Согласие на обработку персональных данных почта банк как сделать

Добавил пользователь Morpheus
Обновлено: 04.10.2024

Персональные банковские данные клиента: зачем они нужны и можно ли запретить их использовать

Вы обращаетесь в финансовую организацию, чтобы завести кредитку, открыть депозит или подать заявку на ипотеку, но сотрудники обязательно попросят подписать согласие на обработку персональных данных в банке. Заполняя бланк невольно приходят мысли: зачем нужен подобный документ и не попадет ли информация в руки мошенников. Расскажем, как устроена система хранения и обработки личных данных и что будет, если не подписывать такую бумагу.

Что такое персональные данные, зачем они банку

27 июля 2006 года в России вступил в силу Закон о персональных данных. Его цель — обеспечить каждому гражданину право на неприкосновенность личной жизни. Нормативный документ регламентирует, как именно нужно хранить банковские данные клиента. За нарушение правил работы предусмотрен штраф — до 18 млн рублей.

В перечень персональных данных клиента входят :

  • ФИО человека;
  • место и дата рождения;
  • адрес постоянной или временной прописки;
  • фотография;
  • телефон и электронная почта;
  • сведения о членах семьи;
  • информация о зарплате;
  • материалы о судимости или ее отсутствии;
  • серии и номера личных документов;
  • биометрические данные (отпечатки пальцев, рисунок сетчатки глаза, запись звука голоса).

Финансовой организации персональные данные клиентов необходимы для получения представления о гражданине. Оценить, насколько он благонадежен, подходит ли для сотрудничества.

Вы решили немного схитрить и указать неверный телефон или электронную почту, чтобы избежать рекламных рассылок? Банк узнает об обмане и уровень доверия снизится. Это может негативно повлиять на дальнейшую работу с вами.

Как банк хранит и обрабатывает сведения

Все данные о клиенте поступают в единую базу. Передавать их третьим лицам без согласия человека запрещена законом. Под обработкой информации понимают любые действия, которые совершают сотрудники финансовой организации: сбор, запись, изменение, анализ. Операторы, имеющие доступ к таким сведениям, обязаны сохранять секретность. Но в Роскомнадзор регулярно поступают жалобы о нарушении конфиденциальности. Недобросовестные сотрудники передают или продают банковские данные клиента коллекторским агентствам или другим заинтересованным лицам. За подобные правонарушения предусмотрено наказание — до 20 тыс. рублей для должностных лиц.

В то же время неразглашение персональных данных клиентов не касается ситуаций, когда сведения нужны правоохранительным органам. Такое бывает, если гражданина подозревают в коррупции, отмывании денег или других преступлениях, связанных с незаконным обогащением.

Можно ли не подписывать согласие на обработку данных

Закон гласит: человек добровольно выбирает, разрешать кредитной компании использовать сведения о нем или нет. Но как это выглядит на практике? Все зависит от внутренней политики банка. Финансовая организация вправе отказать клиенту в кредите, если он не подпишет согласие. А гражданин так и не узнает реальной причины отклонения заявки: банк её не озвучивает.

Вы уже давно пользуетесь услугами учреждения, и сейчас захотели отозвать согласие на обработку своих данных? Напишите заявление на имя руководства банка. Его рассмотрят в течение 30 дней. На почту придет письмо, что сведения удалили из базы. Это обязаны делать по первому требованию частного лица.

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.


Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.


Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.


Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).


Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie , данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.


Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.


Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

    наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.


Подать уведомление , чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

    обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.


Такой вопрос часто возникает в связи с просьбой работника платить зарплату на банковскую карту, при смене зарплатного банка или при получении от банка запроса на сведения о работнике (например, если работник является заемщиком этого банка). Или не возникает, из-за чего работодатель допускает нарушения.

Не нарушая закон (от 27.07.2006 № 152-ФЗ), сведения в банк можно предоставить, только получив от работника согласие на передачу его персональных данных.

Исключением является ситуация, когда перечисление зарплаты на карты предусмотрено ЛНА работодателя и сотрудника ознакомили с ними при приеме на работу. В этом случае получать отдельное согласие работодатель не обязан, так как действует в интересах работника в рамках заключенного с ним трудового договора.

Если же у работодателя приняты иные способы оплаты труда или они не оговорены, а работник просить платить зарплату через банк, получить его согласие на передачу персональных данных банку нужно в обязательном порядке. В согласии лучше не указывать конкретный банк с наименованием. Иначе при последующей смене кредитной организации согласие придется получать повторно. Ведь, согласно п. 1 ст. 9 закона № 152-ФЗ, согласие на обработку персональных данных должно быть конкретным.

Это значит, что ответив на запрос банка при отсутствии согласия работника, работодатель и его ответственный за работу с персданными сотрудник могут попасть под санкции.

Кто и как проверяет соблюдение работодателями требований закона о персональных данных, узнайте из нашей статьи.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок

Ульяна Жаркова

Ульяна Жаркова

Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.

Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают про порядок работы с персональными данными, объясняют, в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.

В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.

В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.

Когда необходимо собирать согласия на обработку персональных данных

Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.

Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.

Кира Лукашина

Кира Лукашина

Мы выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:

  1. Компания собирает на сайте cookie-файлы.
  2. На сайте компании клиент может оставить контактную информацию.
  3. Компания собирает данные офлайн.

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.

Согласие на обработку персональных данных

Плашка с запросом согласия на сайте Mindbox

Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.

При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.

Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.

Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом запишет.

Способы сбора согласий на обработку персональных данных

Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.

Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.

В таблице — популярные способы сбора согласий.

Рассмотрим каждый из способов.

Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.

Форма сбора персональных данных с согласием на обработку

Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных

Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.

Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.

Код подтверждения по СМС — double-opt-in

Обычно double opt-in используют в двух каналах: e-mail и СМС

Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.

Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.

Что должно быть в согласии на обработку персональных данных

Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.

Вот примерный перечень того, что нужно указать в согласии:

Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.

Топ-5 ошибок компаний при сборе персональных данных

Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.

Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.

В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.

Форма сбора данных

Согласие клиента нужно получить в явной форме — в примере нет ни галочки, ни предупреждения, ни прямого вопроса

Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.

Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.

Галочка в согласии на обработку персональных данных

При оформлении заказа нельзя принуждать клиента к подписке на рассылки или участию в программе лояльности

В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.

Cогласие на обработку персональных данных: указываем всех, кому передаются данные

Необходимо перечислить все компании, которым вы планируете передавать персональные данные клиентов

В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.

В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.

Как накажут бизнес, который не соблюдает правила обработки персональных данных

Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.

Размер штрафа зависит от вида нарушения.

Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.

Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.

Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.

Главное

Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.

Читайте также: