Отзыв у банка согласия на обработку персональных данных: Эксперимент. Легко ли забрать у банка свои персональные данные? А узнать, как их хранят?

Содержание

Отзывы о Связном Банке: «Заявление об отзыве персональных данных, жалоба на работника банка»

Я Доронина Гульнара Равкатовна прошу рассмотреть мое электронное обращение, в письменной форме выслан на юридический адрес банка: Заявление, об отзыве согласия на обработку, персональных данных

При заключении кредитного договора мною, как субъектом персональных данных, Вам, как Оператору персональных данных было дано согласие на обработку моих персональных данных. Согласно Федерального Закона РФ N 152-ФЗ «О персональных данных», под обработкой Оператором персональных данных понимается, в том числе, использование и уточнение данных. Статьёй 9 пунктом 2 указанного Федерального Закона мне дано право отозвать у Вас и связанных с Вами организаций ранее предоставленное мною право на обработку персональных данных.

Настоящий отзыв права на использование персональных данных касается:
1) Моих личных мобильных и домашних номеров телефонов,
2) Всех контактных телефонов и данных третьих лиц указанных, мною в кредитной документации,
3) Адреса проживания моих родственников,
4) Адреса и наименования моего работодателя,

Обращаю внимание, что отзыв права на использование моих персональных данных в отдельной части не нарушает Ваши права или права третьих лиц, поскольку контакты банк со мною может осуществлять через почтовую связь и электронную почту. Кроме того, Банк и его представители не уполномочены законодательством России осуществлять какие-либо розыскные мероприятия, для чего требовались бы отзываемые данные. Вопросы до судебного урегулирования просроченной задолженности предлагаю осуществлять почтовой связью. Если у Банка имеются ко мне претензии, то Вы их можете разрешить в судебном порядке. Таким образом, необходимость использования Банком указанных персональных данных в настоящий момент отпала.

Обращаю внимание Банка, что при заключении кредитного договора мною не давалось разрешение на передачу моих персональных данных и их использование третьими лицами (коллекторами).

Отмечаю, что при заключении договора мои родственники и прочие контактные лица не давали Банку права на использование их персональных данных. В связи с чем любые звонки и обращения к этим лицам – неправомерны и повлекут их самостоятельное обращение в Роскомнадзор РФ. Одновременно напоминаю и заявляю Банку и связанным с ним Организациям, что я не давал права Вашим представителям посещать меня дома, посещать моих родственников или посещать моего работодателя, так же как не давал права распространять информацию,содержащую банковскую тайну и персональные данные третьим лицам.

Запрещаю Банку и связанным с Вами Организациям любым образом распространять и публиковать информацию о моей задолженности, не считая предоставления сведений в БКИ. Руководствуясь Федеральным Законом РФ N 152-ФЗ «О персональных данных»: С момента получения данного Заявления прошу Банки его представителей прекратить обработку моих персональных данных в указанной части.

Уведомляю, что в случае поступления мне или моим контактным лицам телефонных звонков, смс сообщений – буду расценивать данные действия, как самоуправство и нарушение неприкосновенности моей частной жизни. В случае, если Банк неправомерно передал мои персональные данные третьему лицу, требую самостоятельного уведомления Вами этой организации об отзыве персональных данных и возможных юридических последствиях, связанных с нарушением Федерального законодательства РФ «О персональных данных». Спасибо!

Данный работник банка звонил с номера 89037728785 поздно вечером, наше время было 21-30, работнику банка объяснила что платить не отказываюсь, но на данный момент не могу, т.к. нет работы, она начала спрашивать куда я потратила эти деньги, что себе купила, какое дело работнику банка на что я потратила эти деньги, не понимаю. После всего она заявила что будет звонить по соседям, по родственникам чтобы выделили мне деньги, якобы для оплаты кредита, чтобы они все скинулись. Что за бред она несла. Разберитесь.

Отзыв согласия на обработку персональных данных – образец 2020 и 2021

Когда требуется отзыв данных

Как правило, необходимость отменить согласие на использование личных сведений возникает, когда речь идет о передаче их третьим лицам. Например, сотрудник по каким-либо причинам больше не желает, чтобы информация о нем размещалась на сайте компании или употреблялась в рекламных материалах. В другом случае соискатель на вакантную должность может передумать участвовать в конкурсе и запретить передачу данных в службу безопасности. Нередко клиент какой-либо организации хочет отказаться от получения рассылки смс или электронных писем. Наиболее злободневной ситуацией является предоставление коллекторам личных сведений о заемщике банка. Один из способов, которым можно попытаться себя обезопасить, — отозвать разрешение на обработку персональных данных.

Что говорит закон

Возможность и порядок отзыва согласия на обработку персональных данных описаны в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». Рассмотрим, какие наступают последствия отзыва согласия на обработку персональных данных.

После получения заявления о запрете использования личных сведений оператор обязан прекратить работу с данными и, если это возможно, обеспечить их уничтожение. Срок, в который оператор должен выполнить настоящее обязательство, в соответствии с п. 5 ст. 21 закона № 152-ФЗ, не превышает тридцати дней. Но Федеральный закон накладывает определенные ограничения на отзыв разрешения на обработку информации. Например, оператор, невзирая на получение отзыва разрешения, обрабатывает и передает данные, если это необходимо для свершения правосудия (п. 2 ч. 2 ст. 11 152-ФЗ) или защиты жизни (здоровья) субъекта (п. 6 ч. 2 ст. 11 152-ФЗ). Кроме того, работа с информацией продолжается независимо от отмены разрешения для обеспечения пенсионных выплат, уплаты налогов, обязательного медицинского и социального страхования.

Как написать заявление об отзыве персональных данных

Для того чтобы отозвать разрешение на использование персональных данных, достаточно направить оператору соответствующее заявление – это единственный способ, как отозвать персональные данные, предусмотренный законом. Заявление пишется в свободной форме, рекомендуется указать в нем следующие моменты:

  • полное наименование организации;
  • юридический адрес, а также фактический адрес отделения, если речь идет о банке;
  • данные заявителя: ФИО, паспортные данные, адрес регистрации;
  • ссылка на законодательные акты.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя. Если заявление направляется в банк, к нему следует приложить ксерокопию паспорта и кредитного договора.

Образец отзыва согласия на обработку персональных данных у работодателя в 2020 г.

Как организовать уничтожение персональных данных

После того, как оператору от владельца поступит отзыв согласия на обработку, у него есть определенное время для того чтобы организоваться и уничтожить сведения об их владельце. Уничтожение персональных данных — это такие действия оператора, в результате которых материальные носители с этими сведениями либо полностью уничтожаются (бумага) либо, если сведения хранятся на машинах, они стираются чтобы было невозможно восстановить исходники (см. подпункты 3, 8 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ).

Срок уничтожения

Время для исполнения Основание для ликвидации Ссылка на норму Федерального закона от 27.07.2006 № 152-ФЗ
7 рабочих дней При представлении субъектом ПД или его представителем сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки

часть 1 стать 14, часть 3 статьи 20

10 рабочих дней При выявлении незаконной обработки ПД, если невозможно обеспечить ее правомерность

часть 3 статьи 21

30 рабочих дней При достижении цели обработки ПД

часть 4 статьи 21

30 рабочих дней При отзыве субъектом ПД согласия, если их сохранение более не требуется для целей обработки

часть 5 статьи 21

Нюансы

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного таблице выше, оператор обязан заблокировать эти сведения и в срок не превышающий 6 месяцев уничтожить их, если иной срок не установлен иным законом (см.

часть 6 стать 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Последние инициативы

1 августа 2020 года Минкомсвязи подготовило проект изменений в Федеральный закон от 27.07.2006 № 152-ФЗ. Нововведения касаются порядка уточнения требований к уничтожению персональных данных. Так, статья 21 Федерального закона от 27.07.2006 N 152-ФЗ устанавливает обязательство оператора по устранению нарушений закона, допущенных при обработке ПД, в том числе, по уничтожению ПД. Однако, указанная норма не содержит требований к уничтожению самих данных.

В целях устранения указанной коллизии Минкомсвязи предложило дополнить стать 21 частью 7 следующего содержания:

«Уничтожение персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.».

По мнению чиновников, изменение направлено на устранение коллизии в отношении уничтожения персональных данных, и на исключение возможности разносторонней трактовки понимания действий, подтверждающих со стороны оператора факт уничтожения персональных данных.

Как организовать работу с персональными данными на предприятии, видео

Битва за персональные данные

Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне

Драться – плохо. Но если дерешься – побеждай!

(из х/ф «Парень-каратист»)

Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:

«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»

И так с десяток звонков ежедневно, включая выходные.

Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:

«Еще раз спрашиваю, вы – Наталья Михайловна?»

Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.

Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.

Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.

Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?

Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.

Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.

Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.

Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:

  • если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».

В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.

Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).

(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)

Как происходит утечка персональных данных?

Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.

В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.

Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.

Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.

Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.

Какими могут быть последствия утечки данных?

В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.

Что делать, если в распространении личной информации виноват банк?

Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.

Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания обработки данных;
  • цели и применяемые оператором способы обработки данных;
  • наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
  • обрабатываемые персональные данные и источник их получения;
  • сроки обработки данных, в том числе сроки их хранения;
  • информация об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.

После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.

Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.

Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.

«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.


1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).

