Сбор данных в эпоху конфиденциальности: как и зачем использовать Google Consent mode. 2 часть — TCF и CMP
Мы продолжаем рассказывать о приватности данных интернет-пользователей и инструментах, которые помогают соответствовать принятым нормам и не нарушать прав на конфиденциальность. В прошлой статье мы подробно разобрали, что такое Общий регламент по защите данных (GDPR), и как его появление изменило подход к сбору информации. В этом материале мы расскажем, что помогает соблюдать европейский закон, поговорим о появлении Google Consent mode и принципах получения согласия на cookie.
Примерно за месяц до принятия GDPR Европейское бюро интерактивной рекламы (IAB Europe) разработало стандарт Transparency and Consent Framework (TCF), чтобы унифицировать процесс сбора данных в соответствии с новым регламентом. Этот фреймворк позволяет компаниям получать согласие от пользователей и делиться им с остальными партнерами:
- Издателями (publishers);
- Вендорами (техническими провайдерами, такими как DSP, SSP, DMP, рекламные серверы и т.д.);
- CMP-провайдерами (Consent Management Provider — компании, которые помогают владельцам сайтов получать разрешения от пользователей на сбор данных и предоставление таргетинга персонализированной рекламы);
- Рекламодателями и рекламными агентствами.
Как работает TCF в трех шагах:
- Издатель выбирает поставщиков технологий из глобального списка вендоров (Global Vendor List), с которыми планирует сотрудничать и делиться данными своей аудитории;
- Когда пользователь впервые заходит на сайт или в мобильное приложение, его просят выбрать компании, с которыми издатель может поделиться данными (ниже мы покажем примеры, где этот пункт не соблюдается). Эта информация будет храниться в основном файле cookie (first-party cookies) в браузере пользователя;
- После того как пользователь сделал свой выбор, издатель может поделиться его данными с поставщиками технологий, выбранными из глобального списка.
В августе 2019 стандарт был изменен и усовершенствован с участием Google в качестве члена рабочей группы TCF Working Group. Основным нововведением TCF v2.0 было появление возможности у пользователей давать согласие или запрещать обработку данных, а также применять «право на возражение». Кроме того, юзеры получили больше контроля над тем, как вендоры могут использовать определенные функции обработки данных, например, использование точной геолокации.
TCF v2.0 гарантирует преимущества и владельцам сайтов, предоставляя большие возможности в управлении, гибкость в интеграции и взаимодействии с техническими партнерами. Так, владельцы сайтов теперь могут управлять целями обработки данных на уровне вендоров. Кроме того, они могут обеспечить большую прозрачность для пользователей благодаря более детальному описанию целей сбора данных на своем ресурсе.
После участия в рабочей группе на проектом TCF v2.0 Google интегрировала все свои рекламные системы с обновленным стандартом в августе 2020 года.
«Мы начнем анализировать и передавать TC-строку для всех рекламных запросов, проверяя, соответствует ли эта строка стандартам TCF v2.0», — заявили в компании.
Если вкратце, то TC-строка (Transparency & Consent String) — это набор закодированных символов, содержащий всю необходимую информацию, касающуюся решения о согласии пользователя.
Эти данные важны в первую очередь для вендоров. Подробнее об этом можно почитать здесь: https://support.google.com/admanager/answer/9805023?hl=ru
После принятия TCF, 3 сентября 2020 года Google запустила Режим согласия (Consent Mode). Это API, который предоставляет веб-сайтам и рекламодателям больше гибкости при использовании продуктов корпорации вместе с cookie-баннерами и платформами управления согласием в соответствии с требованиями GDPR и новым стандартом.
Google Consent Mode не является платформой для управления согласием. Для того, чтобы этот режим работал корректно, у вас уже должна быть внедрена система для сбора согласий пользователей в отношении данных, собираемых на вашем сайте.
Например, такие решения предоставляют Consent Management Platform (CMP) — специальные сервисы, которые владельцы сайтов используют для:
- Запроса, получения и хранения согласия пользователей (благодаря всплывающему окну);
- Настройки конфиденциальности пользователей (пользователь сам выбирает, какими данными он разрешает поделиться);
- Хранения списка поставщиков технологий из глобального списка поставщиков (Global Vendor List);
- Обновления информации о согласии (если пользователь вдруг решил изменить свой выбор).
Другими словами: прежде, чем собирать данные о своих пользователях и предоставлять таргетинг персонализированной рекламы, необходимо получить разрешение на эти действия от самого пользователя. В этом как раз и помогают CMP.
Может возникнуть резонный вопрос, а можно ли сделать собственную платформу управления согласием?
Практика показывает, что веб-ресурсы больших компаний используют готовые услуги СМР-провайдеров. Но, например, на сайте IAB есть список организаций, которые внедрили собственные решения, прошедшие сертификацию. На момент написания статьи в этом перечне находится 56 компаний, среди которых Viber, Amazon.co.uk и Ebay.
В открытом доступе очень мало информации о том, как создать собственную СМР. Дело в том, что это крайне нетривиальная задача, потому что предполагает решение сразу нескольких проблем:
- Поиск необходимых технических ресурсов;
- Обладание глубокими знаниями законодательства GDPR, регулярный мониторинг и анализ его изменений;
- Построение и, самое главное, поддержание всей экосистемы CMP.
Так что теоретически создать свою систему можно, но использование готовых решений СМР-провайдеров значительно экономит силы, время, финансы, и дает уверенность в соблюдении всех правил GDPR.
Основные выводы:
- GDPR — свод правил. TCF — стандарт, позволяющий соблюдать эти правила. Также он дает пользователям возможность редактировать свое согласие.
- Google consent mode позволяет соблюдать эти стандарты в рамках инструментов самой компании. При этом он не является платформой для управления согласием.
- СМР-платформы помогают соблюдать все стандарты и получать согласие пользователей максимально удобно и просто.
Согласно GDPR, предложение об использовании cookies должно быть четким и информативным, а доступ на сайт должен осуществляться даже в случае отказа.
Когда содержимое сайта скрыто, а на так называемой платформе управления согласием пользователь может лишь нажать на кнопку «Принять файлы cookie» без возможности отказаться, он лишается выбора. Такой ситуации быть не должно, поскольку это нарушает принципы GDPR, описанные в Преамбуле 42:
«Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий».
Согласно этой преамбуле, мы не имеем права отказывать пользователю в доступе на сайт при его отказе от cookie.
Также в соответствии с TCF вам необходимо раз в 13 месяцев (или чаще) напоминать пользователям о том, какое решение они приняли в отношении согласия. Если пользователь принял решение более 13 месяцев назад, TC-строка становится недействительной и Google прекращает показывать юзеру рекламу.
Интересно заметить, так как в России регуляторика GDPR еще не везде воспринимается всерьез, заходя на одни и те же сайты с Российского IP и, например, через VPN — вы будете видеть совершенно разные баннеры с запросами согласия.
Вот так сайт Spotify мы видим с Российского IP:
А такой баннер мы увидим, если зайдем с VPN (например из Нидерландов):
Как мы видим — для «европейских» пользователей представлено больше информации о том, какие данные сайт планирует собирать, с кем будет делиться ими, и дается возможность настроить разные варианты согласия. И такой вариант — наиболее правильный с точки зрения GDPR.
