Заемщик вправе решать, кому он открывает доступ к персональным данным

Кроме того, следует запрашивать отдельное согласие гражданина на обработку биометрических данных, а также если банк или другой кредитор собираются использовать полученные от клиента персональные данные для продвижения товаров, работ и услуг. Не рекомендуется предлагать заемщику соглашаться с бессрочным действием или автоматической пролонгацией разрешения, а устанавливаемый срок должен отвечать конкретной цели получения персональных данных.

Сейчас некоторые кредиторы при выдаче потребительских кредитов и займов применяют максимально широкие формулировки: заемщик одной подписью соглашается на передачу данных о себе не только кредитору, но и другим лицам, в ряде случаев — неограниченному кругу лиц. В результате эта информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после выплаты долга.

Текст документа: 

Центральный банк Российской Федерации № ИН-06-59/57

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций № 08ЛА-48666

29 июля 2021 года

Кредитным организациям

Микрофинансовым организациям

Кредитным потребительским кооперативам

Сельскохозяйственным кредитным потребительским кооперативам

Ломбардам

Информационное письмо о согласии заемщиков на обработку их персональных данных

Банк России и Роскомнадзор по результатам анализа согласий на обработку персональных данных, предоставляемых заемщиками кредиторам при заключении договоров потребительского кредита (займа), предлагают кредиторам в целях обеспечения соблюдения прав и законных интересов заемщиков при взаимодействии с ними учитывать следующее.

В силу пункта 5 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) персональные данные могут обрабатываться без получения согласия на обработку персональных данных, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Вместе с тем обработка кредитором персональных данных в других целях, а также поручение кредитором обработки персональных данных другому лицу и раскрытие персональных данных третьим лицам в силу положений части 2 статьи 5, части 3 статьи 6 и статьи 7 Федерального закона № 152-ФЗ возможны только с согласия заемщика.

В соответствии с частью 1 статьи 9 Федерального закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе; согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ, возлагается на оператора (часть 3 статьи 9 Федерального закона № 152-ФЗ).

Учитывая приведенные требования Федерального закона № 152-ФЗ, полагаем наилучшей практикой получение отдельного согласия заемщика на обработку его персональных данных каждым оператором, а также на поручение кредитором обработки его персональных данных каждому другому лицу и на передачу его персональных данных каждому третьему лицу посредством оформления отдельного документа применительно к каждому такому оператору / другому лицу / третьему лицу либо посредством предоставления заемщику возможности проставления отдельной подписи применительно к каждому оператору / другому лицу / третьему лицу (в случае указания в одном документе нескольких операторов / других лиц / третьих лиц).

При этом, учитывая предъявляемое частью 1 статьи 9 Федерального закона № 152-ФЗ к согласию на обработку персональных данных требование о его конкретности, а также с учетом части 4 статьи 9 Федерального закона № 152-ФЗ, отмечаем недопустимость получения общего согласия заемщика на обработку его персональных данных неограниченным (неопределенным) кругом операторов, на поручение обработки его персональных данных неограниченному (неопределенному) кругу других лиц и передачу его персональных данных неограниченному (неопределенному) кругу третьих лиц.

Если согласие заемщика на обработку его персональных данных включено в иные документы (например, заявление о предоставлении потребительского кредита (займа), согласие субъекта кредитной истории на получение кредитного отчета), то рекомендуем кредиторам обеспечить возможность выражения заемщиком согласия на обработку его персональных данных путем проставления заемщиком отдельной подписи о согласии в таком документе.

В случае получения при заключении договора потребительского кредита (займа) согласия заемщика на обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке и согласия заемщика на обработку его биометрических персональных данных, учитывая особые характер и цель обработки таких данных, а также требования об информативности и сознательности согласия на обработку персональных данных, определенные частью 1 статьи 9, статьями 11 и 15 Федерального закона № 152-ФЗ, рекомендуем кредиторам также получать отдельные согласия на обработку персональных данных.

Дополнительно, принимая во внимание, что обработка персональных данных должна ограничиваться достижением конкретных заранее определенных законных целей и не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (часть 2 статьи 5 Федерального закона № 152-ФЗ), рекомендуем кредиторам в получаемых от заемщиков согласиях на обработку персональных данных устанавливать срок обработки персональных данных посредством указания определенных даты или периода времени, отвечающих целям обработки персональных данных, и при этом не допускать включения условия об автоматической пролонгации срока действия согласия на обработку персональных данных, или указания на бессрочное действие согласия.

Настоящее информационное письмо подлежит опубликованию на официальных сайтах Банка России и Роскомнадзора в информационно-телекоммуникационной сети «Интернет».

Первый заместитель Председателя Банка России С.А. Швецов

Руководитель Роскомнадзора А.Ю. Липов