Свыше половины российских банков не учитывают требований федерального закона «О персональных данных» в пользовательских соглашениях — прежде всего об указании конкретных целей сбора и обработки данных, которые они должны были прописывать с 1 сентября прошлого года. А каждый десятый банк вообще не имеет на своем сайте политики конфиденциальности. Как пишут «Ведомости», к такому выводу пришли аналитики профильной консалтинговой компании «Б-152», проанализировав политики конфиденциальности всех действующих в стране 324 банков, включая крупнейшие.
Издание направило запросы в Сбербанк, ВТБ, Газпромбанк, Альфа-банк, Россельхозбанк, Московский кредитный банк, «ФК Открытие», Совкомбанк, Райффайзенбанк, Росбанк, Тинькофф банк, Юникредит банк, Почта банк, «Уралсиб», Хоум банк, банк «Русский стандарт» и МТС-банк, а также в ЦБ. На момент публикации материала издание не получило ни одного ответа.
Цели обработки, которые любой банк должен указывать в пользовательском соглашении, могут быть разными, в том числе информирование об услугах банка, принятие решений о кредитовании, выдача банковских гарантий, организация внутренних аудитов и т.д.
По закону политика в отношении персональных данных должна быть размещена на всех страницах сайта, где эти данные собираются. При этом cookie-файлы и другие идентификаторы пользователя тоже относятся к персональным данным, поскольку позволяют теоретически определить конкретного субъекта и выделить его среди прочих лиц. Но лишь 6,5% банков указали в своих политиках соответствующую информацию об обработке cookie-файлов, утверждают авторы исследования.
Требования закона «О персональных данных» обязаны выполнять все операторы персональных данных, независимо от отрасли.
Политика конфиденциальности должна быть составлена таким образом, чтобы клиент мог без проблем в ней разобраться: какие именно данные потребовались организации (в данном случае — банку), для чего организация их собирает, каким образом собирает, на каких правовых основаниях и т.д. Но на практике организации, включая банки, зачастую составляют объемные, слишком сложные для простого человека и фактически нечитаемые тексты, а также требуют согласиться на обработку избыточных данных, отмечает издание.
Объем текстов некоторых политик конфиденциальности превышает 180 тысяч знаков и содержит много непонятных терминов, из-за чего клиенты не могут понять, каким именно образом их данные собираются и обрабатываются. В каждой анализируемой политике аналитики выявили прямые цитаты норм законодательства в области персональных данных. В некоторых случаях они достигали 90% объема текста.
Как отметил неназванный представитель Роскомнадзора в разговоре с «Ведомостями», обычному человеку зачастую очень сложно самостоятельно проконтролировать постоянно растущее количество случаев обработки его персональных данных, во многом из-за постоянно усложняющихся технологий, в том числе с применением искусственного интеллекта.