Согласие на обработку персональных данных

Согласие на обработку персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», я свободно, своей волей и в своем интересе даю согласие ПАО «Промсвязьбанк» (далее — Банк) на осуществление со всеми персональными данными, указанными в электронном обращение, в том числе анкете, иных предоставленных мной Банку документах и моим фотографическим изображением, на осуществление следующих действий: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ (в том числе при поручении обработки персональных данных третьим лицам)), обезличивание, блокирование, удаление, уничтожение (далее — обработка).

Обработка персональных данных осуществляется Банком на бумажных и электронных носителях с использованием и без использования средств автоматизации.

Целями предоставления и обработки персональных данных являются обработка настоящего электронного обращения и направление (предоставление) ответа, проверка достоверности сведений, указанных в анкете и иных предоставленных документах и содействие в трудоустройстве.

Согласие предоставляется с момента формирования и отправки настоящего электронного обращения и действует в течение 10 лет с даты отправки.

Согласие может быть отозвано субъектом ПДн в соответствии с ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» путем предоставления в Банк письменного заявления. В случае отзыва согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Банк доводит до Вашего сведения, что электронные обращения, направленные через сеть Интернет, передаются по незащищенным каналам связи. Банк не несет ответственности за сохранение конфиденциальности данных при их передаче через сеть Интернет.

Как не нужно составлять согласие на обработку персональных данных

И какие согласия не стоит подписывать.

Доброго времени суток, Хабр!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.

Текст согласия начинается со слов:

Согласие дается мною для целей заключения с Банком любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Банком услугах и распространяется на следующую информацию: фамилия, имя, отчество… и любая иная информация, относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Банку (далее — «Персональные данные»)
Здесь прекрасно все. Даю свое согласие на обработку любых персональных данных с любыми целями. Ага, щас. Вот что нам говорит об этом федеральный закон №152-ФЗ «О персональных данных»:
ч. 2 статьи 5:
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Разжевывать не буду. На Хабре люди умные, сами понимаете какие тут коллизии формулировок согласия и закона. А еще немного заставила потупить фраза «любой конкретный момент времени». Хотя может с этой конструкцией и все нормально, если есть филологи, добро пожаловать в комментарии.

Едем дальше. Текст согласия (орфография и пунктуация сохранены):

Настоящее согласие действует в течении 5 (пяти) лет после истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации и договорными отношениями, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия.
Мне жаль огорчать Банк, но согласие в соответствии с частью 2 статьи 9 все того же закона «О персональных данных» может быть отозвано в любой момент. Да и вообще что за бред — согласие может быть отозвано только после завершения срока действия согласия?

Далее идет абзац о действиях, которые можно совершать с моими персональными данными. Я даже не буду приводить оттуда цитату. Думаю итак понятно, что действия могут совершаться любые.

Ну и последний абзац тоже шедеврален (орфография и пунктуация сохранены):

Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе некредитной и небанковской организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия.
Просто шикарно. Мало того, что Банк может делать что хочет с моими ЛЮБЫМИ персональными данными, так он еще и имеет право передавать их кому угодно, как угодно, в каком угодно объеме.

Что говорит закон?

часть 1 статьи 9:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Извините, но ЭТО назвать «информированным и конкретным» язык не поворачивается.

При этом и регуляторы на проверках по нашему опыту за такие «согласия» сразу выписывают штраф. Я, в общем-то, и начал подписывать не глядя, думая, что такие тексты сгинули где-нибудь в 2012 году, а то и раньше. Печально видеть такое от финансовой организации, в которой наверняка сидит орава юристов.

Что же делать вам как организации? Составлять действительно конкретные и информированные согласия. Четко и не двусмысленно формулировать цели обработки и конкретные категории персональных данных, которые не являются излишними по заявлению к указанным целям. Если планируете передавать персональные данные третьим лицам, то придется попотеть и указать конкретные третьи лица, конкретные передаваемые персональные данные и конкретные цели такой передачи (важно помнить, что здесь не нужно указывать, то что вы обязаны передавать в соответствии с какими-либо Федеральными законами).

Что вам делать как субъекту персональных данных, если видите такое согласие? Тут все зависит от конкретной ситуации. Если вы откажитесь подписать согласие, то вам скорее всего сообщат, что в таком случае вам не смогут оказать услугу. Если услуга вам очень нужна, подписывайте согласие, получайте услугу, но потом можно нажаловаться на нарушение закона «О персональных данных» например сюда.

И помните, что если вы что-то где-то подписали, то это еще не значит, что Банк или кто-либо еще после этого может творить что захочет с вашими персональными данными. Любые договоры, согласия и прочие документы, прямо противоречащие действующему законодательству являются незаконными.

Что касается конкретной истории, то «куда надо» я сообщил. Ждем развития ситуации. Собственно поэтому пока что не разглашаем название Банка, вдруг одумается и исправится. Если нет, то, видимо, будет вторая часть — продолжение, в том числе с оглашением имен «героев» и реакцией регуляторов.

UPD 29.11.2019:
Пришел ответ от РКН на мое обращение:
… сначала идут цитаты из 152-ФЗ на 2 страницы…, затем:

Дополнительно сообщаю, что оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российский Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора.
В соответствии с пп. «б» п. 8 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13.02.2019 № 146 (далее – Правила), внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных.
Вместе с тем, обстоятельства, указанные в Вашем обращении, не подпадают под основания, установленные Правилами, в связи с чем, Ваше обращение не является основанием для проведения Управлением Роскомнадзора по Приморскому краю внеплановой проверки.
Вы имеете право самостоятельного обращения в суд с исковым заявлением, если полагаете, что нарушены Ваши права как субъекта персональных данных. С порядком защиты Ваших прав можете ознакомиться в главе 3 «Права субъекта персональных данных».

Чего и требовалось ожидать: «Спи спокойно, гражданин, твои права не нарушаются»

Cогласие на обработку персональных данных

Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, отправляя поля формы, я1 предоставляю ПАО Банк «ФК Открытие», г. Москва, ул. Летниковская, д.2, стр.4, Генеральная лицензия на осуществление банковских операций № 2209 (далее также — Банк) настоящее Единое согласие для дистанционного оформления продукта и/или услуги на сайте ПАО Банк «ФК Открытие» (далее — Согласие), в рамках которого:

1. Даю Банку согласие на обработку своих персональных данных, а также поручаю Банку обработку персональных данных иных физических лиц, имеющих отношение к Клиенту2: представителя (-ей) Клиента, надлежащим образом уполномоченного (-ых) на получение и осуществление различных юридически значимых действий с Банком от имени Клиента, и участника (-ов) / акционера (-ов) Клиента (при наличии), со следующими условиями:

1. 1. Согласие и поручение дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.

1.2. Согласие и поручение дается на обработку следующих персональных данных лиц, указанных в п.1 настоящего Согласия: персональные данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество, адрес электронной почты, номер мобильного телефона и другие сведения, предоставленные мною для заключения договора с Банком или в период его действия, содержащиеся в заявлениях, письмах, соглашениях и иных документах (полученных Банком также в электронном виде), в том числе, сведения об абоненте, полученные от операторов связи.

1.3. Цель обработки персональных данных лиц, указанных в п.1 настоящего Согласия:
— предоставление ответов на запросы Клиента;
— взаимодействие с Клиентом для оформления услуг Банка (преддоговорное взаимодействие), в том числе, получение кредита и исполнение кредитного договора/договора о предоставлении и использовании банковских карт Банка;
— проверка Банком достоверности предоставленных сведений;
— оценка платежеспособности Клиента;
— страхование имущественных интересов Клиента и имущественных интересов Банка, связанных с риском его убытков, в результате неисполнения (ненадлежащего исполнения) договорных обязательств;
— получение информации от операторов связи обо мне как абоненте, ставшей известной операторам связи в силу исполнения ими договоров об оказании услуг связи, заключенных со мной;
— урегулирование просроченной задолженности перед Банком в случае неисполнения или ненадлежащего исполнения Клиентом договорных обязательств.

1.4. В ходе обработки с персональными данными могут быть совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), включая трансграничную передачу, обезличивание, блокирование, удаление, уничтожение.

1.5. Персональные данные обрабатываются до достижения целей обработки.

1.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления Банку в любое отделение Банка в соответствии с законодательством Российской Федерации.

1.7. В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

1.8. Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанного в п.1.6 и п.1.7 данного Согласия.

1.9. При обработке персональных данных иных лиц Клиента, указанных в п.1 настоящего Согласия, Банк обязан:
— соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
— соблюдать требования к защите обрабатываемых персональных данных в соответствии со ст.19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в том числе применять в ходе обработки персональных данных и для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных и от иных неправомерных действий в отношении персональных данных необходимые правовые, организационные и технические меры, соответствующие требованиям Закона о персональных данных и принятым в соответствии с ним нормативным правовым актам Российской Федерации.

2. Даю Банку согласие на получение Банком информации обо мне из любых бюро кредитных историй (одного или нескольких), содержащейся в основной части кредитной истории, в объеме и порядке, которые предусмотрены Федеральным законом от 30. 12.2004 № 218-ФЗ «О кредитных историях». Согласие на получение Банком кредитного отчета предоставлено в целях проверки сведений, предоставленных в Банк при приеме на банковское обслуживание и в процессе оказания Клиенту банковских услуг, а также с целью формирования Банком для Клиента предложений по кредитным и иным банковским продуктам. Право выбора бюро кредитных историй предоставляется мною Банку по его усмотрению и дополнительного согласования со мной не требуется.

