Политике конфиденциальности не хватило ясности
Какие требования Роскомнадзора игнорируют банки
Больше половины банков не соблюдают требования Роскомнадзора в области персональных данных. К таким выводам пришла консалтинговая компания «Б-152». Речь идет о нарушениях при составлении политики конфиденциальности. Специалисты изучили более 300 таких документов из разных кредитных организаций. Чаще всего в тексте не указываются конкретные цели сбора данных, а каждый десятый банк вообще не имеет политики конфиденциальности. У двух компаний документ датируется 2011 годом.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
Подробнее о типовых нарушениях “Ъ FM” рассказал основатель «Б-152» Максим Лагутин: «Часто не совпадает то, сколько данных фактически собирается и что декларируется в политике конфиденциальности. На самом деле в законе нет прямого указания прописывать категории данных и их субъектов.
В нем сказано, что оператор должен опубликовать политику конфиденциальности на своем сайте. При этом там не написано, какая именно информация в этом документе должна быть обозначена. Есть лишь методические рекомендации Роскомнадзора. Но вместе с тем существует обязанность все эти сведения включать в уведомления ведомства, которые публикуются в реестре операторов. Вот это часто путают с тем, что эти данные надо дублировать в политике конфиденциальности.
На практике я ни разу не сталкивался с тем, чтобы Роскомнадзор штрафовал или выносил предписание компаниям именно за несоответствие методическим рекомендациям.
Штраф можно получить за то, что политика конфиденциальности в принципе отсутствует и за то, что там написаны какие-то не соответствующие закону сведения».
Вместе с тем в ведомстве «Ведомостям» рассказали, что с января по сентябрь 2023-го направили в различные организации 4 тыс. требований привести политику конфиденциальности в порядок. Однако в законе прямо не прописано, как именно нужно оформлять этот документ, заметил руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев:
«Львиная доля таких документов — это выдержки из закона о персональных данных. Вместе с тем часто из политики конфиденциальности нельзя узнать, в каких целях обрабатывается личная информация.
Роскомнадзор как надзорный орган хочет видеть, какие данные будут обрабатываться, в какие сроки, с какой целью и что с ними будет происходить.
Кроме того, большое количество банков совершенно игнорируют cookie-файлы, они не прописаны как персональные данные. Вместе с тем и надзорный орган, и суды их таковыми признает.
Если же говорить про политику конфиденциальности, то, как правило, ее текст просто огромный. В среднем на его чтение уходит 14 минут. А есть документы вообще на 180 тыс. знаков, это практически книга. Естественно, человек не будет это читать.
В свою очередь, компании действительно могут в таком тексте спрятать информацию о цели обработки персональных данных. Получается так, что если пользователь с чем-то не согласен, то он сам виноват. Фактически главный инструмент, призванный показать людям, как обрабатывается их личная информация, для этих целей не используется».
За девять месяцев Роскомнадзор составил около 100 протоколов о нарушении из-за отсутствия политики конфиденциальности. Максимальный штраф за это для компании составляет 60 тыс. руб.
С нами все ясно — Telegram-канал "Ъ FM".