#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Договор ГазпромбанкаПолучил письмо на tsarev()bk.ru с интересным наблюдением. Автор проанализировал типовой договор Газпромбанка на предмет соответствия закону о персональных данных. В общем-то, ситуация описанная в письме, очень распространенная, бывают и «более плохие» кредитные учреждения.

Не припомню, чтобы где-то обсуждали договора с банками, поэтому, с согласия автора, переношу обсуждение из частной переписки на блог.

Копирую основную часть письма без изменений:

Один близкий мне человек в данный момент получает международную дебетную карту Газпромбанка. Для ее получения необходимо написать заявление. В данном заявлении присутствуют обычные пункты для заполнения, на всякий случай перечислю их ниже.

В заявлении на получение международной дебетной карты Газпромбанк (Филиал в г.Томске) заполняются: 1. ФИО 2. Дата рождения 3. ИНН 4. Место рождения 5. Гражданство 6. Адрес регистрации 7. Адрес проживания 8. Домашний телефон 9. Другие телефоны и контактные лица 10. Серия и номер паспорта, кем и когда выдан 11. Наименование места работы 12. Местонахождение организации 13. Должность 14. Служебный телефон

Заинтересовали пункты, идущие ниже и набранные мелким шрифтом На данном примере можно увидеть, что банки уже пытаются выполнять требования законодательства, но как и ожидалось, делают это довольно специфично.

1. Достоверность содержащихся в настоящем Заявлении сведений подтверждаю. Согласен (-на) с тем, что «Газпромбанк» (Открытое акционерное общество) (далее - Банк) или его представители имеют право проверить содержащиеся в настоящем Заявлении сведения.

Пункт понятен.

2. В соответствии с Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» я даю согласие на проведение Банком обработки (с использованием / без использования средств автоматизации) моих персональных данных (указанных в настоящем Заявлении и предоставленных в Банк позже) в целях заключения и исполнения настоящего договора, в том числе на передачу моих персональных данных, в сервисные службы международных платежных систем. Я осведомлен и согласен с тем, что в течение действия настоящего договора Банк вправе без моего согласия осуществлять обработку моих персональных данных, и не обязан прекращать обработку в случае отзыва мной данного согласия.

Немного странно то, что в самом начале написано о согласии на обработку, затем же «…Банк вправе без моего согласия осуществлять обработку моих персональных данных…», но не это главное, больше всего удивляют слова «…и не обязан прекращать обработку в случае отзыва мной данного согласия». Не является ли это противоречием закона? По моему мнению, является.

3. Согласен (-на) с тем, что Банк может использовать сведения, содержащиеся в настоящем Заявлении, для направления мне сообщений (в целях использования настоящего договора) или предоставления мне рекламной информации (в целях продвижения Банком своих банковских услуг) средствами связи.

Первая часть вполне нормальна, но вот получение рекламной информацией как-то совершенно не устраивает. Почему-то даже не предусмотрен отказ от данной услуги.

4. Согласен с тем, что Банк не несет ответственности за выполнение обязательств третьими лицами по предоставлению услуг, сервисов, специальных предложений (в том числе скидок) по картам, держателем которых я являюсь.

Пункт понятен. 5. В случаях, если карта дает мне право на участие в акциях, проводимых Банком, / совместных программах Банка и третьих лиц, даю свое согласие на участие в акциях / программах, а также поручаю Банку передавать мои персональные данные, указанные в настоящем заявлении, вышеуказанным третьим лицам.

Вполне нормально, если есть желание участвовать в акциях.

6. С «Условиями использования международных банковских карт «Газпромбанк» (Открытое акционерное общество) и Тарифами по обслуживанию международных банковских карт «Газпромбанк» (Открытое акционерное общество), указанных в настоящем заявлении, ознакомлен (-а) и согласен (-на).

7. Я даю согласие Банку на хранение моих персональных данных после расторжения настоящего договора (с использованием / без использования средств автоматизации) в установленном Банком порядке до момента отзыва мной данного согласия в письменной форме, утвержденной Банком.

Интересный пункт.

Банк оставляет за собой право обрабатывать ПД, после расторжения договора, таким образом, они уходят от пункта закона, обязывающего уничтожать ПД после достижения цели их обработки. Тех, кто прочитает данные строки заявления, скорее всего, будет не так и много, а тех же кто будет отзывать согласие скорее всего единицы.

Самое же интересное и удивительное, что в пункте 2 написано «…, и не обязан прекращать обработку в случае отзыва мной данного согласия». Очень интересно, не правда ли?

Прочитав документ, совершенно отпадает желание подписывать его. Другой вопрос, а что же в данной ситуации делать, как поступать? Не получать зарплатную карту?