Помимо этого, существуют разные юридические тонкости. Например, что будет, если житель Нидерландов приехал в Россию и зашел на сайт Spotify через Wi-Fi отеля? Сайт определит его как пользователя с Российским IP, но при этом будет собирать данные гражданина Евросоюза. Расценивать ли это, как нарушение GDPR? Исходя из того, что в нем написано — да, но в любом случае, на эти спорные вопросы смогут ответить только компетентные юристы.
Несколько хороших примеров сайтов, где пользователи могут настроить типы согласия и отказаться от сбора информации:
Также мы нашли спорный пример:
GDPR однозначно говорит о том, что мы не должны ограничивать пользователя в использовании сайта (не должно быть негативных последствий), но тут мы видим формулировку «Use limited version of website». С точки зрения GDPR — это не совсем законно, но, с другой стороны, мы протестировали сайт со всеми типами согласия и без него, но различий не нашли.
Теперь перед нами встает еще один вопрос — как получить согласие пользователей?
В открытых источниках очень мало информации по статистике согласий, но по доступным усредненным показателям можно увидеть, что не менее 20% пользователей отказываются от сбора данных. Также существует примерно 2% пользователей, которых мы не можем идентифицировать, так как они позаботились о своей конфиденциальности и используют различные инструменты для анонимизации.
Аналитические исследования показывают, что необычные и привлекающие внимание сообщения о сборе данных помогают получать согласие пользователей эффективнее, чем незаметные скучные баннеры. (Но при этом не нужно забывать о правилах предоставления информации и соблюдать грань между креативом и юридической точностью).
Помимо дизайна, можно зацепить пользователей текстом, просто, иногда с юмором рассказать о том, на что он соглашается. При этом он должен быть коротким и понятным обычному юзеру.
Также можно использовать дополнительные выгоды, которые будут доступны пользователям, которые разрешили сбор их данных.
Основные выводы:
- Запрос о сборе информации должен предоставляться пользователю в понятном виде. Также необходимо обеспечить возможность отказаться от сбора данных;
- При отказе от cookie, замедлять сайт или полностью закрывать к нему доступ нельзя;
- Появляется еще одна важная продуктовая задача: сделать consent-запрос таким, чтобы максимум пользователей давали согласие на полноценный сбор данных.
В следующей статье мы более подробно коснемся внутренностей Google Consent mode, рассмотрим разные типы согласия и расскажем, как они влияют на сбор данных.
Что такое запрос согласия cons
Запрос согласия — это процесс, с помощью которого эмитент ценной бумаги предлагает изменения к существенным условиям соглашения об обеспечении. Эти изменения предназначены для инвесторов, имеющих долю в ценной бумаге. Учитывая, что для таких критических изменений обычно требуется взаимное согласие, запрос согласия обычно представляет собой запрос разрешения на внесение изменения от имени заинтересованной стороны.
Ходатайство о согласии обычно необходимо подавать в Комиссию по ценным бумагам и биржам США (SEC). Хотя и SEC, и штаты регулируют ходатайство о согласии, штаты часто играют более важную роль.
Понимание запроса согласия
В запросе согласия обычно указывается конкретная дата, к которой заинтересованные стороны должны ответить на запрос эмитента о внесении существенных изменений в соглашение об обеспечении. Эмитент ценных бумаг может ввести изменения, если требуемое количество или процент заинтересованных сторон согласны с изменениями. Если с изменениями согласны менее необходимого процента заинтересованных сторон, мера не выполняется, и изменения не могут быть приняты.
Пример запроса согласия
Типичный пример запроса согласия происходит на рынке облигаций. Если первоначальные условия соглашения больше не соответствуют интересам эмитента и держателей облигаций (что влияет на жизнеспособность выпуска облигаций), эмитент может обратиться к держателям облигаций с помощью заявления о согласии. Держатели облигаций, которые согласны с изменениями, могут получить согласительную выплату.
Получение согласия и инвесторы-активисты
Хотя большинство крупных корпоративных изменений происходит на ежегодных собраниях акционеров; Иногда инвесторы-активисты могут вносить серьезные изменения в частном порядке, в отдельный момент. После письменного запроса согласия от имени одного инвестора или группы инвесторов остальным акционерам, активисты уведомят руководство компании о решении внести изменения. В большинстве случаев это касается смены директоров или руководителей компании, хотя это может происходить по разным причинам. Хотя большинство американских компаний запрещают запрашивать согласие через свои Свидетельства о регистрации (CoI) или подзаконные акты, меньшинство по-прежнему принимает изменения в этой форме. Текущий показатель составляет примерно 70% публичных компаний США, ограничивающих или запрещающих запросы согласия.
Как отмечалось выше, хотя и SEC, и штаты могут регулировать ходатайство о согласии, штаты могут иметь больше полномочий в этих ситуациях. Здесь государства могут определить, могут ли акционеры компании запросить письменное согласие и каким образом. В то же время SEC наблюдает и регулирует конкретный процесс ходатайства.
Запрос согласия пользователя
Компонент позволяет выполнить требования ФЗ-152. Может использоваться как самостоятельно, так и включённым в другие компоненты.
Описание main.userconsent.request
Компонент стандартный и входит в дистрибутив модуля. В визуальном редакторе компонент расположен по пути: Служебные > Пользователь > Запрос согласия пользователя.
Параметры
Поле | Параметр | Описание |
Дополнительные настройки | ||
---|---|---|
Соглашение | ID | Идентификатор используемого соглашения. |
Галка согласия проставлена по умолчанию | IS_CHECKED | [Y\N] Установка флажка проставляет автоматически флажок согласия. То есть для отказа от использования данных пользователю нужно будет снять флажок. |
Сохранять автоматически факт согласия | AUTO_SAVE | [Y\N] Согласие будет автоматически сохранено на странице . |
Загружать текст соглашения сразу: | IS_LOADED | [Y\N] Текст соглашения будет показан пользователю сразу. |
Пример вызова
Пользовательские комментарии
Мы будем рады, если разработчики добавят свои комментарии по практическому использованию методов системы.
Для этого нужно всего лишь авторизоваться на сайте
Но помните, что Пользовательские комментарии, несмотря на модерацию, не являются официальной документацией. Ответственность за их использование несет сам пользователь.
Также Пользовательские комментарии не являются местом для обсуждения функционала. По подобным вопросам обращайтесь на форумы.
Как работать с персональными данными клиентов и собирать согласия на их обработку
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Ульяна Жаркова
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Ульяна Жаркова
Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.
Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают про порядок работы с персональными данными, объясняют, в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.
В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.
В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.
Когда необходимо собирать согласия на обработку персональных данных
Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.
Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.
«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?
Если ответ „да“, вам надо запрашивать согласие на обработку этих данных.
Например, клиент оставил вам свой email или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.
Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.
Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.
Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.
Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».
Кира Лукашина
Мы выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:
Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.
Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.
Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.
Плашка с запросом согласия на сайте Mindbox
Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.
Сбор клиентской информации компании организуют в разных формах: оформление заказа, регистрация в личном кабинете, поле для ввода номера телефона, на который перезванивает менеджер, подписка на рассылку компании, попапы со специальными предложениями или просьбой оставить отзыв об услуге или товаре.
При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.
Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.
Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом где-то запишет.
Способы сбора согласий на обработку персональных данных
Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.
Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.
В таблице — популярные способы сбора согласий.
Рассмотрим каждый из способов.
Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.
Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных
Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.
Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.
Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.
Cайт Holodilnik.ru: пример правильного использования чекбокса с галочкой согласия
Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Обычно double opt-in используют в двух каналах: e-mail и СМС
Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.
