Роскомнадзор и Банк России в совместном письме разъяснили финансовым организациям требования к получению согласий заемщиков на обработку их персональных данных.
В начале письма говорится, что договор между финансовой организацией и заемщиком является сам по себе основанием для обработки персональных данных. Предлагать заемщику предоставить согласие нужно только в случае, если финансовая организация планирует обрабатывать персональные данные в целях, никак не связанных с исполнением договора, а также если она планирует перепоручить обработку ПД своего клиента третьим лицам.
«Вместе с тем обработка кредитором персональных данных в других целях, а также поручение кредитором обработки персональных данных другому лицу и раскрытие персональных данных третьим лицам <...> возможны только с согласия заемщика», — говорится в документе.
Также там отмечается, что при предоставлении своих персональных данных и соответствующего согласия гражданин должен четко понимать, кому предоставляется согласие и данные, какие цели и задачи преследует финансовая организация, учитывая, что для исполнения условий договора предоставление человеком такого отдельного согласия не требуется.
«Полагаем наилучшей практикой получение отдельного согласия заемщика на обработку его персональных данных каждым оператором, а также на поручение кредитором обработки его персональных данных каждому другому лицу и на передачу его персональных данных каждому третьему лицу посредством оформления отдельного документа применительно к каждому такому оператору/другому лицу/третьему лицу либо посредством предоставления заемщику возможности проставления отдельной подписи применительно к каждому оператору/другому лицу/ третьему лицу (в случае указания в одном документе нескольких операторов/других лиц/третьих лиц)», — отмечено в письме.
Вместе с тем, там же говорится, что недопустимо получать общее согласие заемщика на обработку его ПД «неограниченным (неопределенным) кругом операторов, на поручение обработки его персональных данных неограниченному (неопределенному) кругу других лиц и передачу его персональных данных неограниченному (неопределенному) кругу третьих лиц».
Если же согласие включено в иные документы (например, заявление о предоставлении потребительского кредита (займа), согласие субъекта кредитной истории на получение кредитного отчета), то рекомендуется «обеспечить возможность выражения заемщиком согласия на обработку его персональных данных путем проставления заемщиком отдельной подписи о согласии в таком документе».
Отдельное согласие надо получать и в случаях, когда ПД собираются и обрабатываются в целях продвижения товаров, работ, услуг на рынке, а также при обработке биометрических данных заемщика.
В письме еще отмечается, что необходимо учитывать, что финансовая организация продолжит обработку персональных данных на основании предоставленного согласия даже после окончания действия договора.
Также Роскомнадзор и Банк России дополнительно напоминают, что обработка ПД должна ограничиваться достижением конкретных заранее определенных законных целей. Кроме того в предоставляемом кредитору согласии должен быть установлен срок обработки ПД. «При этом не допускать включения условия об автоматической пролонгации срока действия согласия на обработку персональных данных, или указания на бессрочное действие согласия», — говорится в конце письма.