3. Даю Банку согласие на получение Банком кредитного отчета о юридическом лице, кредитного отчета об участниках/акционерах юридического лица3 (в том числе информации, содержащейся в основной части кредитной истории) из бюро кредитных историй в объёме, порядке и на условиях, определённых Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях» для целей заключения кредитного договора и обеспечительных договоров с Банком. Датой предоставления такого согласия Банку является дата подачи заявки на оформление продукта и/или услуги Банка.

4. Также отправляя поля формы я подтверждаю, что мной получены все необходимые согласия от всех иных лиц Клиента, указанных в онлайн-заявке на оформление продукта и/или услуги или переданных в Банк с использованием телефонной связи, позволяющие мне предоставлять Банку указанное выше согласие на обработку их персональных данных, на получение кредитного отчета в бюро кредитных историй, и обязуюсь по первому требованию Банка предоставить ему такие согласия в письменном виде.

1Физическое лицо, осуществляющее функции единоличного исполнительного органа юридического лица (если онлайн-заявка на оформление продукта и/или услуги подаётся от имени юридического лица), или индивидуальный предприниматель, физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой, данные которого указаны в соответствующей онлайн-заявке.

2Юридическое лицо, индивидуальный предприниматель или физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой, получающее продукт и/или услугу Банка посредством заполнения онлайн-заявки на сайте Банка и указанное в такой заявке.

3Применимо, если заявка на оформление продукта и/или услуги подаётся от имени юридического лица, данные которого указаны в такой заявке

Выполнение требований закона о персональных данных

Во исполнение Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее — закон «О персональных данных») Публичное акционерное общество Банк «Возрождение» (далее — Банк), являясь оператором персональных данных, разработало и утвердило Положение о порядке обработки персональных данных в Банке «Возрождение» (ПАО).

В Положении определяется политика банка в отношении обработки персональных данных, устанавливаются требования, принципы и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, в том числе:

  • общие требования к порядку обработки, как с использованием средств автоматизации, так и без использования таковых, персональных данных субъектов персональных данных, а также обязанности работников банка и порядок взаимодействия структурных подразделений банка в целях обеспечения указанных требований;
  • порядок получения и отзыва согласия субъектов персональных данных на обработку персональных данных;
  • цели и принципы обработки в банке персональных данных, категории субъектов персональных данных и обрабатываемых персональных данных;
  • порядок приема и обработки обращений субъектов персональных данных по вопросам обработки их персональных данных и предоставления информации, касающейся обработки персональных данных, либо отказа в предоставлении такой информации;
  • процедуры прекращения обработки, уточнения, блокирования и уничтожения персональных данных в случаях выявления факта неправомерной обработки персональных данных, неточных (неполных, устаревших) персональных данных, в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, а также в случае отзыва клиентом (субъектом персональных данных) согласия на обработку его персональных данных.

В соответствии с требованиями закона «О персональных данных», Стандарта Банка России отраслевого применения СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» в банке разработана и утверждена «Политика информационной безопасности Банка «Возрождение» (ПАО)», которая определяет требования по защите обрабатываемых персональных данных.

В Банке назначено должностное лицо, ответственное за организацию обработки персональных данных, в обязанности которого также входит контроль за соблюдением в банке требований законодательства Российской Федерации в области персональных данных и принятых в соответствии с ним нормативных правовых актов.

(PDF) Забыть личные данные и отозвать согласие в соответствии с GDPR: проблемы и предлагаемые решения

114. Рикер П. Память, история, забвение. Чикаго, Иллинойс, США:

University of Chicago Press, 2004.

115. Вольф М. Конец памяти: правильно вспоминать в жестоком мире.

Гранд-Рапидс, Мичиган, США: Wm. B. Eerdmans Publishing, 2006.

116. Ницше Ф. Об использовании истории и злоупотреблении ею для жизни, Untimely

Meditations, Vol 2.Лейпциг, Германия: Э. В. Фрицш, 1874.

117. Майер-Шёнберг эр В. Удаление: сила забвения в эпоху цифровых технологий

. Princeton University Press, 2011.

118. Паркер ES, Кэхилл Л., Макгоу Дж. Случай необычного автобиографического ре-

членства. Neurocase 2006; 12: 35–49.

119. Borges JL. Фунес, запоминающееся произведение Avon Modern Writing № 2. Нью-

Йорк, США: Avon Books, 1954.

120. Бланшетт Дж.Ф., Джонсон Д.Г. Сохранение данных и паноптическое общество:

социальных преимуществ забывчивости.Общество «Инфор» 2002; 18: 33–45.

121. Allen AL. Копаем в прошлое: лайфлог, память и наблюдение.

Uni Chicago L Rev 2008; 75: 47–74.

122. Хэнд М. Постоянные следы, потенциальные воспоминания: смартфоны и

Согласование визуальных, локальных и текстовых данных в личной жизни.

Конвергенция 2016; 22: 269–86.

123. Burkell JA. Вспоминая меня: большие данные, индивидуальная идентичность и психологическая необходимость забывания.Этика и Infor Technol 2016; 18:

17–23.

124. Додж М., Китчин Р. «Очертания возникающего мира»: per-

универсальные вычисления и этика забывания. Окружающая среда и планирование B:

планирование и дизайн 2007; 34: 431–45.

125. Бентам Дж. Паноптикум или Инспекционная палата. Лондон: Пейн, 1791.

126. Горземан Л., Коренхоф П. Уход от паноптикума с течением времени. Phil &

Technol 2017; 30: 73–92.

127.Розен Дж. Интернет означает конец забвения, 2010. http: // www.

nytimes.com/2010/07/25/magazine/25privacy-t2.html (28 февраля

2018, дата последнего обращения).

128. Соловей DJ. Будущее репутации: сплетни, слухи и конфиденциальность в Интернете

. Издательство Йельского университета, 2007.

129. Хендлер Дж. Появление Web 3.0. Компьютер 2009; 42.

130. Бизер К., Хит Т., Бернерс-Ли Т. Связанные данные — история на данный момент. Семантика

Сервисы, взаимодействие и веб-приложения: новые концепции

2009; 5: 1–227.

131. Гуррин Ч., Ли Х., Хейс Дж. IForgot: модель забывания в роботизированной памяти

ories. 2010 5-я Международная конференция ACM / IEEE по взаимодействию человека и робота

(HRI), стр. 93–94. IEEE, 2010.

132. Сас К., Уиттакер С. Дизайн, позволяющий забыть: избавление от цифровых вещей

после разрыва отношений. Труды конференции SIGCHI по человеческим факторам

в вычислительных системах, стр. 1823–1832. ACM, 2013.

133. Кульк С., Боргезиус ФЗ.Google Spain v. Gonza´lez: забыл ли суд

о свободе выражения мнения. Eur J Risk Reg 2014; 5: 389.

134. Майер-Шёнбергер В. Пропуск результатов поиска не является «правом на получение

» или концом Google. The Guardian 2014; 13.

135. О’Хара К. Право на забвение: хорошее, плохое и уродливое.

IEEE Internet Computing 2015; 19: 73–9.

136. Baum RM. Это не цензура, 2014. http://cen.gext.acs.org/articles/92/

i22 / s-Censorship.html (28 февраля 2018 г., дата последнего обращения).

137. Мантелеро А. Предложение ЕС по общему регламенту защиты данных

и корни «права на забвение». Comp L & Security Rev

2013; 29: 229–35.

138. Voss WG, Castets-Renard C. Предложение по международной таксономии

различных форм «Право на забвение»: исследование

рода норм. Colorado Technol L J 2016; 14: 281–344.

139.Ксантулис Н. Право на забвение в век информации: подход, основанный на правах человека. США-Китай, Л. Ред. 2013; 10: 84.

140. Купс Би Дж. Забывание следов, избегание теней: критический анализ

«право на забвение» в практике больших данных. ЗАПИСАНО в 2011 г .; 8.

141. Европейский надзорный орган по защите данных, «Мнение EDPS по пакету реформ защиты данных

». https://edps.europa.eu/sites/edp/files / publi

cation / 12-03-07_edps_reform_package_en.pdf (28 февраля 2018 г., дата последнего обращения

).

142. Розен Дж. Право на забвение. Stan L Rev Online 2011; 64: 88.

143. Malle B, Kieseberg P, Weippl E, et al. Право на забвение: к

машинного обучения на измененных базах знаний. Международная конференция

по доступности, надежности и безопасности, стр. 251–266. Springer, 2016.

144. Стюарт А.Х. Результаты поиска Google: похоронены, если не забыты. NCJL & Tech

2013; 15: 463.

145. Нунциато округ Колумбия. Гибель общественного форума в киберпространстве. Беркли

Technol L J 2005; 20: 1115–1757.

146. Митроу Л., Карида М. Реформа ЕС в области защиты данных и право быть на-

получено: правовой ответ на технологический вызов? 5-я Международная конференция по информационному праву и этике

, 2012 г.