Что должно быть в согласии на обработку персональных данных
Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.
Вот примерный перечень того, что нужно указать в согласии:
Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.
Топ-5 ошибок компаний при сборе персональных данных
Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на каком-то сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.
Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.
В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.
Согласие клиента нужно получить в явной форме — в примере нет ни галочки, ни предупреждения, ни прямого вопроса
Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.
Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.
Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.
При оформлении заказа нельзя принуждать клиента к подписке на рассылки или участию в программе лояльности
В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.
Необходимо перечислить все компании, которым вы планируете передавать персональные данные клиентов
В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.
В этой форме согласия отсутствуют обязательные реквизиты: нет ссылки на текст согласия
В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.
Нельзя писать «включая, но не ограничиваясь» в согласии на обработку персональных данных. Список сведений должен быть точным
Как накажут бизнес, который не соблюдает правила обработки персональных данных
Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.
Раньше при выявлении нарушений Роскомнадзор часто ограничивался предупреждением. Компания могла исправить нарушения и спокойно работать дальше. Но с учетом изменений в законе и тенденций в правоприменительной практике мы ожидаем, что Роскомнадзор будет штрафовать бизнес сразу, без предупреждения.
Размер штрафа зависит от вида нарушения.
Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.
Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.
Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.
Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.
Что такое запрос согласия cons
ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ
21 апреля 2006 года
26 апреля 2006 года
Статья 1. Сфера применения настоящего Федерального закона
1. Настоящим Федеральным законом регулируются правоотношения, связанные с реализацией гражданином Российской Федерации (далее также — гражданин) закрепленного за ним Конституцией Российской Федерации права на обращение в государственные органы и органы местного самоуправления, а также устанавливается порядок рассмотрения обращений граждан государственными органами, органами местного самоуправления и должностными лицами.
2. Установленный настоящим Федеральным законом порядок рассмотрения обращений граждан распространяется на все обращения граждан, за исключением обращений, которые подлежат рассмотрению в порядке, установленном федеральными конституционными законами и иными федеральными законами.
3. Установленный настоящим Федеральным законом порядок рассмотрения обращений граждан распространяется на правоотношения, связанные с рассмотрением обращений иностранных граждан и лиц без гражданства, за исключением случаев, установленных международным договором Российской Федерации или федеральным законом.
4. Установленный настоящим Федеральным законом порядок рассмотрения обращений граждан государственными органами, органами местного самоуправления и должностными лицами распространяется на правоотношения, связанные с рассмотрением указанными органами, должностными лицами обращений объединений граждан, в том числе юридических лиц, а также на правоотношения, связанные с рассмотрением обращений граждан, объединений граждан, в том числе юридических лиц, осуществляющими публично значимые функции государственными и муниципальными учреждениями, иными организациями и их должностными лицами.
Статья 2. Право граждан на обращение
1. Граждане имеют право обращаться лично, а также направлять индивидуальные и коллективные обращения, включая обращения объединений граждан, в том числе юридических лиц, в государственные органы, органы местного самоуправления и их должностным лицам, в государственные и муниципальные учреждения и иные организации, на которые возложено осуществление публично значимых функций, и их должностным лицам.
2. Граждане реализуют право на обращение свободно и добровольно. Осуществление гражданами права на обращение не должно нарушать права и свободы других лиц.
3. Рассмотрение обращений граждан осуществляется бесплатно.
Статья 3. Правовое регулирование правоотношений, связанных с рассмотрением обращений граждан
1. Правоотношения, связанные с рассмотрением обращений граждан, регулируются Конституцией Российской Федерации, международными договорами Российской Федерации, федеральными конституционными законами, настоящим Федеральным законом и иными федеральными законами.
2. Законы и иные нормативные правовые акты субъектов Российской Федерации могут устанавливать положения, направленные на защиту права граждан на обращение, в том числе устанавливать гарантии права граждан на обращение, дополняющие гарантии, установленные настоящим Федеральным законом.
Статья 4. Основные термины, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные термины:
1) обращение гражданина (далее — обращение) — направленные в государственный орган, орган местного самоуправления или должностному лицу в письменной форме или в форме электронного документа предложение, заявление или жалоба, а также устное обращение гражданина в государственный орган, орган местного самоуправления;
2) предложение — рекомендация гражданина по совершенствованию законов и иных нормативных правовых актов, деятельности государственных органов и органов местного самоуправления, развитию общественных отношений, улучшению социально-экономической и иных сфер деятельности государства и общества;
3) заявление — просьба гражданина о содействии в реализации его конституционных прав и свобод или конституционных прав и свобод других лиц, либо сообщение о нарушении законов и иных нормативных правовых актов, недостатках в работе государственных органов, органов местного самоуправления и должностных лиц, либо критика деятельности указанных органов и должностных лиц;
4) жалоба — просьба гражданина о восстановлении или защите его нарушенных прав, свобод или законных интересов либо прав, свобод или законных интересов других лиц;
5) должностное лицо — лицо, постоянно, временно или по специальному полномочию осуществляющее функции представителя власти либо выполняющее организационно-распорядительные, административно-хозяйственные функции в государственном органе или органе местного самоуправления.
Статья 5. Права гражданина при рассмотрении обращения
При рассмотрении обращения государственным органом, органом местного самоуправления или должностным лицом гражданин имеет право:
1) представлять дополнительные документы и материалы либо обращаться с просьбой об их истребовании, в том числе в электронной форме;
2) знакомиться с документами и материалами, касающимися рассмотрения обращения, если это не затрагивает права, свободы и законные интересы других лиц и если в указанных документах и материалах не содержатся сведения, составляющие государственную или иную охраняемую федеральным законом тайну;
3) получать письменный ответ по существу поставленных в обращении вопросов, за исключением случаев, указанных в статье 11 настоящего Федерального закона, а в случае, предусмотренном частью 5.1 статьи 11 настоящего Федерального закона, на основании обращения с просьбой о его предоставлении, уведомление о переадресации письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов;
4) обращаться с жалобой на принятое по обращению решение или на действие (бездействие) в связи с рассмотрением обращения в административном и (или) судебном порядке в соответствии с законодательством Российской Федерации;
5) обращаться с заявлением о прекращении рассмотрения обращения.
Статья 6. Гарантии безопасности гражданина в связи с его обращением
1. Запрещается преследование гражданина в связи с его обращением в государственный орган, орган местного самоуправления или к должностному лицу с критикой деятельности указанных органов или должностного лица либо в целях восстановления или защиты своих прав, свобод и законных интересов либо прав, свобод и законных интересов других лиц.
2. При рассмотрении обращения не допускается разглашение сведений, содержащихся в обращении, а также сведений, касающихся частной жизни гражданина, без его согласия. Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов.
Статья 7. Требования к письменному обращению
1. Гражданин в своем письменном обращении в обязательном порядке указывает либо наименование государственного органа или органа местного самоуправления, в которые направляет письменное обращение, либо фамилию, имя, отчество соответствующего должностного лица, либо должность соответствующего лица, а также свои фамилию, имя, отчество (последнее — при наличии), почтовый адрес, по которому должны быть направлены ответ, уведомление о переадресации обращения, излагает суть предложения, заявления или жалобы, ставит личную подпись и дату.
2. В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии.