С уважением, Соболев Артем

Замечательное письмо, спасибо автору.

Пойдем по порядку:

Ответы на персональные данныеПункт 2. В соответствии с Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» я даю согласие на проведение Банком обработки (с использованием / без использования средств автоматизации) моих персональных данных (указанных в настоящем Заявлении и предоставленных в Банк позже) в целях заключения и исполнения настоящего договора, в том числе на передачу моих персональных данных, в сервисные службы международных платежных систем. Я осведомлен и согласен с тем, что в течение действия настоящего договора Банк вправе без моего согласия осуществлять обработку моих персональных данных, и не обязан прекращать обработку в случае отзыва мной данного согласия.

Проблема отзыва согласия на право обработки стоит для банков особо остро, связано это с требованиями Центрального Банка, по которым банк обязан хранить данные о клиенте даже после прекращения отношений с ним не менее пяти лет. По требованию правоохранительных органов, документы (в том числе, содержащие персональные данные) должны быть им предоставлены в необходимом и достаточном для судебного преследования объеме.

Тут вопрос в другом – а оправдано ли использование формулировки «…и не обязан прекращать обработку в случае отзыва мной данного согласия»? И как на это отреагирует суд?

Пункт 3. Согласен (-на) с тем, что Банк может использовать сведения, содержащиеся в настоящем Заявлении, для направления мне сообщений (в целях использования настоящего договора) или предоставления мне рекламной информации (в целях продвижения Банком своих банковских услуг) средствами связи.

Банк, конечно, не имеет права навязывать свою рекламу, и запретить им это делать можно, хотя бы при первом телефонном звонке, когда вам начинают рассказывать про какие-нибудь «акции». Лично я своего интернет-провайдера отучил это делать, просто процитировав несколько положений из ФЗ №152 О персональных данных.

Пункт 5. В случаях, если карта дает мне право на участие в акциях, проводимых Банком, / совместных программах Банка и третьих лиц, даю свое согласие на участие в акциях / программах, а также поручаю Банку передавать мои персональные данные, указанные в настоящем заявлении, вышеуказанным третьим лицам.

Как и в Пункте 5 можно запрещать это делать.

Пункт 7. Я даю согласие Банку на хранение моих персональных данных после  расторжения настоящего договора (с использованием / без использования  средств автоматизации) в установленном Банком порядке до момента отзыва  мной данного согласия в письменной форме, утвержденной Банком.

Здесь такая же ситуация, как и в Пункте 2.

Автор статьи: Царев Евгений

11 комментариев

    «…и не обязан прекращать обработку в случае отзыва мной данного согласия».

    Достаточно странная и спорная формулировка. Тем более, что она противоречит закону и я не сомневаюсь, что суд будет на стороне субъекта при возникновении инцидентов. Также не стоит забывать про закон о защите прав потребителя. Даже если потребитель подписал некий договор с юр.лицом, он может его оспорить в суде ссылаясь на то, что у него нет соответствующего юридического образования и в большинстве случаев суд будет на стороне потребителя.

    Все эти формулировки в заявлении конечно «замечательные», но я не увидел ни одного основания на те действия, которые банк собирается осуществлять с ПДн якобы с согласия субъекта…

    Посмотрите Одиннадцатый арбитражный апелляционный суд. Постановление апелляционной инстанции от 21.11.2008 N 11АП-7689/2008

    и Арбитражный суд Республики Дагестан. Решение суда первой инстанции от 21.07.2009 N А15-950/09

    swan:

    Итак коллеги, то о чем долго говорили появилось…
    http://www.wikisec.ru — энциклопедия которая посвящается исключительно вопросам информационной безопасности.
    Предлагаю участвовать в ее пополнении Вашим опытом и знаниями.

    @swan: этот рессурс как чистый лист. Кто модерирует поступающую информацию?

    swan:

    2 Игорь — модерируют пользователи в этом суть wiki когда сами пользователи и правят уточняют и т.п. Да, пока данных не много, но со временем будет наполняться — примите участие…

    Shima:

    ДоговорЫЫЫЫЫЫЫ, а не ДоговорААААААААА

    Shima: Откройте Русский орфографический словарь РАН, и посмотрите.

    19th:

    @Евгений Царев: открываем.

    договор, -а, мн. -ы, -ов и (разг.) -а, -ов
    Русский орфографический словарь Российской академии наук.
    Отв. ред. В. В. Лопатин.
    © Электронная версия, «ГРАМОТА.РУ», 2001–2007.

    «Договора» во множественном числе как показано выше — разговорная форма, а не нормативная.

    Там законы могут и не иметь силу, я насколько имел опыт общения с охранными структурами, там совсем другая специфика. Не нарушится или нет закон, а просочится информация или нет)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.