Сегодня в магазине предложили участвовать в дисконтной программе. Условием участия в программе было заполнение анкеты, которую можно посмотреть здесь .
В итоге я получил пример того, как исполнение требований 152-ФЗ привело к ситуации, когда оператор начинает собирать данные, которые для меня являются уже чувствительными: серия и № паспорта, кем и когда выдан, да еще и настоятельно намекают на прописку для обработки информации чуть секретнее, чем моя визитка. Теперь подробнее.
name='more'> Я получил анкету и кроме стандартных ФИО, адресов, телефонов, e-mailи согласия на получения рекламных материалов было требования обязательного заполнения паспортных данных. И так посмотрим, что попало мне в руки. На рисунке приведен раздел в законе именуемый согласием субъекта.
Предполагая, что юристы детского мира не успели оперативно отреагировать на изменения в 152-ФЗ, хотя история с принятием поправок тянулась почти месяц и текст законопроекта был доступен с 30 июня, рассматривать будем с точки зрения старой редакции .
Содержание письменного согласия установлено статьей 9. Полный текст приводить не буду остановимся на том, чего нет в этом согласии - целей обработки оператором. Есть цель передачи третьим лицам, но ЗАЧЕМ ОАО «Детский мир» собирает данные остается не ведомо. Фразы о том, что не сможет делать оператор, до текста согласия к делу не относятся. Немного понятнее становится, если заглянуть на сайт и довольно легко найти там инструкцию по заполнению анкеты :
Данные, которые Вы указываете в анкете, с Вашего согласия будут использоваться для:
- предоставления Вам индивидуального сервиса (специальные предложения);
- информирования об акциях и распродажах в сети магазинов «Детский мир»;
- поздравления Вас и Ваших детей с праздниками;
- возможности узнать Ваше мнение о работе сети магазинов «Детский мир»;
- восстановления карты в случае истечения срока действия, утери или порчи.
Но, во-первых инструкция не является частью согласия, во-вторых в магазине мне ее не дали.
Теперь зададимся вопросом: А зачем магазину вообще письменное согласие? Закон не требует обязательного получения письменного согласия в случае простой обработки ПД. Достаточно простой галочки и росписи в анкете. Однако оператор требует паспортных данных и готов не выдавать клубную карту в случае отказа от их предоставления. Почему? В старой версии причин брать письменное согласие несколько:
- Обработка специальных категорий данных (статья 10) – здесь этого не найти ни при какой бурной фантазии
- Обработка биометрических данных – слава Богу Детский мир пока не догадался фотографировать на дисконтную карту покупателей .
- Если оператор делает эти данные общедоступными. Здесь можно придраться к тому что оператор указа в согласии неограниченных круг третьих лиц, которым передаются данные, но это все мелочи и понятно откуда возникли, в общем, текст составлен не корректно, но то же не наш случай.
- Трансграничная передача. Я конечно параноик, но предположит слив этой "бесценной" информации за рубеж не могу.
- Принятие решений на основании исключительно автоматизированной обработки их персональных данных – тоже явно мимо.
И вопрос подвисает в воздухе: Зачем им МОЙ паспорт? Соотносясь с текстом инструкции, было подозрение, что письменное согласие собирают для осуществления рассылки рекламных материалов, но Закон не требует письменной формы в этом случае. Есть одно логичное объяснение: ПЕРЕСТРАХОВКА. Бремя доказательства получения согласия лежит на операторе, а иной формы железобетонного доказательства, кроме как письменной я не знаю.
И так мы, как я сказал в начале, приходим к интересной ситуации. Оператор, перестраховываясьначинает собирать полное досье на субъекта ПД, просто что бычто-то можно было предъявить контролеру. Сами данные, которые оператору нужны, не соответствуют по своей ценности паспортным данным.
Причин ситуации, очевидно две: во-первыхнет внятного определения формы получения согласия за исключением письменного, во-вторыхоператор, просто не понимает сути происходящих процессов и в следствии этого совершает ошибки, которые по мере роста осознания ценности ПД в стране будут приводить и финансовым потерям. Уже не в первый раз встречаю ситуацию, когда уважаемые юристы совершают ошибки в рекомендациях по этому закону.
Ну и до кучи, что бы пост был завершенным. Чего не хватает в согласии на обработку учитывая требования новой редакцииЗакона:
- Как было сказано выше цель обработки. Можно скопировать из инструкции по заполнению;
- Не сильно кривя душой можно сказать, что перечень обрабатываемых ПД есть;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- общее описание используемых оператором способов обработки персональных данных.
Оценили объем бумажки? Если посмотреть согласие там есть способ информирования через smsи e-amil. Похоже, надо указывать сотовых операторов, с которыми работает компания, а так же провайдера и т.д.
И ЭТО подписывать ради накопительной карты?
Что бы сделал я? Простая анкета, в конце которой слова про обработку ПД и место под слово "согласен" и собственноручная подпись с датой. Готов отстаивать решение.
Есть ли опасность заполнения этой анкеты с такими данными? Нет, ни какой опасности нет, не думаю, что столь уважаемая организация начнет торговать паспортными данными своих клиентов. В данном случае это иллюстрация не оптимальности и не удачных формулировок Закона и необходимости обращаться к профильным специалистам.
Есть ли опасность заполнения этой анкеты с такими данными? Нет, ни какой опасности нет, не думаю, что столь уважаемая организация начнет торговать паспортными данными своих клиентов. В данном случае это иллюстрация не оптимальности и не удачных формулировок Закона и необходимости обращаться к профильным специалистам.
Cуважением к ОАО "Детский мир", любезно выложившему в свободный доступ текст анкеты и инструкцию: