Для чего брокеру ваше согласие на обработку персональных данных?

И что брокер делает с ними?
Екатерина Хайдукова
Специалист Управления внутреннего контроля «Открытие Брокер» 

Период конца 2017 — начала 2018 годов был богат на громкие и не очень скандалы, касающиеся распространения персональных данных. Самым крупным, пожалуй, можно считать случай с регулярно попадающим в заголовки новостей сервисом такси, или сервисом персональных перевозок, Uber. О краже данных миллионов клиентов объявила сама компания, правда с момента инцидента прошло более года. Одновременно с опубликованием заявления был уволен глава службы безопасности. В данной ситуации организация стала жертвой злоумышленников (что, однако, не снимает с неё ответственности), хотя в части случаев персональные данные становятся известны третьим лицам в результате технических уязвимостей или несовершенства внутренней инфраструктуры лица, которому эти данные были переданы.

Чтобы определить, как и зачем организация получила ваши персональные данные, и для чего они могут быть использованы, давайте разберемся с базовыми понятиями.

Базовые понятия

Итак, согласно букве закона (а именно 152-ФЗ «О персональных данных») персональными данными признается любая информация, относящаяся к прямо или косвенно к определённому или определяемому физическому лицу (данное физическое лицо является субъектом персональных данных). То есть любая информация о физическом лице, которую клиент указывает в анкете, является персональными данными.

Брокер, в свою очередь, является оператором персональных данных, т.е. лицом, самостоятельно или совместно с другими лицами организующим и/или осуществляющим обработку персональных данных (сокращенно ПнД). При этом каждый оператор обязан установить цели обработки ПнД, состав персональных данных, подлежащих обработке, а также действия, совершаемые с полученными ПнД (исключительно в соответствии с указанными целями).

Непосредственно в понятие обработки персональных данных включается не только использование и передача, но в принципе любое действие, включая сбор, запись, систематизацию, хранение, удаление или уточнение (но не ограничиваясь ими).

Если иное не предусматривается законодательством (например, в случае наличия определения суда либо во исполнение иного федерального закона), оператор может осуществлять указанные выше действия только при наличии согласия на обработку персональных данных со стороны субъекта.

Как указывалось выше, передача данных иному оператору возможна, но, опять же, только с согласия субъекта персональных данных. При этом поручение оператора должно содержать конкретные цели обработки и перечень действий с ПнД. Таким образом, данные физического лица не могут быть переданы третьим лицам в отсутствие согласия либо для неопределённых целей. Даже справочники или адресные книги могут быть составлены только при наличии согласия. 

Хотя уже сейчас рабочей группой по нормативному регулированию цифровой экономики обсуждается возможность передачи данных на обработку иным организациям без предварительного получения согласия человека.

Рис. 1. Подтверждение согласия на обработку персональных данных на сайте open-broker.ru
Персональные данные, передаваемые финансовым организациям

В случае с компанией «Открытие Брокер» согласие на обработку персональных данных не является отдельным самостоятельным документом, а неразрывно связано с анкетой клиента — физического лица. Без такого согласия на обработку не может быть заключен договор (с момента оформления документов начинается хранение и обработка), поскольку при осуществлении брокерских услуг требуется непрерывное хранение и обработка ваших персональных данных. Исполнение поручения клиента также требует обработки ПнД.

Анкета клиента и объём запрашиваемых данных на первый взгляд могут показаться чрезмерными. Однако перечень информации, которую необходимо получить и обрабатывать брокеру, определяется, в том числе, нормами специального законодательства: налогового; рынка ценных бумаг; законодательства в сфере противодействия отмывания доходов, полученных преступных путем и финансирования терроризма. В случае несоблюдения требований законодательства профучастнику грозят административные последствия, а в некоторых случаях — и риск приостановления или даже отзыва лицензии. По этой же причине брокер просит клиентов регулярно обновлять предоставленные ранее данные.

Законодательством также предусмотрена обязанность оператора предпринимать всевозможные организационные, правовые и технические меры для защиты персон, хотя сами меры разрабатывает оператор.

Вместо заключения

С 1 июля стало возможным удаленное открытие банковского счёта с использованием биометрических данных, что значительно упростит распространенную и необходимую услугу. Стоит отметить, что биометрические данные также являются персональными данными и могут быть получены и обработаны только с согласия субъекта и исключительно в целях, указанных оператором.