Не являюсь юристом. Мои выводы могут быть ошибочными или не точными, а возможно для кого-то это и вовсе секрет Полишинеля. Здесь местами должны быть мои эмоциональные высказывания, но в итоге решил не засорять ими статью (ну почти). При желании их можно читать «между строк». Возможно, нижеописанное у вас также вызовет какие-то эмоции, тем более вполне оправданные, если я прав.

Нет повести печальнее на свете… В ролях: РКН, банк и Ко. Кому интересно, прошу под кат.

В конце прошлого года банк (вот так интрига какой) ни с того ни с сего решил, что меня очень интересуют услуги его дочерних компаний, предоставляющих различные сервисы. Стала довольно активно через приложение банка на смартфоне приходить реклама. Новый трек Оксимирона (кстати, кто это?), сериал новый, промокод на первую покупку в аптеке и т.д.

Обращение на горячую линию не помогло. Решил узнать у банка, что же это такое, а именно направил запрос о предоставлении мне данных в соответствии с пунктом 7 статьи 14 закона № 152-ФЗ «О персональных данных» (ФЗ № 152), в том числе поинтересоваться, когда это я дал согласие на передачу моих ПД. Публиковать сюда ответ банка не имеет смысла, там все печально. Примерно так.

После получения ответа банка решил обратиться в Роскомнадзор (РКН). В запросе были переданы факты получения мной рекламных уведомлений со скриншотами, копия ответа банка, и собственно просьба принять меры к банку за незаконную передачу моих ПД, которая (по-моему мнению) имела место.

Далее публикую полный ответ РКН и ниже мои выводы из него.

Ответ РКН
Ответ РКН

До выделенного абзаца мне пояснили различные положения законодательства. В выделенном абзаце сказали, что распространение ПД не происходит, т.к. данные не раскрываются, а к ним только предоставляется доступ.

Из этого следует, что при получении у вас согласия на обработку ПД, достаточно указать в нем, что одним из действий, которые будут выполняться организацией с ПД, получившей согласие (оператором) является предоставление доступа. Все, можно продавать доступ к ПД без их раскрытия. Согласие на обработку ПД, разрешенных для распространения в этом случае и вовсе не требуется.

Как это можно использоваться?

Оператор размещает ваши контакты (номер телефона, электронную почту) в базу данных (БД). К этой БД прилагается специальное ПО, позволяющее совершать звонки, отправлять СМС, PUSH-уведомлений, электронные письма. Могут быть фильтры по городу, возрасту, полу, но это уже нюансы.

После этого оператор продает доступ к данной БД. Клиенты, купившие доступ к БД проходят процедуру регистрации (про это обязательное условия также сказано в выделенном абзаце) и начинают заниматься распространением рекламы. При этом сами контакты клиенты не видят. Зато могут оставлять свои контактные данные  (при рассылке) или получать контакты от потенциального клиента (при звонке). При наличии объемной базы доход будет весьма приличным.

Конечно, кто-то может сказать, что это не продажа персональных данных, т.к. имеет место только «предоставление доступа» без разглашения, но меня описанная возможность даже в такой интерпретации не радует.

Вишенкой на торте сюда добавлю то, что после получения этого ответа был еще запрос в РКН с просьбой дать оценку не предоставления банком данных в соответствии 7 статьи 14 закона № 152-ФЗ. РКН перенаправил запрос в региональную прокуратуру. Они его переслали в Москву (юридический адрес банка). Прокуратура Москвы направила запрос (фанфары) в банк с просьбой ответ направить мне. Банк снова прислал мне копию ответа, который я получил от него изначально. Остается только суд, но пока на это банально нет времени.

Будьте внимательны со своими персональными данными.

Комментарии (18)


  1. ifap
    21.05.2022 22:58

    Далее публикую полный ответ РКН

    Далее Вы публикуете ответ Минцифры (аж до замминистра достучались, эвона!), которое некомпетентно рассматривать жалобы на незаконный оборот ПД (что, кстати, само по себе нарушение законодательства об обращениях граждан). Жалуйтесь в Роскомнадзор и параллельно в ФАС на спам.


    1. IB2022 Автор
      21.05.2022 23:06

      Меня тоже шапка письма удивила. Возможно там какая-то реорганизация произошла.
      Запрос направлялся через сайт РКН.
      Письмо о регистрации обращения пришло с адреса rkn.gov.ru с комментарием:
      Данный электронный адрес был указан в качестве обратного адреса в обращении, поступившем в Роскомнадзор.
      Обращению присвоен регистрационный номер ********* от *******.
      Дополнительную информацию о ходе рассмотрения обращения Вы можете получить перейдя по ссылке rkn.gov.ru/treatments/checkstatus


      1. ifap
        21.05.2022 23:36

        Очень странно... недавно от РКН ответ получал - все на их бланке, от самого РКН. Никакой подобной реорганизации у них не было. А подпись - должностного лица Минцифры или РКН?


  1. Godlux
    21.05.2022 22:59

    Если я правильно понял прочитанное, то речь идёт о рекламе в приложении, где регистрируются пользователи. То есть банальная реклама в приложении, да? Я не люблю рекламу, но в целом разработчик наверное имеет право продавать рекламные места в приложении*.

    Что касается ПД, то на мой взгляд в рассмотренном случае сами данные пользователей действительно не раскрываются и, скажем, скачать их, объединить с другими базами и сделать ещё много нехороших вещей не выйдет, так что вроде не так страшно. Но могу ошибаться, возможно я пока не учёл каких-то страшных сценариев.

    Вот, например, api, которое будет по случайной координате на карте отвечать клиенту "Горячо-Холодно" будет считаться за распространение ПД или это "Предоставление Доступа"?