3. Обращение, поступившее в государственный орган, орган местного самоуправления или должностному лицу в форме электронного документа, подлежит рассмотрению в порядке, установленном настоящим Федеральным законом. В обращении гражданин в обязательном порядке указывает свои фамилию, имя, отчество (последнее — при наличии), адрес электронной почты, по которому должны быть направлены ответ, уведомление о переадресации обращения. Гражданин вправе приложить к такому обращению необходимые документы и материалы в электронной форме.
Статья 8. Направление и регистрация письменного обращения
1. Гражданин направляет письменное обращение непосредственно в тот государственный орган, орган местного самоуправления или тому должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов.
2. Письменное обращение подлежит обязательной регистрации в течение трех дней с момента поступления в государственный орган, орган местного самоуправления или должностному лицу.
3. Письменное обращение, содержащее вопросы, решение которых не входит в компетенцию данных государственного органа, органа местного самоуправления или должностного лица, направляется в течение семи дней со дня регистрации в соответствующий орган или соответствующему должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов, с уведомлением гражданина, направившего обращение, о переадресации обращения, за исключением случая, указанного в части 4 статьи 11 настоящего Федерального закона.
3.1. Письменное обращение, содержащее информацию о фактах возможных нарушений законодательства Российской Федерации в сфере миграции, направляется в течение пяти дней со дня регистрации в территориальный орган федерального органа исполнительной власти в сфере внутренних дел и высшему должностному лицу субъекта Российской Федерации (руководителю высшего исполнительного органа государственной власти субъекта Российской Федерации) с уведомлением гражданина, направившего обращение, о переадресации его обращения, за исключением случая, указанного в части 4 статьи 11 настоящего Федерального закона.
4. В случае, если решение поставленных в письменном обращении вопросов относится к компетенции нескольких государственных органов, органов местного самоуправления или должностных лиц, копия обращения в течение семи дней со дня регистрации направляется в соответствующие государственные органы, органы местного самоуправления или соответствующим должностным лицам.
5. Государственный орган, орган местного самоуправления или должностное лицо при направлении письменного обращения на рассмотрение в другой государственный орган, орган местного самоуправления или иному должностному лицу может в случае необходимости запрашивать в указанных органах или у должностного лица документы и материалы о результатах рассмотрения письменного обращения.
6. Запрещается направлять жалобу на рассмотрение в государственный орган, орган местного самоуправления или должностному лицу, решение или действие (бездействие) которых обжалуется.
7. В случае, если в соответствии с запретом, предусмотренным частью 6 настоящей статьи, невозможно направление жалобы на рассмотрение в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов, жалоба возвращается гражданину с разъяснением его права обжаловать соответствующие решение или действие (бездействие) в установленном порядке в суд.
Статья 9. Обязательность принятия обращения к рассмотрению
1. Обращение, поступившее в государственный орган, орган местного самоуправления или должностному лицу в соответствии с их компетенцией, подлежит обязательному рассмотрению.
2. В случае необходимости рассматривающие обращение государственный орган, орган местного самоуправления или должностное лицо может обеспечить его рассмотрение с выездом на место.
Статья 10. Рассмотрение обращения
1. Государственный орган, орган местного самоуправления или должностное лицо:
1) обеспечивает объективное, всестороннее и своевременное рассмотрение обращения, в случае необходимости — с участием гражданина, направившего обращение;
2) запрашивает, в том числе в электронной форме, необходимые для рассмотрения обращения документы и материалы в других государственных органах, органах местного самоуправления и у иных должностных лиц, за исключением судов, органов дознания и органов предварительного следствия;
3) принимает меры, направленные на восстановление или защиту нарушенных прав, свобод и законных интересов гражданина;
4) дает письменный ответ по существу поставленных в обращении вопросов, за исключением случаев, указанных в статье 11 настоящего Федерального закона;
5) уведомляет гражданина о направлении его обращения на рассмотрение в другой государственный орган, орган местного самоуправления или иному должностному лицу в соответствии с их компетенцией.
2. Государственный орган, орган местного самоуправления или должностное лицо по направленному в установленном порядке запросу государственного органа, органа местного самоуправления или должностного лица, рассматривающих обращение, обязаны в течение 15 дней предоставлять документы и материалы, необходимые для рассмотрения обращения, за исключением документов и материалов, в которых содержатся сведения, составляющие государственную или иную охраняемую федеральным законом тайну, и для которых установлен особый порядок предоставления.
3. Ответ на обращение подписывается руководителем государственного органа или органа местного самоуправления, должностным лицом либо уполномоченным на то лицом.
4. Ответ на обращение направляется в форме электронного документа по адресу электронной почты, указанному в обращении, поступившем в государственный орган, орган местного самоуправления или должностному лицу в форме электронного документа, и в письменной форме по почтовому адресу, указанному в обращении, поступившем в государственный орган, орган местного самоуправления или должностному лицу в письменной форме. Кроме того, на поступившее в государственный орган, орган местного самоуправления или должностному лицу обращение, содержащее предложение, заявление или жалобу, которые затрагивают интересы неопределенного круга лиц, в частности на обращение, в котором обжалуется судебное решение, вынесенное в отношении неопределенного круга лиц, ответ, в том числе с разъяснением порядка обжалования судебного решения, может быть размещен с соблюдением требований части 2 статьи 6 настоящего Федерального закона на официальном сайте данных государственного органа или органа местного самоуправления в информационно-телекоммуникационной сети «Интернет».
Статья 11. Порядок рассмотрения отдельных обращений
1. В случае, если в письменном обращении не указаны фамилия гражданина, направившего обращение, или почтовый адрес, по которому должен быть направлен ответ, ответ на обращение не дается. Если в указанном обращении содержатся сведения о подготавливаемом, совершаемом или совершенном противоправном деянии, а также о лице, его подготавливающем, совершающем или совершившем, обращение подлежит направлению в государственный орган в соответствии с его компетенцией.
2. Обращение, в котором обжалуется судебное решение, в течение семи дней со дня регистрации возвращается гражданину, направившему обращение, с разъяснением порядка обжалования данного судебного решения.
3. Государственный орган, орган местного самоуправления или должностное лицо при получении письменного обращения, в котором содержатся нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи, вправе оставить обращение без ответа по существу поставленных в нем вопросов и сообщить гражданину, направившему обращение, о недопустимости злоупотребления правом.
4. В случае, если текст письменного обращения не поддается прочтению, ответ на обращение не дается и оно не подлежит направлению на рассмотрение в государственный орган, орган местного самоуправления или должностному лицу в соответствии с их компетенцией, о чем в течение семи дней со дня регистрации обращения сообщается гражданину, направившему обращение, если его фамилия и почтовый адрес поддаются прочтению.
4.1. В случае, если текст письменного обращения не позволяет определить суть предложения, заявления или жалобы, ответ на обращение не дается и оно не подлежит направлению на рассмотрение в государственный орган, орган местного самоуправления или должностному лицу в соответствии с их компетенцией, о чем в течение семи дней со дня регистрации обращения сообщается гражданину, направившему обращение.
5. В случае, если в письменном обращении гражданина содержится вопрос, на который ему неоднократно давались письменные ответы по существу в связи с ранее направляемыми обращениями, и при этом в обращении не приводятся новые доводы или обстоятельства, руководитель государственного органа или органа местного самоуправления, должностное лицо либо уполномоченное на то лицо вправе принять решение о безосновательности очередного обращения и прекращении переписки с гражданином по данному вопросу при условии, что указанное обращение и ранее направляемые обращения направлялись в один и тот же государственный орган, орган местного самоуправления или одному и тому же должностному лицу. О данном решении уведомляется гражданин, направивший обращение.
5.1. В случае поступления в государственный орган, орган местного самоуправления или должностному лицу письменного обращения, содержащего вопрос, ответ на который размещен в соответствии с частью 4 статьи 10 настоящего Федерального закона на официальном сайте данных государственного органа или органа местного самоуправления в информационно-телекоммуникационной сети «Интернет», гражданину, направившему обращение, в течение семи дней со дня регистрации обращения сообщается электронный адрес официального сайта в информационно-телекоммуникационной сети «Интернет», на котором размещен ответ на вопрос, поставленный в обращении, при этом обращение, содержащее обжалование судебного решения, не возвращается.
6. В случае, если ответ по существу поставленного в обращении вопроса не может быть дан без разглашения сведений, составляющих государственную или иную охраняемую федеральным законом тайну, гражданину, направившему обращение, сообщается о невозможности дать ответ по существу поставленного в нем вопроса в связи с недопустимостью разглашения указанных сведений.
7. В случае, если причины, по которым ответ по существу поставленных в обращении вопросов не мог быть дан, в последующем были устранены, гражданин вправе вновь направить обращение в соответствующий государственный орган, орган местного самоуправления или соответствующему должностному лицу.
Статья 12. Сроки рассмотрения письменного обращения
1. Письменное обращение, поступившее в государственный орган, орган местного самоуправления или должностному лицу в соответствии с их компетенцией, рассматривается в течение 30 дней со дня регистрации письменного обращения, за исключением случая, указанного в части 1.1 настоящей статьи.
1.1. Письменное обращение, поступившее высшему должностному лицу субъекта Российской Федерации (руководителю высшего исполнительного органа государственной власти субъекта Российской Федерации) и содержащее информацию о фактах возможных нарушений законодательства Российской Федерации в сфере миграции, рассматривается в течение 20 дней со дня регистрации письменного обращения.
2. В исключительных случаях, а также в случае направления запроса, предусмотренного частью 2 статьи 10 настоящего Федерального закона, руководитель государственного органа или органа местного самоуправления, должностное лицо либо уполномоченное на то лицо вправе продлить срок рассмотрения обращения не более чем на 30 дней, уведомив о продлении срока его рассмотрения гражданина, направившего обращение.
Статья 13. Личный прием граждан
1. Личный прием граждан в государственных органах, органах местного самоуправления проводится их руководителями и уполномоченными на то лицами. Информация о месте приема, а также об установленных для приема днях и часах доводится до сведения граждан.
2. При личном приеме гражданин предъявляет документ, удостоверяющий его личность.
3. Содержание устного обращения заносится в карточку личного приема гражданина. В случае, если изложенные в устном обращении факты и обстоятельства являются очевидными и не требуют дополнительной проверки, ответ на обращение с согласия гражданина может быть дан устно в ходе личного приема, о чем делается запись в карточке личного приема гражданина. В остальных случаях дается письменный ответ по существу поставленных в обращении вопросов.
4. Письменное обращение, принятое в ходе личного приема, подлежит регистрации и рассмотрению в порядке, установленном настоящим Федеральным законом.
5. В случае, если в обращении содержатся вопросы, решение которых не входит в компетенцию данных государственного органа, органа местного самоуправления или должностного лица, гражданину дается разъяснение, куда и в каком порядке ему следует обратиться.
6. В ходе личного приема гражданину может быть отказано в дальнейшем рассмотрении обращения, если ему ранее был дан ответ по существу поставленных в обращении вопросов.
7. Отдельные категории граждан в случаях, предусмотренных законодательством Российской Федерации, пользуются правом на личный прием в первоочередном порядке.
Статья 14. Контроль за соблюдением порядка рассмотрения обращений
Государственные органы, органы местного самоуправления и должностные лица осуществляют в пределах своей компетенции контроль за соблюдением порядка рассмотрения обращений, анализируют содержание поступающих обращений, принимают меры по своевременному выявлению и устранению причин нарушения прав, свобод и законных интересов граждан.
Статья 15. Ответственность за нарушение настоящего Федерального закона
Лица, виновные в нарушении настоящего Федерального закона, несут ответственность, предусмотренную законодательством Российской Федерации.
Статья 16. Возмещение причиненных убытков и взыскание понесенных расходов при рассмотрении обращений
1. Гражданин имеет право на возмещение убытков и компенсацию морального вреда, причиненных незаконным действием (бездействием) государственного органа, органа местного самоуправления или должностного лица при рассмотрении обращения, по решению суда.
2. В случае, если гражданин указал в обращении заведомо ложные сведения, расходы, понесенные в связи с рассмотрением обращения государственным органом, органом местного самоуправления или должностным лицом, могут быть взысканы с данного гражданина по решению суда.
Статья 17. Признание не действующими на территории Российской Федерации отдельных нормативных правовых актов Союза ССР
Признать не действующими на территории Российской Федерации:
1) Указ Президиума Верховного Совета СССР от 12 апреля 1968 года N 2534-VII «О порядке рассмотрения предложений, заявлений и жалоб граждан» (Ведомости Верховного Совета СССР, 1968, N 17, ст. 144);
2) Закон СССР от 26 июня 1968 года N 2830-VII «Об утверждении Указа Президиума Верховного Совета СССР «О порядке рассмотрения предложений, заявлений и жалоб граждан» (Ведомости Верховного Совета СССР, 1968, N 27, ст. 237);
3) Указ Президиума Верховного Совета СССР от 4 марта 1980 года N 1662-X «О внесении изменений и дополнений в Указ Президиума Верховного Совета СССР «О порядке рассмотрения предложений, заявлений и жалоб граждан» (Ведомости Верховного Совета СССР, 1980, N 11, ст. 192);
4) Закон СССР от 25 июня 1980 года N 2365-X «Об утверждении Указов Президиума Верховного Совета СССР о внесении изменений и дополнений в некоторые законодательные акты СССР» (Ведомости Верховного Совета СССР, 1980, N 27, ст. 540) в части, касающейся утверждения Указа Президиума Верховного Совета СССР «О внесении изменений и дополнений в Указ Президиума Верховного Совета СССР «О порядке рассмотрения предложений, заявлений и жалоб граждан»;
5) Указ Президиума Верховного Совета СССР от 2 февраля 1988 года N 8422-XI «О внесении дополнений в Указ Президиума Верховного Совета СССР «О порядке рассмотрения предложений, заявлений и жалоб граждан» (Ведомости Верховного Совета СССР, 1988, N 6, ст. 94);
6) Закон СССР от 26 мая 1988 года N 9004-XI «Об утверждении Указов Президиума Верховного Совета СССР о внесении изменений и дополнений в законодательные акты СССР» (Ведомости Верховного Совета СССР, 1988, N 22, ст. 361) в части, касающейся утверждения Указа Президиума Верховного Совета СССР «О внесении дополнений в Указ Президиума Верховного Совета СССР «О порядке рассмотрения предложений, заявлений и жалоб граждан».
Статья 18. Вступление в силу настоящего Федерального закона
Настоящий Федеральный закон вступает в силу по истечении 180 дней после дня его официального опубликования.
