Почти 55% российских банков не учитывают требований закона «О персональных данных» в пользовательских соглашениях. Речь идет в первую очередь об указании конкретных целей сбора и обработки данных, которые банки должны прописывать с 1 сентября 2022 года, пишут «Ведомости» со ссылкой на исследование консалтера по защите персональных данных «Б-152», которая проанализировала политики конфиденциальности 324 банков. При этом около 10% банков вообще не имеют политики конфиденциальности на своем сайте, а у двух банков этот документ датируется 2011 годом.

Законодательство обязывает, чтобы политика в отношении персональных данных была размещена на всех страницах сайта, где осуществляется сбор таких данных, отмечает представитель «Б-152». При этом cookie-файлы и другие идентификаторы пользователя также относятся к понятию «персональные данные», так как позволяют теоретически определить конкретного субъекта и выделить его среди других лиц. В исследовании говорится, что только 6,5% политик банков содержали соответствующую информацию об обработке cookie-файлов.

Тексты некоторых политик конфиденциальности составляют более 180 тысяч знаков и содержат много непонятных терминов, из-за чего клиенты банка не могут разобраться, каким именно образом их персональные данные собираются и обрабатываются. В каждой анализируемой политике «Б-152» выявила прямые цитаты норм законодательства в области персональных данных, в некоторых случаях они могли составлять 90% объема текста. 

За январь-сентябрь 2023 года Роскомнадзор (РКН) направил различным организациям 4 тысячи требований о необходимости привести политику по обработке персональных данных в соответствие с положениями закона. Большинство из них были исполнены, однако ведомству все равно пришлось выписать около 100 протоколов об административных правонарушениях. «Административная ответственность наступает лишь в случае неопубликования политики (ч. 3 ст. 13.11 КоАП РФ). Поэтому часто операторы без должного внимания к требованиям закона составляют подобные документы», – отметил представитель РКН.

Цели обработки, которые оператор персональных данных, в том числе любой банк, должен указывать в пользовательском соглашении, могут быть разными, объясняет директор департамента системной интеграции Bi.Zone Антон Голубков, например, информирование об услугах банка, принятие решений о кредитовании, предоставление сведений о залогах, выдача банковских гарантий, организация и проведение внутренних аудитов, осуществление внутреннего контроля и так далее.