Согласие субъекта и клубные/дисконтные карты

Сегодня в магазине предложили участвовать в дисконтной программе. Условием участия в программе было заполнение анкеты, которую можно посмотреть здесь.

В итоге я получил пример того, как исполнение требований 152-ФЗ привело к ситуации, когда оператор начинает собирать данные, которые для меня являются уже чувствительными: серия и № паспорта, кем и когда выдан, да еще и настоятельно намекают на прописку для обработки информации чуть секретнее, чем моя визитка. Теперь подробнее.

Я получил анкету и кроме стандартных ФИО, адресов, телефонов, e-mail и согласия на получения рекламных материалов было требования обязательного заполнения паспортных данных. И так посмотрим, что попало мне в руки. На рисунке приведен раздел в законе именуемый согласием субъекта.

Предполагая, что юристы детского мира не успели оперативно отреагировать на изменения в 152-ФЗ, хотя история с принятием поправок тянулась почти месяц и текст законопроекта был доступен с 30 июня, рассматривать будем с точки зрения старой редакции. 

Содержание письменного согласия установлено статьей 9. Полный текст приводить не буду остановимся на том, чего нет в этом согласии -  целей обработки оператором. Есть цель передачи третьим лицам, но ЗАЧЕМ ОАО «Детский мир» собирает данные остается не ведомо. Фразы о том, что не сможет делать оператор, до текста согласия к делу не относятся. Немного понятнее становится, если заглянуть на сайт и довольно легко найти там инструкцию по заполнению анкеты: 

Данные, которые Вы указываете в анкете, с Вашего согласия будут использоваться для:

•          предоставления Вам индивидуального сервиса (специальные предложения);
•          информирования об акциях и распродажах в сети магазинов «Детский мир»;
•          поздравления Вас и Ваших детей с праздниками;
•          возможности узнать Ваше мнение о работе сети магазинов «Детский мир»;
•          восстановления карты в случае истечения срока действия, утери или порчи.

Но, во-первых инструкция не является частью согласия, во-вторых в магазине мне ее не дали.

Теперь зададимся вопросом: А зачем магазину вообще письменное согласие?  Закон не требует обязательного получения письменного согласия в случае простой обработки ПД. Достаточно простой галочки и росписи в анкете. Однако оператор требует паспортных данных и готов не выдавать клубную карту в случае отказа от их предоставления. Почему?  В старой версии причин брать письменное согласие несколько:

•        Обработка специальных категорий данных (статья 10) – здесь этого не найти ни при какой бурной фантазии
•        Обработка биометрических данных – слава Богу Детский мир пока не догадался фотографировать на дисконтную карту покупателей. 
•        Если оператор делает эти данные общедоступными. Здесь можно придраться к тому что оператор указа в согласии неограниченных круг третьих лиц, которым передаются данные, но это все мелочи и понятно откуда возникли, в общем, текст составлен не корректно, но то же не наш случай.
•        Трансграничная передача. Я конечно параноик, но предположит слив этой "бесценной" информации за рубеж не могу.
•        Принятие решений на основании исключительно автоматизированной обработки их персональных данных – тоже явно мимо.

И вопрос подвисает в воздухе: Зачем им МОЙ паспорт? Соотносясь с текстом инструкции, было подозрение, что письменное  согласие собирают для осуществления рассылки рекламных материалов, но Закон не требует письменной формы в этом случае. Есть одно логичное объяснение: ПЕРЕСТРАХОВКА. Бремя доказательства получения согласия лежит на операторе, а иной формы железобетонного доказательства, кроме как письменной я не знаю.

И так мы, как я сказал в начале, приходим к интересной ситуации. Оператор, перестраховываясь начинает собирать полное досье на субъекта ПД, просто что бы что-то можно было предъявить контролеру. Сами данные, которые оператору нужны, не соответствуют по своей ценности паспортным данным.

Причин ситуации, очевидно две: во-первых нет  внятного определения формы получения согласия за исключением письменного, во-вторых оператор, просто не понимает сути происходящих процессов и в следствии этого совершает ошибки, которые по мере роста осознания ценности ПД в стране будут приводить и финансовым потерям. Уже не в первый раз встречаю ситуацию, когда уважаемые юристы совершают ошибки в рекомендациях по этому закону.

Ну и до кучи, что бы пост был завершенным. Чего не хватает в согласии на обработку учитывая требования новой редакции Закона:

•        Как было сказано выше цель обработки. Можно скопировать из инструкции по заполнению;
•        Не сильно кривя душой можно сказать, что перечень обрабатываемых ПД есть;
•        наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
•        общее описание используемых оператором способов обработки персональных данных.

Оценили объем бумажки? Если посмотреть согласие там есть способ информирования через sms и e-amil. Похоже, надо указывать сотовых операторов, с которыми работает компания, а так же провайдера и т.д.

И ЭТО подписывать ради накопительной карты?

Что бы сделал я? Простая анкета, в конце которой слова про обработку ПД и место под слово "согласен" и собственноручная подпись с датой.  Готов отстаивать решение.

Есть ли опасность заполнения этой анкеты с такими данными? Нет, ни какой опасности нет, не думаю, что столь уважаемая организация начнет торговать паспортными данными своих клиентов. В данном случае это иллюстрация не оптимальности и не удачных формулировок Закона и необходимости обращаться к профильным специалистам.

C уважением к ОАО "Детский мир", любезно выложившему в свободный доступ текст анкеты и инструкцию:

• Инструкция 
• Анкета