147. Линдси Д. «Право на забвение» — это не цензура, 2012 г. http: //

www.monash.edu/news/opinions/the- право быть забытым — это не цензура

корабль (28 февраля 2018 г., дата последнего доступа).

148. Коренхоф П. Забыв об обломках: исследование того, что нужно

, забытым в процессе оперативной памяти. Тилбургский институт права и серия рабочих документов

Technology, 2013; 4: 6.

149. Амвросий М.Л. Кстати о забвении: анализ возможных ре-

спонов, не входящих в ЕС, на право быть забытым и исключение речи.

Телекоммуникационная политика, 2014 г .; 38: 800–11.

150. Bennett SC. Право на забвение: согласование перспектив ЕС и США —

человека.Беркли, Международный журнал L, 2012; 30: 161.

151. Каденич В. Соответствие модели архитектуры предприятия Data Lake

Общему регламенту защиты данных (GDPR). Бакалаврская диссертация

Технологический университет Лулева, 2015.

152. О’Хара К., Шадболт Н., Холл В. Прагматический подход к праву на то, чтобы быть забытым

. Серия публикаций Глобальной комиссии по управлению Интернетом, №

26, 2016 г.

153. Баруа Д., Кей Дж., Куммерфельд Б. и др. Теоретические основы для контролируемого забывания пользователем —

в исследуемых долгосрочных пользовательских моделях.Протоколы

23-й Австралийской конференции по взаимодействию компьютера и человека, стр.

40–9. ACM, 2011.

154. Новотный А., Шпикерманн С. Обливион в сети: опрос пользователя

Потребности и технологии. Двадцать вторая европейская конференция по информационным системам

, Тель-Авив, 2014.

155. Хун Дж. И., Ландей Дж. А.. Архитектура для повсеместных вычислений

, чувствительных к конфиденциальности. Труды 2-й международной конференции по системам, приложениям и услугам Mobile

, стр.177–189. ACM, 2004.

156. Эшли П., Хада С., Карджот Г. и др. Язык авторизации конфиденциальности предприятия

guage (epal), 2003.

157. Лангхайнрих М. Система обеспечения конфиденциальности для повсеместных вычислительных сред

. Международная конференция по повсеместным вычислениям, стр.

237–245. Springer, 2002.

158. Перлман Р. Дизайн файловой системы с гарантированным удалением. В: Proceedings of the

Third IEEE International Security in Storage Workshop, pp.83–88.

IEEE, 2005.

159. Tang Y, Lee PP, Lui JC, et al. Безопасное оверлейное облачное хранилище с контролем доступа

и гарантированным удалением. IEEE Transactions on Dependable и

Secure Computing 2012; 9: 903–16.

160. Баджадж С., Сион Р. Фиклебасе: Взгляд в будущее, чтобы стереть прошлое.

Data Engineering (ICDE), 29-я Международная конференция IEEE 2013 г.

on, pp. 86–97. IEEE, 2013.

161. Коренхоф П., Ослоос Дж., Секели И. и др.Выбор времени для получения права на забвение:

Исследование «времени» как фактора при принятии решения о сохранении или удалении данных

. Реформирование европейского закона о защите данных, стр. 171–201. Springer,

2015.

162. Ли Х. Дж., Юн Дж. Х., Юн Х. С. и др. Право на забвение: стандарт

, удаление раскрытой личной информации в Интернете. Компьютер

Наука и ее приложения, стр. 883–889. Берлин, Гейдельберг: Springer,

2015.

163.Anciaux N, Bouganim L, Van Heerde H и др. Ухудшение качества данных:

С течением времени конфиденциальность личных данных снижается. Материалы 17-й конференции ACM

по управлению информацией и знаниями, стр.

1401–1402. ACM, 2008.

164. Geambasu R, Kohno T, Levy AA, et al. Vanish: повышение конфиденциальности данных

с помощью данных, разрушающих eslf. Симпозиум по безопасности USENIX 2009: 299–316.

Журнал кибербезопасности, 2018, т. 0, No. 0 19

Загружено с https: // Acade.oup.com/cybersecurity/advance-article-abstract/doi/10.1093/cybsec/tyy001/4954056

гостем

9 апреля 2018 г.

Информация о защите данных для интернет-банкинга — Deutsche Bank Privatkunden

Мы обрабатываем вышеупомянутые личные данные в соответствии с положениями Общего регламента ЕС по защите данных (GDPR) и Федерального закона Германии о защите данных (Bundesdatenschutzgesetz — BDSG)


а. для выполнения договорных обязательств (статья 6 (1) b) GDPR)

Правовой основой для обработки ваших личных данных являются «Условия доступа к Deutsche Bank AG через электронные средства массовой информации», согласованные между вами и нами для использования OnlineBanking.
Цели обработки данных в первую очередь зависят от конкретной услуги. Для получения дополнительных сведений о целях обработки данных см. Соответствующую договорную документацию и условия.


б. в целях защиты законных интересов (статья 6 (1) f) GDPR)


При необходимости мы обрабатываем ваши данные сверх фактического выполнения наших договорных обязательств, чтобы защитить законные интересы, преследуемые нами или третьей стороной.Примеры:

  • Заявление судебных исков и защита в случае судебного разбирательства
  • Обеспечение ИТ-безопасности банка и ИТ-операций
  • Предотвращение преступлений
  • Меры по управлению бизнесом и дальнейшему развитию услуг и продуктов
  • Управление рисками группы


c . на основании вашего согласия (статья 6 (1) a) GDPR)


Если вы дали нам согласие на обработку персональных данных для определенных целей (например,грамм. для информационных услуг по текущим предложениям и важным финансовым вопросам) законность такой обработки основана на вашем согласии. Информацию о ваших правах в отношении предоставленного согласия см. В главе 7 этой информации о защите данных. Вы можете запросить обзор статуса предоставленных вами согласий в любое время или просмотреть некоторые из них через OnlineBanking.


г. для соблюдения юридического обязательства (статья 6 (1) c) GDPR) или в общественных интересах (статья 6 (1) e) GDPR)

Как банк, мы также несем различные юридические обязательства, т. е.е., законодательные требования (например, Закон Германии о банковской деятельности (Kreditwesengesetz — KWG), Закон Германии о борьбе с отмыванием денег (Geldwäschegesetz — GWG), Закон Германии о торговле ценными бумагами (Wertpapierhandelsgesetz — WpHG), налоговое законодательство), а также требования банковского надзора ( например, Европейский центральный банк, Европейское управление банковского надзора, Deutsche Bundesbank и Федеральное управление финансового надзора Германии (Bundesanstalt für Finanzdienstleistungsaufsicht — BaFin). Другие цели обработки включают проверку кредитоспособности, идентификацию и возраст, борьбу с мошенничеством и борьбу с деньгами. меры по отмыванию доходов, выполнение обязательств по налоговому контролю и отчетности, а также оценка и управление рисками в банке и Группе.

6 юридических оснований для обработки

Первый принцип защиты данных требует, чтобы все персональные данные обрабатывались законно, справедливо и прозрачно. Правовая (или законная) основа для обработки должна быть удовлетворена, прежде чем организация сможет обрабатывать какие-либо личные данные.

GDPR описывает шесть сценариев, в которых обработка данных разрешена законом. Если организация не сможет доказать, что процесс обработки соответствует одному или нескольким из этих сценариев, обработка персональных данных считается незаконной.

Таким образом, шесть правовых основ для обработки данных:

1. Субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей.

Субъект (ы) данных дал согласие на обработку. GDPR гласит, что он должен быть свободным, конкретным, информированным и недвусмысленным — выражаться в заявлении или четких позитивных действиях. Субъекты данных должны иметь возможность отказаться или отозвать согласие без штраф.Кроме того, между сторонами не должно быть дисбаланса, то есть отношений между работником и работодателем.

Хороший пример — подписка на рассылку рекламных писем. Отметив, что вы соглашаетесь получать эти электронные письма, вы соглашаетесь разрешить этой компании / ее обработчику использовать ваши данные для информационных и маркетинговых целей. Отказавшись от подписки, вы аннулируете это согласие.

Финансовые учреждения не должны полагаться на согласие ни для чего, кроме прямого маркетинга или автоматического принятия решений / профилирования.Регулярная обработка, связанная с финансами, должна регулироваться другими правовыми основаниями.

2. Обработка необходима для выполнения договора, стороной которого является субъект данных , или для принятия мер по запросу субъекта данных до заключения договора.

Такая обработка необходима для заключения или выполнения договора с субъектом данных. Например, любая обработка, которая имеет место для заключения возможного контракта по просьбе отдельного лица, подпадает под эту категорию, так же как и любые другие обработка, выполняемая в течение договорного периода, если она соответствует условиям договора.Все, что выходит за рамки этого, должно быть охвачено любым альтернативным правовым основанием.

Например, заполнение формы открытия счета в инвестиционном банке считается преддоговорной обработкой, а обработка транзакционной информации в течение срока действия вашего контракта также покрывается. Но поставщик услуг также хочет получить ваши данные чтобы они могли предлагать вам дополнительные продукты и услуги в рамках маркетинговых мероприятий, они должны сначала получить ваше согласие.

3.Обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер.

Контроллер имеет юридическое обязательство выполнять обработку, но это применимо только к законодательству ЕС или государства-члена. Последняя часть очень важна.

