Большинство российских банков не соблюдают ключевые требования Федерального закона № 152-ФЗ о персональных данных в своих пользовательских соглашениях, об этом сообщили «Ведомости» со ссылкой на исследование компании «Б-152».
В частности, 162 из 324 работающих в России банков, не указывают конкретные цели сбора и обработки персональных данных клиентов, что стало обязательным с 1 сентября 2022 года. Цели обработки могут быть разными, в том числе информирование об услугах банка, принятие решений о кредитовании, выдача банковских гарантий, организация внутренних аудитов и т.д. Кроме того, 10% банков вообще не имеют политики конфиденциальности на своем сайте, а у двух банков этот документ датируется 2011 годом.
Помимо того, теперь по закону политика обработки персональных данных должна быть размещена на всех страницах сайта, где происходит сбор данных. При этом cookie-файлы и иные идентификаторы пользователя также относятся к ПД, так как позволяют теоретически определить конкретного субъекта и выделить его среди других лиц. Согласно исследованию, только 6,5% политик банков содержали соответствующую информацию об обработке cookie-файлов.
Политики должны обновляться в соответствии с изменениями в законодательстве и в случае изменений в процессах обработки ПД в компаниях, уточнили в «Б-152». При этом РКН наделен полномочиями проведения проверки, если будут найдены три несоответствия политики обработки ПД компании-оператора требованиям регулятора, добавили в компании.
По информации Роскомнадзора, за последние девять месяцев ведомство направило 4000 требований о необходимости приведения политики по обработке персональных данных в соответствие с законом. Большинство из них были выполнены, но около 100 случаев административных правонарушений все же были зафиксированы.
Политика конфиденциальности должна быть составлена таким образом, чтобы клиент мог без проблем в ней разобраться: какие именно данные потребовались организации (в данном случае — банку), для чего организация их собирает, каким образом собирает, на каких правовых основаниях и т.д. Но на практике большинство политик были слишком объемными, сложными и содержали прямые цитаты законодательства, что затрудняет понимание сути документа. Например, тексты некоторых документов по количеству знаков соответствовали объему книги – более 180 000 знаков.
В РКН подчеркнули, что исследование подтверждает необходимость дальнейшего повышения защитной роли государства, установления более строгих требований к операторам, проверки целесообразности сбора и обработки данных, соответствия обработки заявленной деятельности.
Источник: SecurityLab