Что такое запрос согласия cons
Статья 6. Предоставление кредитного отчета
1. Бюро кредитных историй предоставляет кредитный отчет:
1) пользователю кредитной истории — по его запросу титульную, основную и информационную части кредитной истории;
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
2) субъекту кредитной истории — по его запросу титульную, основную, дополнительную (закрытую) и информационную части кредитной истории;
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
3) опекуну (попечителю) физического лица — субъекта кредитной истории, иному законному представителю физического лица — субъекта кредитной истории в соответствии с законодательством Российской Федерации либо представителю физического лица — субъекта кредитной истории по доверенности, выданной в нотариальной форме, — по их запросам титульную, основную, дополнительную (закрытую) и информационную части кредитной истории;
(п. 3 в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
4) в суд (судье) по делу, находящемуся в его производстве, — в органы предварительного следствия по уголовному делу, находящемуся в их производстве, при наличии согласия руководителя следственного органа — по их запросам титульную, основную, дополнительную (закрытую) и информационную части кредитной истории;
(п. 4 в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
5) в федеральный орган исполнительной власти, уполномоченный на осуществление функций по обеспечению установленного порядка деятельности судов и исполнению судебных актов и актов других органов, по делу, находящемуся в его производстве, — титульную и основную части кредитной истории по его запросу;
(п 5. введен Федеральным законом от 03.12.2011 N 389-ФЗ; в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
6) нотариусу в связи с необходимостью осуществления проверки состава наследственного имущества при совершении нотариальных действий по выдаче свидетельства о праве на наследство — по его запросу титульную, основную и дополнительную (закрытую) части кредитной истории;
(п. 6 введен Федеральным законом от 28.06.2014 N 189-ФЗ; в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
7) в Банк России — по его запросу титульную, основную, дополнительную (закрытую) и информационную части кредитной истории. Формат и порядок предоставления информации из бюро кредитных историй устанавливаются Банком России;
(п. 7 введен Федеральным законом от 28.06.2014 N 189-ФЗ)
8) арбитражному управляющему, утвержденному в деле о несостоятельности (банкротстве) субъекта кредитной истории, — по его запросу титульную, дополнительную (закрытую) части кредитной истории.
(п. 8 введен Федеральным законом от 31.07.2020 N 302-ФЗ)
2. Бюро кредитных историй предоставляет кредитный отчет пользователю кредитной истории на основании договора об оказании информационных услуг, заключаемого между пользователем кредитной истории и бюро кредитных историй.
3. Физические лица, за исключением индивидуальных предпринимателей, имеют право на получение кредитных отчетов только в случае, если они являются субъектами соответствующих кредитных историй, по которым запрашиваются кредитные отчеты, или опекунами (попечителями) физических лиц — субъектов кредитных историй, иными законными представителями физических лиц — субъектов кредитных историй в соответствии с законодательством Российской Федерации либо представителями физических лиц — субъектов кредитных историй по доверенности, выданной в нотариальной форме.
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
До 31.12.2023 (включительно) в отношении источников формирования кредитных историй — лизинговых компаний не применяются меры за неисполнение требований ч. 4 ст. 6, действующих с 01.01.2022 (Письмо Банка России от 06.05.2022 N ИН-03-46/63).
4. Кредитный отчет предоставляется пользователю кредитной истории только на основании запроса, содержащего информацию о субъекте запрашиваемой кредитной истории из титульной части кредитной истории. Требования к составу и формату запроса кредитного отчета устанавливаются Банком России.
(в ред. Федеральных законов от 11.07.2011 N 200-ФЗ, от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
До 31.12.2023 (включительно) в отношении источников формирования кредитных историй — лизинговых компаний не применяются меры за неисполнение требований ч. 4.1 ст. 6, действующих с 01.01.2022 (Письмо Банка России от 06.05.2022 N ИН-03-46/63).
4.1. В целях предоставления пользователю кредитной истории кредитного отчета бюро кредитных историй осуществляет поиск информации о субъекте кредитной истории в соответствии с правилами, установленными Банком России.
(часть 4.1 введена Федеральным законом от 31.07.2020 N 302-ФЗ)
До 31.12.2023 (включительно) в отношении источников формирования кредитных историй — лизинговых компаний не применяются меры за неисполнение требований ч. 5 ст. 6, действующих с 01.01.2022 (Письмо Банка России от 06.05.2022 N ИН-03-46/63).
5. При предоставлении пользователю кредитной истории кредитного отчета, сведений о среднемесячных платежах, индивидуального рейтинга субъекта кредитной истории бюро кредитных историй вносит в дополнительную (закрытую) часть кредитной истории информацию, предусмотренную пунктом 2 части 4 и (или) пунктом 2 части 8 статьи 4 настоящего Федерального закона.
(часть 5 в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
6. Кредитные отчеты предоставляются субъекту кредитной истории по его запросу в одной из двух форм:
1) в письменной форме, заверенной печатью бюро кредитных историй (при ее наличии) и подписью руководителя бюро кредитных историй или его заместителя;
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
2) в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации или иным аналогом собственноручной подписи руководителя либо иного уполномоченного лица бюро кредитных историй.
(в ред. Федеральных законов от 06.04.2011 N 65-ФЗ, от 11.07.2011 N 200-ФЗ)
(см. текст в предыдущей редакции)
6.1. Запрос субъекта кредитной истории — физического лица, за исключением индивидуального предпринимателя, о предоставлении кредитного отчета может быть направлен:
1) в письменной форме на бумажном носителе с собственноручной подписью субъекта кредитной истории при представлении в бюро кредитных историй, а также в заключившую с субъектом кредитной истории договор на предоставление кредитного отчета кредитную организацию или некредитную финансовую организацию, указанную в статье 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», за исключением организации, осуществляющей клиринговую деятельность, деятельность по осуществлению функций центрального контрагента, деятельность организатора торговли, деятельность центрального депозитария, репозитарную деятельность, актуарную деятельность, кредитных рейтинговых агентств или ломбардов (далее — поднадзорная Банку России организация), субъектом кредитной истории паспорта или иного документа, удостоверяющего личность;
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
2) в форме электронного документа, подписанного одним из следующих способов:
а) усиленной квалифицированной электронной подписью;
б) простой электронной подписью, ключ которой получен при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации;
в) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории и бюро кредитных историй, при условии проведения бюро кредитных историй идентификации такого субъекта кредитной истории в соответствии с пунктом 1 части 7.2 настоящей статьи;
г) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории, находящимся на обслуживании в кредитной организации, и этой кредитной организацией, через которую указанный субъект кредитной истории обращается за получением кредитного отчета и которая заключила договор об оказании информационных услуг с бюро кредитных историй, в которое направляется запрос, после проведения указанной кредитной организацией идентификации такого субъекта кредитной истории при приеме его на обслуживание в соответствии с требованиями подпункта 1 пункта 1 (за исключением упрощенной идентификации клиента — физического лица) или пункта 5.8 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
3) в письменной форме на бумажном носителе с собственноручной подписью субъекта кредитной истории, подлинность которой засвидетельствована нотариусом в соответствии с законодательством Российской Федерации о нотариате;
4) в форме телеграммы, заверенной оператором связи в соответствии с законодательством Российской Федерации в области связи при предъявлении субъектом кредитной истории оператору связи паспорта или иного документа, удостоверяющего личность.
(часть 6.1 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
6.2. В случае направления субъектом кредитной истории — физическим лицом, за исключением индивидуального предпринимателя, запроса о предоставлении кредитного отчета в порядке, предусмотренном подпунктом «г» пункта 2 части 6.1 настоящей статьи, кредитная организация не вправе ознакамливаться с содержанием этого кредитного отчета.