Возьмите ABC Bank DAC — розничный банк, которому необходимо обрабатывать много вашей информации, потому что вы хотите получить с ним ипотеку. ABC Bank имеет юридическое обязательство проводить в отношении вас комплексную проверку системы «Знай своего клиента» (KYC), и они также должны делиться с вами вашей информация из национального кредитного реестра.Это юридическое обязательство коренится в европейском и ирландском законодательстве, поэтому они могут полагаться на это правовое основание для обработки.

Теперь рассмотрим XYZ Bank LLC, американский банк, который открывает для вас инвестиционный счет в Соединенных Штатах — при условии, что вы являетесь резидентом Европейского Союза. У них также есть юридическое обязательство проводить комплексную проверку KYC и ряд других нормативных обязательств. должны соответствовать федеральным законам или законам штата, но они также подпадают под действие GDPR. Они не могут полагаться на юридическое обязательство в качестве условия обработки.Вместо этого им следует полагаться на Законный интерес, к которому мы вскоре вернемся.

4. Обработка необходима для защиты жизненно важных интересов субъекта данных.

Обработка должна быть абсолютно необходимой, например, жизни или смерти, и используется в крайнем случае. Скорее всего, это будет использоваться отраслью здравоохранения, хотя контроллеры данных не могут полагаться на это как на условие обработки, если субъект данных может дать согласие.

Это будет применяться в основном к неотложной медицинской помощи. Представьте, что кто-то попал в ужасную аварию и был доставлен в местное отделение неотложной помощи в коматозном состоянии для лечения. Больница имеет право обрабатывать историю болезни и данные о здоровье этого человека, чтобы для обеспечения лечения, которое может спасти жизнь.

Article 29 Working Group (консультативный орган Европейского Союза, который написал руководящие документы по GDPR) также предположила, что это будет использоваться в случае эпидемий или для оказания гуманитарной помощи во время крупномасштабного бедствия.

5. Обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера.

Это условие позволяет обрабатывать данные государственными органами и другими органами, которые осуществляют «официальные полномочия», и эта деятельность должна иметь четкую основу в национальном или европейском законодательстве. Обработка также должна быть абсолютно необходимой, поэтому, если есть это более легкий путь к достижению целей государственного органа, они должны это сделать.Они должны быть очень конкретными в отношении того, что это за деятельность, почему они выполняют эту обработку и как.

Примеры могут включать компанию водоснабжения или национальное удостоверение личности.

6. Обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защита персональных данных, в частности, если субъектом данных является ребенок.

Это будет запасной вариант для большинства контроллеров, поскольку он обычно является наиболее гибким вариантом. Чтобы полагаться на это, контролерам необходимо будет идентифицировать законный интерес (здесь используется термин «законный»), показать, что обработка необходимо для этой цели, а затем продемонстрировать, что это не нарушает права и свободы соответствующих субъектов данных. Если эти права и свободы каким-либо образом затронуты, контролер должен обосновать деятельность по обработке.

Вымышленный банк США, упомянутый ранее, XYZ Bank LLC, мог полагаться на законный интерес для выполнения своих обязательств KYC. Работодатель может полагаться на это условие при записи звонков для «обучения и мониторинга». На это может рассчитывать бизнес, когда установка видеонаблюдения на своей собственности. Список бесконечен.

Введение в действие GDPR в банковской сфере — Data Privacy Manager

Автор: Мариян Брачич, директор по конфиденциальности данных @ Poslovna inteligencija

В процессе соблюдения GDPR Банк реализует несколько проектов, которые обычно делятся на организационных и технических проектов.

Введение в действие GDPR в банковской сфере обычно начинается с GAP-анализа, и результаты анализа определяют масштаб и цель этих проектов. Какие проекты будут реализованы после анализа GAP и в какой степени определяется в соответствии с оценкой рисков .

Меры организационно-технического соответствия

Первый проект в целом можно описать как , вводящий организационные меры в целях соблюдения GDPR, которые включают:

• Соответствие политике конфиденциальности
• Оценка риска обработки данных,
• Соответствие партнерских и / или клиентских контрактов,
• Соответствие контрактов сотрудников,
• Получение согласия из контрактов,
• Введение программ непрерывного образования,
• Реорганизация ролей сотрудников и их обязанностей по обработке данных и т. Д.

Вторая группа проектов представляет собой внедрение технических мероприятий и включает:

• Категоризация данных,
• Сопоставление данных,
• Защита данных,
• Минимизация данных,
• Псевдонимизация и анонимизация данных в ИТ-системах,
• Введение централизованной системы управления согласием,
• Автоматизация хранения и уничтожения данных политик,
• Автоматизация реализации прав субъектов данных
• Внедрение портала самообслуживания для управления согласием и предпочтениями

Важно отметить, что как технические, так и организационные меры являются неотъемлемой частью проекта соответствия и взаимозависимы. Очень важно определить порядок выполнения проекта, принимая во внимание анализ рисков , и выполнение необходимых предпосылок производительности.

Например, до введения анонимизации и псевдонимизации необходимо сопоставить и классифицировать данные, но также четко определит цель этих технических мер .

Это требует, по крайней мере, частичного выполнения организационных мер, создания записей о действиях по обработке, хранении данных, политике уничтожения данных и необходимых оценках обработки.

Банк представляет собой сложную организацию, обрабатывающую большие объемы персональных данных для различных целей, поэтому ему необходимо организовать большое количество организационных единиц и сотрудников, обеспечивая согласованный вклад всех изменений в общую цель Соответствие GDPR .

GDPR: вызовы в банковской сфере

Наиболее частыми проблемами, возникающими при выполнении проекта, являются отсутствие сотрудничества между DPO, юридической службой, ИТ и маркетингом.Это понятно, учитывая сложность Регламента и разнообразие функций различных организационных единиц.

Сотрудник по защите данных обычно является профессионалом в области конфиденциальности с опытом работы в области ИТ или юриспруденции, но редко и того и другого. Независимо от профессии, для одного человека практически невозможно иметь непрерывное представление о законодательном, нормативном и информационном сегменте всех бизнес-процессов в Банке.

Вместе с GDPR появилось программное обеспечение для обеспечения конфиденциальности (такое же, как Data Privacy Manager), связывающее Регламент и данные, предоставляя DPO простой способ управления соответствием на уровне Банка и связывания их с ИТ-системами и данными Банка .

P Программное обеспечение rivacy также помогает освободить ИТ-специалистов от глубокого понимания GDPR. Он устанавливает четкие правила для надлежащего выполнения технических мер и автоматизации соблюдения правил в отношении данных, обрабатываемых Банком.

Такое разделение ответственности является ключом к быстрой и правильной реализации любого комплаенс-проекта.

Каждое организационное подразделение должно иметь четко определенных обязанностей , которые соответствуют реалистичным и согласованным компетенциям отдела.Опыт показывает, что наиболее эффективно проект соответствия GDPR осуществляется банками, которые внедряют децентрализованную модель управления конфиденциальностью данных .

Децентрализованная модель означает, что DPO остается в надзорной и консультативной роли, в то время как ИТ, маркетинг, HR и другие вовлеченные подразделения берут на себя свою часть ответственности за соблюдение нормативных требований. Краткий пример — управление записями операций обработки с помощью диспетчера конфиденциальности данных.

Ведение и создание записей о процессах обработки

При создании записей о процессах обработки, наиболее частая ошибка полагается на MS Excel. Нет ничего плохого в использовании Excel, и GDPR определяет только информацию, которая должна храниться в записях, а не способы управления ею.

Однако все может довольно легко усложниться, как мы обсуждали в одном из наших блогов:

GDPR также означает реализацию определенных политик в соответствии с принципами защиты данных. Это означает, , что вся информация из Записи должна соответствовать бизнес-процессам и ИТ-системам , и все политики должны применяться к данным в ИТ-системах.

Использование программного обеспечения для обеспечения конфиденциальности позволяет централизовать записи о процессах обработки данных через пользовательский интерфейс при эффективном сотрудничестве всех соответствующих организационных подразделений.

Обычно у Банка есть около ста или более записей о процессинге и около 30+ сотрудников, которые несут ответственность за их регулярное ведение.

Для успешного сотрудничества Data Privacy Manager поддерживает децентрализованную модель управления конфиденциальностью данных .

Это означает, что сотрудник по защите данных имеет представление обо всех процессах обработки и любых изменениях в них. Другие роли в зависимости от определенных прав могут создавать, редактировать и (де) активировать операции обработки.

Кроме того, каждого процесса обработки имеет своего организационного владельца , сотрудника Банка, ответственного за обновление информации, относящейся к самой обработке.

Более того, некоторые банки определили политику обновления записей, согласно которой владелец обязан обновлять операции обработки дважды в год.

Чтобы действительно следовать этой модели, Data Privacy Manager позволяет сотруднику по защите данных создавать задачи, а контролировать их выполнение .

Наиболее существенное различие между Excel и программным обеспечением конфиденциальности — это способность связывать Записи о процессах обработки с другими процессами и ИТ-системами.

Например, Записи о действиях по обработке содержат информацию о политиках хранения, которые рассчитывают время архивирования личных данных.

В процессе соблюдения GDPR одной из задач юридической службы и DPO является учет других юридических обязательств, таких как закон об архивировании, и определение политик хранения данных для различных категорий данных.

