для пользователя. Если вы обыкновенный пользователь Facebook, то, скорее всего, сами того не зная, уже "слили" соцсети все свои персональные данные. Я интуитивно понимал это еще до скандалов c Cambridge Analytica и показаний основателя соцсети Марка Цукерберга в Конгрессе США. Поэтому старался поменьше лайкать, не проходил никаких подозрительных тестов и вообще минимизировал свое присутствие в Facebook. Сейчас же в качестве эксперимента я запретил iOS-приложению Facebook доступ к моей геопозиции, контактам, фото, микрофону и камере. Но скрыться от "большого брата" Цукерберга мне, конечно же, не удалось. Не будем забывать, что уже на этапе регистрации социальная сеть узнает о вас кучу информации: имя, пол, дату рождения, email или номер мобильного. А потом следит за каждым вашим лайком, шером, да любой активностью, причем как в рамках соцсети, так и за ее пределами, то есть на любых сайтах, где установлены трекеры Facebook. Все это делается, чтобы продавать или просто передавать данные о вас рекламодателям. Запрет на доступ к фотографиям и камере вполне закономерно лишил меня возможности запостить селфи в сторис. Благо, я этим обычно не занимаюсь, но если вы любите сторис, то вам волей-неволей придется разрешить Facebook доступ ко всему вышеперечисленному. Не отключать же его каждый раз. С микрофоном никаких ощутимых изменений не произошло. Я не их тех параноиков, которые верят в то, что Facebook вас постоянно подслушивает, хотя на YouTube есть немало видео в пользу этой теории. Как говорят профессионалы, реальность заключается в том, что "мы оставляем за собой такое большое количество информации, что Facebook, скорее всего, и не нужно прослушивать ваш микрофон, чтобы узнать о вас все". Запрет на доступ к телефонной книжке также ничего не поменял. Как и я, когда-то вы наверняка уже дали Facebook разрешение использовать ваши контакты. Посмотреть (и ужаснуться), как много телефонов и email-ов вы слили соцсети, можно здесь и здесь. Что со всем этим этим делать, если вы не хотите отдавать свои персональные данные? Наверное, либо принять правила игры, либо просто не пользоваться Facebook. Правда, Цукерберг владеет Instagram и WhatsApp, так что придется удалить их тоже. Анастасия Степанова, Арина Раксина, Артур Громов