    *З.Ы:
    1. Если используются ПД, то в договоре должно быть указано, что данные собираются не только в целях оказания услуг, но и рекламных (ну или как они там это назовут).
    2. Кроме того, в статье речь шла о банковском приложении, а вот банку (кредитной организации) запрещается заниматься производственной, торговой и страховой деятельностью [ФЗ №395-1 "О банках и банковской деятельности"].


    1. IB2022 Автор
      21.05.2022 23:19

      Реклама была в виде уведомлений от дочерних компаний банка. Там даже их названия были указаны.
      По факту они не видели мои ПД (им был только предоставлен доступ).
      С учетом ответа РКН пользуясь этой лазейкой оператор может продать (предоставить доступ без разглашения) компаниям, которые будут спамить вам звонками по номерам из базы оператора (не видя их), а вы даже знать не будете откуда ноги растут, что запретить давать доступ.
      Мой вариант с приложением просто позволил легко определить источник.


      1. ifap
        21.05.2022 23:40

        Вы все-таки про жалобу в ФАС подумайте, спам - это отдельный состав.


        1. IB2022 Автор
          22.05.2022 08:37

          Мой изначальный запрос в банк носил целью понять, что я разрешал в согласии.
          Они обязаны предоставлять эту информацию в соответствии с пунктом 7 статьи 14 закона № 152.
          Уже за непредоставление этих данных предусмотрена ответственность.
          Я не знаю, в каком виде второй запрос в РКН дошел в прокуратуру Москвы, т.к. мне только приходили уведомления о передаче запроса, но они тоже это нарушение проигнорировали.
          Вообще хотелось бы поэтому вопросу дойти до суда, если найду на это время.
          Через ФАС тоже попробую. Спасибо.

          В части вашего комментария выше: подпись минцифры. Действительно странно.
          Я обратил на это внимание, но не придал значения. Запрос же им как-то попал и ответ именно на него.


          1. ifap
            22.05.2022 11:39

            По административным составам закона о ПД возбуждается РКН, а не прокуратура (а уголовных там ЕМНИП и нет). История все чудесатее и чудесатее...


    1. ifap
      21.05.2022 23:39

      обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;


    1. Savevur
      22.05.2022 12:23

      банку (кредитной организации) запрещается заниматься производственной, торговой и страховой деятельностью

      Драгметаллы (слитки, монеты, счета) - это не деньги, а имущество. Так что банки занимаются торговлей.


      1. yulchurin
        22.05.2022 15:42

        Скорее всего в законах это называется как-то иначе. «Валютные операции» или «финансовые». По слиткам вроде есть отдельные законы для банков


        1. Savevur
          22.05.2022 16:27

          Он написал в общем, но в той статье я нашел исключения:

          Статья 5. Банковские операции и другие сделки кредитной организации

          ...

          Кредитной организации запрещается заниматься производственной, торговой и страховой деятельностью.

          ...

          Указанные ограничения не распространяются также на куплю-продажу драгоценных металлов и монет из драгоценных металлов, указанных в части пятой настоящей статьи.

          Это товар, но банк может им торговать.


  1. Abyss777
    22.05.2022 13:28
    +1

    Америку какую-то открыли, лет 8 уже "законно" продают/дают доступ.

    https://moskva.beeline.ru/business/beeline-prodvizhenie/


    1. IB2022 Автор
      22.05.2022 14:51

      Вот так. Я написал, что возможно это для кого-то не новость.
      Получается спам звонки и рассылки работают вполне законно.
      Это конечно не нормально.


  1. dimskiy
    22.05.2022 14:02

    Сдается мне, что хоть береги ПД, хоть не береги... потом какойнить очередной вьюнош с пламенным взором сольет базу со своего места работы (привет зеленым и желтым), перечеркнув все вашу цифровую гигиену и аккуратность


    1. IB2022 Автор
      22.05.2022 14:55

      Понимаете, получается, что ничего сливать не надо. Мое мнение комментарий выше подтверждает.
      Вы подписываете «правильно составленное» согласие вашему оператору связи на обработку ПД и все. Дальше оператор дает вполне законно третьим лицам спамить на ваши контакты без их разглашения, а вы будете думать, что слили с какой-то базы.

      В этой ситуации мне видится идеальным следующий алгоритм при заключении договора.
      Если согласие, которое по умолчанию кривое и дает делать с ПД все что угодно, нужно сказать, что вы его исправите или напишите новое от руки.
      Отказать в заключении договора вам не имеют права и должны предоставить возможность подписать нормальное согласие.
      Если доходит до отказа, нужно вызывать полицию с целью зафиксировать факт противоправных действий или иным образом фиксировать.


      1. Abyss777
        22.05.2022 15:18

        Операторы, не самая большая проблема, у всех есть опции отказа от подобного рода рассылок, разной степени публичности.

        Банки наверное тоже не особо большая проблема, я в один из своих позвонил и попросил не звонить мне и не писать смс, вот email туда пишите ваше всякое, неплохо реагируют на обратную связь подобного рода.

        Эти две категории неплохо регулируются, и сильно не злоупотребляют.

        А вот всякие сетевые магазины...


        1. IB2022 Автор
          22.05.2022 15:41

          Это при условии, что вы понимаете, что звонок или СМС с рекламой массажного салона сделан с использованием доступа к базе оператора (или банка).
          По ссылке выше пример, как билайн предлагает рассылку рекламы среди абонентов и там возможно все прозрачно и можно отказаться.
          А вот если рекламное агентство купит доступ к базе и будет спамить.
          У меня такое было, например, в течение 2-3 недель рекламные звонки, то стоматология, то салон красоты и прочее. Номера разные. Концов не найдешь.