Однако, когда вы вводите данные в Excel, таблица не позволяет применить эти политики к правильному набору данных.

Благодаря интеграции данных, Data Privacy Manager учитывает различные бизнес-процессы банка и ИТ-систем, в которых обрабатываются данные, а создает и распространяет график архивирования и удаления данных с технической информацией о местонахождении данных.

Таким образом, можно автоматизировать весь жизненный цикл персональных данных , что является единственным способом для Банка успешно участвовать в процессе соответствия, учитывая объем данных и количество ИТ-систем, в которых данные обрабатываются. .

Управление Записи об операциях обработки — это лишь один пример того, как Data Privacy Manager может помочь Банку в соблюдении нормативных требований. Записи о процессах обработки обычно являются первым модулем, внедренным банком , поскольку это базовый уровень для автоматизации всех других процессов GDPR, связанных с конфиденциальностью.

GDPR в банковской сфере: управление согласием и предпочтениями

Одним из процессов, которые банки обычно внедряют в начале проекта соответствия, является внедрение Consent Management вместе с порталом самообслуживания в качестве ориентированного на клиента приложения для управления предпочтениями конфиденциальности.

Обработка, основанная на согласии, должна соответствовать предпочтениям человека, которые могут меняться со временем. Банки часто используют согласие в качестве законной основы для маркетинговых коммуникаций.

Стратегии управления данными обычно различаются в зависимости от отрасли, и один из способов их классификации — это наступательная или защитная стратегия данных.

В то время как наступательная стратегия означает интенсивную обработку персональных данных (включая сегментацию и профилирование субъектов данных и агрессивный маркетинг) , защитная стратегия основана на минимизации риска и раскрытия данных.

Наступательная и оборонительная стратегия данных

Наступательные стратегии типичны для отраслей, которые менее регулируются с более высокой конкуренцией , таких как розничная торговля.В то время как защитные стратегии больше подходят для строго регулируемых отраслей, которые обрабатывают особые категории данных, таких как здравоохранение.

Банковская отрасль находится где-то посередине, потому что она работает в высококонкурентной среде, но также подчиняется строгой нормативной базе .

Банк не может работать без маркетинга, но в то же время должен соблюдать GDPR. Сегодня стандартом является централизованная платформа управления согласием и предпочтениями t , обеспечивающая автоматический контроль над маркетинговой деятельностью и прозрачное общение с клиентами.

Его основная цель — служить единой точкой истины для всех согласий и предоставлять интерфейс администрирования для всей обработки на основе согласия , демонстрации собранных согласий и механизмов отзыва согласия .

При внедрении системы управления согласием и предпочтениями Банк обычно интегрирует внешних канала, таких как веб-страницы , интернет-банкинг, и приложения мобильного банкинга, и базовые системы.

Внешние каналы используются для сбора данных Субъекта данных и предпочтений согласия и могут быть разделены на цифровые каналы и бумажные формы, собираемые в Банке.

Data Privacy Manager имеет множество функций интеграции , которые обеспечивают бесшовную интеграцию со всеми интерфейсными каналами, системами DMS и включают интерфейс для ввода согласий, собранных в бумажной форме.

Кроме того, Data Privacy Manager интегрируется с платформами автоматизации маркетинга .Внедрение платформы управления согласием и предпочтениями позволяет непрерывно общаться с людьми, уважающими их предпочтения, и обеспечивает надлежащее разделение ответственности между Маркетингом и DPO.

Портал самообслуживания для управления согласием и предпочтениями

Согласно отчету Gartner к 2020 году треть организаций B2C представит портал самообслуживания и ориентированный на клиента портал для повышения прозрачности и соответствия нормативным требованиям.

Большое количество банков решило внедрить портал самообслуживания в качестве одного из внешних каналов управления согласием вместе с платформой управления согласием и предпочтениями.

Обычно он интегрируется, чтобы использовать настройки безопасности существующих приложений без необходимости в дополнительных системах аутентификации для отдельных лиц.

Портал конфиденциальности — это модуль Data Privacy Manager, который предоставляет такую ​​функциональность через отдельное веб-приложение, которое позволяет развертывать его на веб-серверах банка или в облаке.

Банк также обеспечивает легкий доступ к порталу конфиденциальности в своих маркетинговых сообщениях по всем цифровым каналам, чтобы повысить прозрачность для своих клиентов и других лиц, данные которых обрабатываются.

GDPR в банковской сфере: конфиденциальность 360 °

Обработка персональных данных Банком основана на других законных основаниях, таких как контрактов или юридических обязательств.

Получение информации обо всех процессах обработки необходимо для уточнения и документирования целей и законных оснований для обработки , которые полагаются на централизованные Записи операций обработки.После внедрения записей о действиях по обработке банк может продолжить моделирование потоков данных.

Поток данных — это объект, тесно связанный с бизнес-процессом, но ориентированный на обработку персональных данных.

Во-первых, Data Privacy Manager интегрируется с потоками данных по кредитным и дебетовым линиям продуктов, а затем со вторичной обработкой данных для неклиентов.

Существует нескольких методов интеграции потоков данных, чаще всего через простую интеграцию данных в DWH , минуя базовую систему банка, чтобы снизить нагрузку на производственные системы, а до упростить интеграцию.

Интеграция

Data Flow дает 360-градусный обзор каждого субъекта данных , данные которого обрабатываются Банком. Это обеспечивает основу для мониторинга соответствия, быстрого реагирования на потенциальные жалобы, автоматизации выполнения прав субъектов данных, хранения и удаления данных.

Таким образом, Банк может правильно управлять жизненным циклом персональных данных всех людей и применять все принципы конфиденциальности GDPR . Кроме того, автоматизация позволяет правильно разделить обязанности между организационными подразделениями, экономит время для сотрудников по защите данных и ИТ-служб и обеспечивает минимальный риск человеческой ошибки при обработке личных данных.

% PDF-1.5 % 1 0 объект > / Метаданные 302 0 R / Страницы 2 0 R / StructTreeRoot 33 0 R / Тип / Каталог >> эндобдж 302 0 объект > поток 11.6933333333333338.26833333333333462018-01-03T10: 07: 52.627 + 01: 00Microsoft® Word 2010JR12698e124880d95193c86550eeef8b7fe8d11789166930Microsoft® Word 20102017-12-28T11: 13: 51.000-28-28: 0011: 13: 51.000-28: 002011-28T11: 13: 51.000-28: 0011: 2011: 0011: 11: 13: 51.000-28-28 13: 51.000 + 01: 00application / pdf2019-01-29T10: 25: 44.787 + 01: 00

  • JR
  • Microsoft® Word 2010 конечный поток эндобдж 2 0 obj > эндобдж 33 0 объект > эндобдж 35 0 объект > эндобдж 34 0 объект > эндобдж 41 0 объект [40 0 R 44 0 R 45 0 R 46 0 R 47 0 R 48 0 R 49 0 R 50 0 R 51 0 R 52 0 R 53 0 R 54 0 R] эндобдж 56 0 объект [55 0 R 57 0 R 58 0 R 59 0 R 60 0 R 61 0 R 62 0 R 63 0 R 65 0 R 66 0 R 67 0 R 68 0 R 69 0 R 70 0 R 71 0 R 72 0 R 73 0 R 74 0 R 75 0 R 76 0 R 78 0 R 81 0 R 82 0 R 83 0 R 84 0 R] эндобдж 79 0 объект > эндобдж 87 0 объект [86 0 R 88 0 R 89 0 R 90 0 R 91 0 R 92 0 R 95 0 R 96 0 R 97 0 R 98 0 R 100 0 R 101 0 R 102 0 R 103 0 R 104 0 R 105 0 R 106 0 R 109 0 R 110 0 R 113 0 R 114 0 R 115 0 R 116 0 R 117 0 R 118 0 R 119 0 R 120 0 R 121 0 R 122 0 R 123 0 R 124 0 R 125 0 R 126 0 R 127 0 R 130 0 R 131 0 R 134 0 R 94 0 R 94 0 R 94 0 R 94 0 R] эндобдж 137 0 объект [136 0 R 138 0 R 139 0 R 140 0 R 141 0 R 142 0 R 143 0 R 146 0 R 148 0 R 150 0 R 151 0 R 152 0 R 153 0 R 154 0 R 156 0 R 157 0 R 158 0 R 159 0 R 160 0 R 163 0 R 164 0 R 165 0 R 166 0 R 167 0 R 170 0 R 171 0 R 172 0 R 174 0 R 175 0 R 176 0 R 177 0 R 178 0 R 179 0 R 180 0 R 181 0 R 184 0 R 186 0 R 189 0 R 190 0 R 192 0 R 193 0 R 194 0 R 195 0 R 196 0 R 197 0 R 198 0 R 199 0 R 188 0 R] эндобдж 201 0 объект [200 0 R 202 0 R 203 0 R 205 0 R 206 0 R 207 0 R 208 0 R 209 0 R 210 0 R 211 0 R 212 0 R 213 0 R 214 0 R 216 0 R 217 0 R 218 0 R 219 0 R 220 0 R 221 0 R 222 0 R 223 0 R 224 0 R 225 0 R 227 0 R 228 0 R 229 0 R 230 0 R 231 0 R 232 0 R 235 0 R 237 0 R 239 0 R 240 0 R 241 0 R 243 0 R 244 0 R 245 0 R 246 0 R 247 0 R 248 0 R 249 0 R 250 0 R 251 0 R 252 0 R 253 0 R 254 0 R 255 0 R 256 0 R 257 0 R] эндобдж 259 0 объект [258 0 R 260 0 R 261 0 R 263 0 R 264 0 R 265 0 R 266 0 R 267 0 R 268 0 R 269 0 R 270 0 R 271 0 R 272 0 R 273 0 R 275 0 R 276 0 R 277 0 278 р. 279 0 р. 280 0 281 р. 0 282 р. 283 0 р. 284 0 р. 285 0 р. 286 0 р. 287 0 р. 288 0 р. 289 0 р. 290 0 р. 291 0 р. 292 0 р.] эндобдж 258 0 объект > эндобдж 260 0 объект > эндобдж 261 0 объект > эндобдж 263 0 объект > эндобдж 264 0 объект > эндобдж 265 0 объект > эндобдж 266 0 объект > эндобдж 267 0 объект > эндобдж 268 0 объект > эндобдж 269 ​​0 объект > эндобдж 270 0 объект > эндобдж 271 0 объект > эндобдж 272 0 объект > эндобдж 273 0 объект > эндобдж 275 0 объект > эндобдж 276 0 объект > эндобдж 277 0 объект > эндобдж 278 0 объект > эндобдж 279 0 объект > эндобдж 280 0 объект > эндобдж 281 0 объект > эндобдж 282 0 объект > эндобдж 283 0 объект > эндобдж 284 0 объект > эндобдж 285 0 объект > эндобдж 286 0 объект > эндобдж 287 0 объект > эндобдж 288 0 объект > эндобдж 289 0 объект > эндобдж 290 0 объект > эндобдж 291 0 объект > эндобдж 292 0 объект > эндобдж 36 0 объект > эндобдж 30 0 объект > / MediaBox [0 0 595.fGsVF`g1ϙ, gEUDeɦGq [㣏 e]