(часть 6.2 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
6.3. В запросы, направляемые субъектом кредитной истории — физическим лицом, за исключением индивидуального предпринимателя, в соответствии с подпунктом «г» пункта 2, пунктами 3 и 4 части 6.1 настоящей статьи, должна включаться следующая информация об указанном субъекте кредитной истории — фамилия, имя, отчество (при наличии), серия и номер документа, удостоверяющего личность, а также дата рождения.
(часть 6.3 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
6.4. Запрос субъекта кредитной истории — индивидуального предпринимателя либо субъекта кредитной истории — юридического лица о предоставлении кредитного отчета может быть направлен:
1) в письменной форме на бумажном носителе с собственноручной подписью субъекта кредитной истории — индивидуального предпринимателя либо уполномоченного представителя юридического лица, являющегося субъектом кредитной истории, при представлении в бюро кредитных историй, поднадзорную Банку России организацию, с которой у бюро кредитных историй заключен договор в соответствии с частью 3 статьи 9 настоящего Федерального закона, индивидуальным предпринимателем паспорта или иного документа, удостоверяющего личность, а уполномоченным представителем указанного юридического лица паспорта или иного документа, удостоверяющего личность, и документа, подтверждающего его полномочия;
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
2) в форме электронного документа, подписанного одним из следующих способов:
а) усиленной квалифицированной электронной подписью;
б) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории (индивидуальным предпринимателем либо юридическим лицом) и бюро кредитных историй, при заключении которого бюро кредитных историй была проведена идентификация указанного субъекта кредитной истории в соответствии с пунктом 1 части 7.3 настоящей статьи;
в) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории (индивидуальным предпринимателем либо юридическим лицом), находящимся на обслуживании в кредитной организации, и этой кредитной организацией, через которую указанный субъект кредитной истории обращается за получением кредитного отчета и которая заключила договор об оказании информационных услуг с бюро кредитных историй, в которое направляется запрос, после проведения этой кредитной организацией идентификации такого субъекта кредитной истории при приеме его на обслуживание в соответствии с требованиями подпункта 1 пункта 1 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
3) в письменной форме на бумажном носителе с собственноручной подписью субъекта кредитной истории — индивидуального предпринимателя либо уполномоченного представителя юридического лица, являющегося субъектом кредитной истории, подлинность которой засвидетельствована нотариусом в соответствии с законодательством Российской Федерации о нотариате;
4) в форме телеграммы, заверенной оператором связи в соответствии с законодательством Российской Федерации в области связи при предъявлении оператору связи субъектом кредитной истории — индивидуальным предпринимателем паспорта или иного документа, удостоверяющего личность, а уполномоченным представителем юридического лица, являющегося субъектом кредитной истории, паспорта или иного документа, удостоверяющего личность, и документа, подтверждающего его полномочия.
(часть 6.4 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
6.5. В случае направления субъектом кредитной истории — индивидуальным предпринимателем либо субъектом кредитной истории — юридическим лицом запроса о предоставлении кредитного отчета в порядке, предусмотренном подпунктом «в» пункта 2 части 6.4 настоящей статьи, кредитная организация не вправе ознакамливаться с содержанием этого кредитного отчета.
(часть 6.5 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
6.6. В запросы, направляемые субъектом кредитной истории — индивидуальным предпринимателем либо субъектом кредитной истории — юридическим лицом в соответствии с подпунктом «в» пункта 2, пунктами 3 и 4 части 6.4 настоящей статьи, должна включаться следующая информация о соответствующем субъекте кредитной истории:
1) об индивидуальном предпринимателе — фамилия, имя, отчество (при наличии), серия и номер документа, удостоверяющего личность, а также дата рождения, основной государственный регистрационный номер, индивидуальный номер налогоплательщика;
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
2) о юридическом лице — наименование, фирменное наименование (сокращенное фирменное наименование при наличии) юридического лица, основной государственный регистрационный номер, идентификационный номер налогоплательщика. В запросы, направляемые субъектом кредитной истории — юридическим лицом в соответствии с пунктом 4 части 6.4 настоящей статьи, также должна включаться информация об уполномоченном представителе указанного юридического лица (фамилия, имя, отчество (при наличии), серия и номер документа, удостоверяющего личность, и сведения о документе, подтверждающем его полномочия).
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
(часть 6.6 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
7. Бюро кредитных историй, осуществив идентификацию субъекта кредитной истории, предоставляет ему кредитный отчет:
1) при личном обращении в бюро кредитных историй — в день обращения;
2) в ином случае — в срок, не превышающий трех рабочих дней со дня получения запроса.
(часть 7 в ред. Федерального закона от 28.06.2014 N 189-ФЗ)
(см. текст в предыдущей редакции)
7.1. Бюро кредитных историй, осуществив идентификацию пользователя кредитной истории, предоставляет ему кредитный отчет в срок, не превышающий трех рабочих дней со дня обращения с запросом о его предоставлении.
(часть 7.1 введена Федеральным законом от 28.06.2014 N 189-ФЗ)
7.2. Идентификация субъекта кредитной истории — физического лица, за исключением индивидуального предпринимателя, в целях предоставления ему кредитного отчета проводится бюро кредитных историй одним из следующих способов:
1) посредством личного представления субъектом кредитной истории паспорта или иного документа, удостоверяющего личность;
2) посредством прохождения субъектом кредитной истории авторизации в единой системе идентификации и аутентификации при использовании усиленной квалифицированной электронной подписи или простой электронной подписи, ключ которой получен при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации. Идентификация, предусмотренная настоящим пунктом, проводится на основании следующих сведений о субъекте кредитной истории, предоставленных из единой системы идентификации и аутентификации, — фамилии, имени, отчества (при наличии), серии и номера документа, удостоверяющего личность, а также даты рождения;
3) на основании информации о субъекте кредитной истории, содержащейся в запросах, направленных в соответствии с подпунктом «г» пункта 2, пунктами 3 и 4 части 6.1 настоящей статьи;
4) на основании информации о субъекте кредитной истории, содержащейся в его запросе, направленном через поднадзорную Банку России организацию в соответствии с пунктом 1 части 6.1 настоящей статьи и части 3 статьи 9 настоящего Федерального закона.
(п. 4 введен Федеральным законом от 31.07.2020 N 302-ФЗ)
(часть 7.2 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
7.3. Идентификация субъекта кредитной истории — индивидуального предпринимателя или субъекта кредитной истории — юридического лица в целях предоставления им кредитного отчета проводится бюро кредитных историй одним из следующих способов:
1) посредством личного представления субъектом кредитной истории — индивидуальным предпринимателем паспорта или иного документа, удостоверяющего личность, а уполномоченным представителем юридического лица, являющегося субъектом кредитной истории, паспорта или иного документа, удостоверяющего личность, а также документа, подтверждающего его полномочия;
2) с использованием квалифицированного сертификата ключа проверки электронной подписи при направлении субъектом кредитной истории — индивидуальным предпринимателем или субъектом кредитной истории — юридическим лицом запроса о предоставлении кредитного отчета в форме электронного документа, подписанного усиленной квалифицированной электронной подписью;
3) на основании информации о субъекте кредитной истории, содержащейся в запросах, направленных в соответствии с подпунктом «в» пункта 2, пунктами 3 и 4 части 6.4 настоящей статьи;
4) на основании информации о субъекте кредитной истории, содержащейся в его запросе, направленном через поднадзорную Банку России организацию в соответствии с пунктом 1 части 6.4 настоящей статьи и части 3 статьи 9 настоящего Федерального закона.
