Защита персональных данных в банках. Неужели банки перестанут запрашивать у работодателя информацию о работниках?
Наверное, каждый, кто когда–то брал кредит или является HR-ом, сталкивался с такой ситуацией, когда представители банка звонят работодателю и запрашивают информацию о сотруднике организации.
При этом чаще всего на практике работодатель не соблюдает требования 152-федерального закона о защите персональных данных и разглашает сведения о работнике по телефону. Проверить получателя этой информации работодатель не может и часто письменного согласия сотрудника на такое использование его данных у него нет.
Кто в данной ситуации больше нарушает закон: тот, кто спрашивает или тот, кто отвечает?
В этой ситуации все зависит от того, какие документы от самого субъекта персональных данных есть у одного и другого. Бывает ситуация, когда ни тот, кто спрашивает ни тот, кто отвечает закон не нарушают, а бывает, что нарушают оба.
Давайте с этим разберемся.
Итак, мы – банк. К нам пришел человек и для целей получения кредита предоставил весь необходимый пакет документов, включая справку о заработке, заверенную подписями ответственных лиц работодателя и печатью, а также другие необходимые оригиналы и копии документов.
Но, несмотря на предоставленный оригинал справки о заработке, мы хотим проверить правда ли заявитель на кредит работает в этой организации и реальный ли доход указан в предоставленной справке. Справедливости ради надо сказать, что в последнее время банки все-таки чаще всего запрашивают только информацию о том, работает ли данный человек в указанной организации. При том мы, как банк, не отправляем данный запрос письменно, с нашими печатями и указанием наших идентификационных сведений и не указываем письменно цели нашего запроса, а для ускорения процедуры, просто звоним по телефону, указанному в документах, которые предоставил потенциальный клиент банка.
Что меня всегда удивляло в это процедуре, так это некая нелогичность этапов подтверждения достоверности предоставленных данных.
То есть, документ с печатями и подписями нас не совсем устраивает, а вот ответ по телефону, указанному работником, почему-то устроит больше.
А что за телефон указал работник? Правда ли этот телефон принадлежит данной организации? Кто на другом конце провода мне ответит: генеральный директор? Главный бухгалтер? Менеджер по персоналу? Как я собираюсь идентифицировать, что это именно данные должностные лица? А может секретарь, который работает здесь неделю и пока никого не знает? Или уборщица? Или охранник? А может в принципе кто-то кого работник сам попросил соответственным образом ответить на запрос банка? А если телефон, указанный работником не будет отвечать, что это будет значить для банка? Будет ли он проверять, может человек ошибся в одной цифре? Может перебои у телефонной компании? Может именно этот телефон компания больше не использует, а работник не знал об этом?
Но наша задача разобраться в том, законны ли действия сторон: банка и работодателя в данном случае в принципе?
Если у банка есть письменное согласие субъекта на проверку его информации и получение сведений у его работодателя, то действия банка законны.
А как насчет работодателя?
Работодатель может законно представлять сведения о работнике в банк в следующих случаях:
1. Работник разрешил считать свои сведения общедоступными и дал на это работодателю ПИСЬМЕННОЕ согласие или ПИСЬМЕННО согласился на распространение его персональных данных.
2. Работник разрешил ПИСЬМЕННО предоставить свои данные конкретному юридическому лицу. Но в данном случае, работодатель обязан удостовериться, что запрос поступил именно от того банка, которому работник разрешил предоставить информацию (то есть ответ только на письменный запрос).
А если такого согласия у работодателя нет?
То предоставлять сведения о работнике работодатель не вправе. Тогда работодатель выполнит свои обязательства по закону о защите персональных данных? Да. А дадут ли работнику кредит в том случае, если работодатель откажется предоставлять сведения о работнике? Неизвестно.
Причем если организация большая и имеет разветвленную сеть обособленных подразделений, взять оперативно такое согласие не всегда возможно. Особенно в том случае, когда работник спонтанно принял решение о получении кредита. И уже в этот же день или на следующий, работники банка звонят работодателю, чтобы проверить достоверность предоставленных сведений.
Причем само согласие должно быть оформлено именно письменно, недостаточно того, чтобы работник позвонил, например, в отдел кадров, и попросил устно ответить на запрос конкретного банка.
Все ведь прекрасно понимают, что когда работодатель предоставляет сведения о работе конкретного сотрудника банку по телефонному запросу, он делает это с целью защиты интересов работника в первую очередь, чтобы ему не отказали в выдаче кредита. Но автоматически в этом случае нарушает закон о защите персональных данных, если заблаговременно работодатель не побеспокоился о получении письменного согласия с самого работника.
Возможно, если банки прекратят практику незаконных телефонных проверок, таких нарушений и со стороны работодателя станет меньше.
Недавно вышло письмо Банка России от 14.03.2014 N 42-Т "Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан", которое рекомендует кредитным организациям усилить контроль за рисками, возникающими при обработке (к которой кстати относится и сбор) информации, содержащей персональные данные, а также актуализировать внутренние документы, определяющие: персональную ответственность работников кредитных организаций, осуществляющих непосредственную обработку персональных данных (в том числе сбор), за сохранение и обеспечение конфиденциальности информации, образующейся в процессе обслуживания клиентов.
При этом в вышеуказанном письме было прямо указано, что Банк России при осуществлении надзора за деятельностью банков будет учитывать случаи выявления недостатков при исполнении законодательства о защите персональных данных и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля.
Остается надеется, что и банки наконец-то тоже станут соблюдать закон о защите персональных данных, не подводя работодателя к вынужденному нарушению законодательства.