    Предоставление банкам ясности в отношении «отказа» и отзыва согласия

    Европейское банковское управление (EBA) недавно подтвердило, что банки не могут предоставить клиентам возможность полностью отказаться от все сторонние открытые банковские услуги, и они не могут отозвать согласие, которое клиенты дают третьим сторонам от их имени, даже если клиенты дали согласие на предоставление этой услуги.

    Мнения, выраженные Европейским банковским управлением (EBA), основаны на других рекомендациях банков, которые были даны в отношении согласия клиентов в контексте открытого банковского обслуживания.

    Согласие, необходимое для повышения доверия клиентов к открытой банковской деятельности

    Существует всеобщее согласие с тем, что установление и поддержание доверия клиентов имеет важное значение для успеха открытого банковского дела. Клиенты будут разрешать третьим сторонам получать доступ к своим историям транзакций, другим данным и инициировать платежи от их имени только в том случае, если они считают, что их положение не будет хуже, чем если бы они не использовали эти услуги.

    По этой причине вторая Директива ЕС о платежных услугах (PSD2) требует, чтобы поставщики открытых банковских услуг получали явное согласие своих клиентов перед предоставлением услуг.PSD2 также устанавливает подробные режимы безопасности и аутентификации для защиты данных клиентов.

    В контексте банковского клиента явное согласие — это разрешение, данное клиентом регулируемому стороннему провайдеру на доступ к платежному счету клиента, находящемуся в банке. Когда третья сторона связывается с банком, банк должен принять за чистую монету утверждение стороннего поставщика о том, что он имеет согласие клиента, и предоставить третьей стороне доступ к платежному счету.

    Нет необходимости проверять согласие

    В июне прошлого года EBA пояснила, что банки «не обязаны проверять» согласие между клиентом и третьей стороной. Хотя этот ответ дал банкам разъяснения относительно их операционных требований, он не пролил свет на то, может ли банк проверить согласие клиента на использование стороннего поставщика, если банк хочет проверить согласие от имени своих клиентов, а его клиенты соглашаются получать эта услуга.

    Эта неопределенность привела к тому, что непосредственно перед EBA возникли вопросы о двух сценариях.

    Во-первых, EBA спросили, может ли банк отозвать разрешение, данное клиентом определенной третьей стороне на доступ к его платежному счету, может ли он это сделать. Аргумент гласит, что часто клиенты подписываются на приложения, не задумываясь об этом, а позже хотят отозвать предоставленные им разрешения как можно быстрее и проще. Согласно этому аргументу, для удобства эти клиенты должны иметь возможность сообщить банку, какие службы они хотят продолжать иметь доступ к своим платежным счетам, а какие — нет.

    Второй сценарий идет еще дальше — некоторые утверждают, что банки должны иметь возможность предлагать своим клиентам «отказ» от всех сторонних услуг. В этом сценарии банк никогда не ответит на запрос стороннего поставщика на доступ к счету клиента, если этот клиент «отказался». Банк воспользуется этим подходом, даже если третье лицо заявит, что оно получило явное согласие клиента.

    Учитывая основные движущие силы открытой банковской деятельности, а именно свободную конкуренцию и продвижение инноваций, третьи стороны запросили у EBA разъяснения относительно обоснованности этих аргументов с точки зрения регулирования.

    Нет возможности отозвать согласие

    В ответе, опубликованном в декабре 2018 года, EBA разъяснила свою точку зрения в отношении обоих этих сценариев.

    В сценарии, когда банк пытается отозвать конкретную стороннюю услугу, EBA подтвердил, что только клиент «имеет право отозвать согласие после того, как оно было предоставлено», и что банк «не может отозвать согласие».

    В отношении общего «отказа» EBA придерживалось мнения, что банк не может предоставлять эту услугу.По его мнению, общий отказ от услуг третьих сторон «подорвет саму цель PSD2 — создать равные условия для всех участников рынка, предлагающих эти услуги».

    EBA, однако, осторожно отметило, что высказанное мнение является просто его мнением, и если дело будет передано в суд, Суд Европейского Союза может выразить иную точку зрения.

    Согласие в Великобритании

    Управление по финансовому регулированию и надзору, регулирующий орган в Великобритании, требует, чтобы сторонние поставщики предоставляли копии своих контрактов с клиентами, когда они проходят процесс регулирования.Эти контракты должны объяснять, как клиент может отозвать любое полученное согласие.

    В соответствии с подходом EBA, FCA ясно дало понять, что, по его мнению, банки и другие поставщики счетов не должны создавать дополнительных шагов в отношении согласия клиента на использование сторонних услуг. Банк «просит клиента подтвердить, что он согласен предоставить данные [стороннему поставщику], будет рассматриваться как пример дополнительного шага согласия», — заявило FCA.

    FCA, однако, также признало преимущества банков, других поставщиков счетов и третьих лиц, использующих стандартизированные API для доступа к платежным счетам. Эти стандартизированные подходы могут потребовать регистрации в программе API и соблюдения определенных дополнительных стандартов при получении согласия.

    FCA ясно дало понять, что банки и другие поставщики счетов не могут «требовать от клиента доказательства или подтверждения этого согласия в качестве предварительного условия для выполнения своих обязательств по предоставлению доступа [сторонним поставщикам]» и что они будет «тщательно изучать любой аспект выделенного интерфейса [банка], который приводит к обмену сообщениями или действиям, выходящим за рамки упрощения аутентификации или конкретных законодательных или нормативных требований.«

    Согласие в Германии

    В Германии Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) неоднократно заявлял, что способ применения PSD2 будет определяться директивами EBA. Это было подтверждено в сообщении BaFin в декабре 2018 года.

    Для BaFin обычно считается, что банки обязаны сотрудничать со сторонними поставщиками услуг. Никакие искусственные препятствия недопустимы. Принцип недискриминации толкуется строго.Этот подход соответствует четким указаниям, изложенным в нормативных технических стандартах по надежной аутентификации клиентов в рамках PSD2.

    В Германии дискуссия всегда сосредоточивалась на явном согласии клиента. Это согласие не должно быть нарушено. Он должен быть свободным и не формироваться на основе предвзятости, особенно со стороны какой-либо из заинтересованных сторон, предлагающих рассматриваемые финансовые услуги.

    Обязательство сотрудничать и держаться подальше от любого вида ненадлежащего влияния — вероятные основные причины того, почему EBA ответила на вопросы так, как она есть, и почему это также отражено в подходе BaFin и интерпретации внутренних положений, реализующих Правила PSD2 в немецком законодательстве.Теперь было подтверждено, что банки не имеют права на отзыв и что было бы нецелесообразно разрешать им предлагать комплексную услугу отказа.

    Люк Скэнлон (Luke Scanlon) — эксперт в области финансовых услуг и технологического права в Pinsent Masons, юридической фирме, стоящей за Out-Law.com.

    Нильс Рауэр из Франкфурта является экспертом в области конфиденциальности, оцифровки и авторского права.

    Siedle — Информационное обязательство

    Контактные данные для всех затронутых групп


    Имя и контактные данные контролера (ст.13 п. 1 a GDPR)

    S. Siedle & Söhne Telefon- und Telegrafenwerke OHG
    Bregstraße 1
    D-78120 Фуртванген
    Электронная почта: [email protected]

    Имя и контактные данные ответственного за защиту данных (ст. 13, пункт 1 b GDPR)

    ENSECUR GmbH
    Amalienstr. 24
    D-76133 Карлсруэ
    Лично ответственный: г-н Торстен Джордан
    Электронная почта: [email protected]

    Обязательства по предоставлению информации для потенциальных клиентов и клиентов
    Обязательства по предоставлению информации для поставщиков услуг и поставщиков
    Обязательства по предоставлению информации для заявителей



    Обязательства по предоставлению информации для потенциальных клиентов и клиентов

    Цель и правовая основа обработки данных (ст.13 п. 1 c GDPR)
    — Обработка и обработка запросов от заинтересованных сторон (статья 6, пункт 1 f GDPR) *
    — Проверка списка санкций (статья 6, пункт 1 c GDPR в связи с Постановлением (ЕС) № 2580/2001 против различных лиц и организаций, подозреваемых в терроризме, и Постановление (ЕС) № 881/2002 против Усамы бен Ладена, Аль- Каида и Талибан)
    — Подготовка котировок для потенциальных клиентов (ст. 6 абз. 1 f GDPR *)
    — Заключение договоров купли-продажи (ст.6 п. 1 f GDPR *)
    — Выполнение юридических обязательств (ст. 6 абз. 1 c GDPR)
    — Поддержка операционных процессов поставщиками услуг (ст. 28 GDPR)
    — Управление заказами и доставка (ст. 6 абз. 1 c GDPR)
    — Рассмотрение жалоб (статья 6, параграф 1 c GDPR)

    * Заинтересованность контролера в уравновешивании интересов (статья 13, параграф 1 d GDPR)
    — Заявление и защита в судебных спорах
    — Обеспечение ИТ-безопасности и ИТ-операций компании
    — Предупреждение преступлений
    — Меры по управлению бизнесом и дальнейшему развитию услуг и продуктов
    — Информация о новых услугах или продуктах

    Получатели или категории получателей персональных данных (ст.13 п. 1 e GDPR)
    Государственные органы, банки, аудиторы, производители программного обеспечения, аффилированные лица, поставщики услуг по удалению отходов, рекламное агентство, поставщики ИТ-услуг, поставщики

    Передача в третьи страны (ст. 13 пункт 1 f GDPR)
    Передача данных в третьи страны происходит в соответствии с нормативными актами о допустимости в соответствии со статьей 45 GDPR, рассматриваемой в сочетании со ст. 46 (5) S. 2 GDPR). GDPR обеспечивает постоянную силу уже принятых решений о целесообразности.Для Соглашения о защите конфиденциальности ЕС-США Комиссия определила соответствие уровня защиты данных (C (2016) 4176 final).

    Срок хранения в соответствии с установленными законом обязательствами по хранению (статья 13, параграф 2, GDPR))
    Обычно 10 лет после отзыва клиентом.

    Право на доступ, исправление, стирание, ограничение, переносимость данных и возражение (статья 13, параграф 2b GDPR)
    Как субъект данных вы имеете право на доступ, исправление и удаление ваших данных, а также на ограничение обработки, а также право на переносимость данных.Пожалуйста, свяжитесь с контролером в этой связи, используя предоставленные контактные данные.

    Право на возражение (ст. 21. пункт 1 GDPR)
    Поскольку обработка ваших данных осуществляется для обеспечения законных интересов, вы имеете право в любое время возразить против такой обработки, используя предоставленные нами контактные данные, если причины возникают из вашей особой ситуации, которая противоречит этой обработке данных. Затем мы прекратим эту обработку, если она не служит законным интересам с нашей стороны.

    Право на отзыв согласия (ст. 13 (2) c GDPR)
    Если вы дали свое согласие на обработку ваших данных, вы имеете право отозвать такое согласие в любое время, действительное для будущего. Это не влияет на законность обработки до момента отзыва. Для получения дополнительной информации, пожалуйста, свяжитесь с ответственным офисом по предоставленным контактным данным.


    Право на подачу жалобы (ст.13. п. 2 d GDPR)
    В качестве субъекта данных вы можете обратиться в компетентное государственное управление по защите данных и свободе информации земли Баден-Вюртемберг в случае жалоб.

    Наличие требования о предоставлении персональных данных (ст. 13 п. 2 e GDPR)
    Собранные данные необходимы для заключения договора купли-продажи. Данные для маркетинговых целей предоставляются добровольно.



    Обязательства по предоставлению информации для поставщиков и поставщиков услуг


    Цель и правовая основа обработки данных (ст.13 п. 1 c GDPR)
    — Покупка и управление вспомогательными услугами для выполнения деловых целей (ст. 6 абз. 1 f GDPR) *
    — Выполнение юридических обязательств (ст. 6 абз. 1 c GDPR)
    — Отправка информационных материалов (ст. 6 абз. 1 b GDPR)

    * Заинтересованность контролера в балансировании интересов (ст. 13 абзац 1 d GDPR)
    — Заявление и защита в судебных спорах
    — Обеспечение ИТ-безопасности и ИТ-операций компании
    — Предупреждение преступлений
    — Меры по управлению бизнесом и дальнейшему развитию услуг и продуктов

    Получатели или категории получателей персональных данных (ст.13 п. 1 e GDPR)
    Государственные органы, банки, аудиторы, поставщики услуг по удалению отходов

    Передача в третьи страны (ст. 13 пункт 1 f GDPR)
    Передача данных в третьи страны происходит в соответствии с нормативными актами о допустимости в соответствии со статьей 45 GDPR, рассматриваемой в сочетании со ст. 46 (5) S. 2 GDPR). GDPR обеспечивает постоянную силу уже принятых решений о целесообразности. Для Соглашения о защите конфиденциальности ЕС-США Комиссия определила соответствие уровня защиты данных (C (2016) 4176 final).

    Срок хранения в соответствии с установленными законом обязательствами по хранению (статья 13, параграф 2, GDPR)
    Удаление персональных данных обычно происходит в течение десяти лет после прекращения деловых отношений, если только в исключительных случаях или в случае отзыва субъектом данных более длительного установленного законом срока хранения не существует.

    Право на доступ, исправление, стирание, ограничение, переносимость данных и возражение (статья 13, параграф 2b GDPR)
    Как субъект данных вы имеете право на доступ, исправление и удаление ваших данных, а также на ограничение обработки, а также право на переносимость данных.Пожалуйста, свяжитесь с ответственным офисом в этой связи, используя предоставленные контактные данные.

    Право на возражение (ст. 21. пункт 1 GDPR)
    Поскольку обработка ваших данных осуществляется для обеспечения законных интересов, вы имеете право в любое время возразить против такой обработки, используя предоставленные нами контактные данные, если причины возникают из вашей особой ситуации, которая противоречит этой обработке данных. Затем мы прекратим эту обработку, если она не служит законным интересам с нашей стороны.

    Право на отзыв согласия (ст. 13 (2) c GDPR)
    Если вы дали свое согласие на обработку ваших данных, вы имеете право отозвать такое согласие в любое время, действительное для будущего. Это не влияет на законность обработки до момента отзыва. Для получения дополнительной информации, пожалуйста, свяжитесь с ответственным офисом по предоставленным контактным данным.


    Право на подачу жалобы (ст.13. п. 2 d GDPR)
    В качестве субъекта данных вы можете обратиться в компетентное государственное управление по защите данных и свободе информации земли Баден-Вюртемберг в случае жалоб.

    Наличие требования о предоставлении персональных данных (ст. 13 п. 2 e GDPR)
    Собранные данные предназначены для заключения и выполнения трудовых отношений.



    Обязательства по предоставлению информации для заявителей


    Цель и правовая основа обработки данных (ст.13 п. 1 c GDPR)
    1. Управление заявками / электронный рекрутинг (раздел 26 (1) Федерального закона Германии о защите данных BDSG-neu)
    2. Включение в пул кандидатов для связи в более поздний срок (ст. 6, параграф 1, GDPR)

    Интересы контролера в балансе интересов (ст. 13, пара. 1 d GDPR)
    Непригодный.

    Получатели или категории получателей персональных данных (статья 13, пункт 1 e GDPR)
    Например: поставщики кадровых услуг, ведомство по заработной плате, поставщики портала заявителей с программной поддержкой, поставщики услуг по удалению отходов

    Перевод в третьи страны (ст.13 п. 1 f GDPR)
    Передача в третью страну не производится.

    Срок хранения в соответствии с установленными законом обязательствами по хранению (статья 13, параграф 2, GDPR)
    Удаление личных данных происходит через шесть месяцев после завершения процесса подачи заявления с учетом статьи 61b (1) Закона о трудовом суде Германии (ArbGG) в сочетании с разделом 15 Общего закона Германии о равном обращении (AGG). . Если кандидат принимается в пул кандидатов, стирание происходит по истечении 2 лет, если подходящая должность не может быть предложена.
    В случае приема на работу необходимые данные будут внесены в личное дело. Информация об удалении соответствующих данных доступна в рамках обязанности информации об обработке данных сотрудников.

    Право на возражение (ст. 21. пункт 1 GDPR)
    Поскольку обработка ваших данных осуществляется для обеспечения законных интересов, вы имеете право в любое время возразить против такой обработки, используя предоставленные нами контактные данные, если причины возникают из вашей особой ситуации, которая противоречит этой обработке данных.