(п. 4 введен Федеральным законом от 31.07.2020 N 302-ФЗ)
(часть 7.3 введена Федеральным законом от 03.08.2018 N 327-ФЗ)
8. Кредитный отчет предоставляется пользователям кредитных историй и арбитражному управляющему, утвержденному в деле о несостоятельности (банкротстве) субъекта кредитной истории — физического лица, только в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации или иным аналогом собственноручной подписи руководителя бюро кредитных историй либо иного уполномоченного лица бюро кредитных историй.
(в ред. Федеральных законов от 06.04.2011 N 65-ФЗ, от 11.07.2011 N 200-ФЗ, от 29.06.2015 N 154-ФЗ, от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
9. Кредитный отчет предоставляется пользователю кредитной истории с согласия субъекта кредитной истории. Согласие субъекта кредитной истории должно содержать сведения, предусмотренные частью 2 (в отношении физических лиц) или частью 6 (в отношении юридических лиц) статьи 4 настоящего Федерального закона, цель (цели) и дату оформления указанного согласия, а также наименование пользователя кредитной истории — юридического лица либо фамилию, имя и отчество (при наличии) пользователя кредитной истории — индивидуального предпринимателя. Согласие субъекта кредитной истории на получение его кредитного отчета может быть получено пользователем кредитной истории:
(в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
1) в письменной форме на бумажном носителе с собственноручной подписью субъекта кредитной истории — физического лица, в том числе индивидуального предпринимателя, или уполномоченного представителя юридического лица, являющегося субъектом кредитной истории, при представлении пользователю кредитной истории физическим лицом, в том числе индивидуальным предпринимателем, паспорта или иного документа, удостоверяющего личность, а уполномоченным представителем указанного юридического лица паспорта или иного документа, удостоверяющего личность, и документа, подтверждающего его полномочия;
2) в форме электронного документа, подписанного субъектом кредитной истории — физическим лицом, за исключением индивидуального предпринимателя, одним из следующих способов:
а) усиленной квалифицированной электронной подписью;
б) простой электронной подписью, ключ которой получен при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации;
в) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории и пользователем кредитной истории, при заключении которого указанным субъектом кредитной истории был предъявлен паспорт или иной документ, удостоверяющий личность;
г) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории и пользователем кредитной истории, являющимся организацией, осуществляющей операции с денежными средствами или иным имуществом, после проведения таким пользователем кредитной истории идентификации этого субъекта кредитной истории при приеме его на обслуживание в соответствии с требованиями подпункта 1 пункта 1 или пункта 5.8 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
(пп. «г» в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
3) в форме электронного документа, подписанного субъектом кредитной истории — индивидуальным предпринимателем или субъектом кредитной истории — юридическим лицом одним из следующих способов:
а) усиленной квалифицированной электронной подписью;
б) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории (индивидуальным предпринимателем или юридическим лицом) и пользователем кредитной истории, при заключении которого субъектом кредитной истории — индивидуальным предпринимателем был предъявлен паспорт или иной документ, удостоверяющий личность, а уполномоченным представителем юридического лица, являющегося субъектом кредитной истории, паспорт или иной документ, удостоверяющий личность, и документ, подтверждающий его полномочия;
в) простой электронной подписью или усиленной неквалифицированной электронной подписью в случае, если использование соответствующей электронной подписи предусмотрено соглашением между субъектом кредитной истории (индивидуальным предпринимателем или юридическим лицом), находящимся на обслуживании в организации, осуществляющей операции с денежными средствами или иным имуществом, и пользователем кредитной истории, являющимся указанной организацией, осуществляющей операции с денежными средствами или иным имуществом, после проведения таким пользователем кредитной истории идентификации этого субъекта кредитной истории при приеме его на обслуживание в соответствии с требованиями подпункта 1 пункта 1 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
(часть 9 в ред. Федерального закона от 03.08.2018 N 327-ФЗ)
(см. текст в предыдущей редакции)
9.1. Информационная часть кредитной истории предоставляется юридическим лицам и индивидуальным предпринимателям в целях выдачи займа (кредита) без согласия субъекта кредитной истории в срок, не превышающий пяти рабочих дней со дня обращения в бюро кредитных историй с запросом о предоставлении такой информационной части.
(часть 9.1 в ред. Федерального закона от 28.06.2014 N 189-ФЗ)
(см. текст в предыдущей редакции)
9.2. Утратил силу с 1 января 2022 года. — Федеральный закон от 31.07.2020 N 302-ФЗ.
(см. текст в предыдущей редакции)
10. Согласие субъекта кредитной истории, полученное пользователем кредитной истории, считается действительным в течение шести месяцев со дня его оформления. Согласие субъекта кредитной истории, отнесенного к категории субъектов малого и среднего предпринимательства в соответствии с Федеральным законом от 24 июля 2007 года N 209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации», а также согласие субъекта кредитной истории — физического лица, предоставленное в целях заключения сделки (включая договоры обеспечения по таким сделкам) с субъектом малого и среднего предпринимательства, считается действительным в течение одного года со дня его оформления. В случае, если в течение указанного срока действия согласия с субъектом кредитной истории были заключены договор займа (кредита), договор лизинга, договор залога, договор поручительства, выдана независимая гарантия, согласие субъекта кредитной истории сохраняет силу в течение всего срока действия таких договоров или действия такой гарантии. В случае, если в течение срока действия согласия, сохранившего силу в течение всего срока действия вышеуказанных заключенных договоров, с субъектом кредитной истории был заключен договор займа (кредита), согласие субъекта кредитной истории сохраняет силу в течение всего срока действия вновь заключенного договора.
(часть 10 в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
10.1. По истечении срока действия согласия субъекта кредитной истории, установленного частью 10 настоящей статьи, пользователь кредитной истории, получивший это согласие, не вправе запрашивать в бюро кредитных историй основную часть кредитной истории.
(часть 10.1 введена Федеральным законом от 28.06.2014 N 189-ФЗ)
Ч. 11 ст. 6 (в ред. ФЗ от 24.07.2023 N 352-ФЗ) распространяется на согласия субъектов кредитной истории, предоставленные пользователям кредитной истории до 01.09.2023.
11. В случае уступки права требования по договору займа (кредита) или иному договору, информация об обязательствах по которому передается в бюро кредитных историй, согласие субъекта кредитной истории считается данным правопреемнику по заключенному договору займа (кредита) или иному договору, информация об обязательствах по которым передается в бюро кредитных историй. Согласие субъекта кредитной истории считается данным обслуживающей организации, осуществляющей обслуживание денежных требований по договору займа (кредита) или иному договору, информация об обязательствах по которым передается в бюро кредитных историй, в случае, если это предусмотрено договором между единым институтом развития в жилищной сфере, специализированным финансовым обществом, которому были уступлены соответствующие права требования, или ипотечным агентом и этой обслуживающей организацией. Согласие субъекта кредитной истории, предоставленное пользователю кредитной истории, считается данным также единому институту развития в жилищной сфере для оценки кредитного риска по договорам займа (кредита), права требования по которым могут быть уступлены пользователем кредитной истории ипотечному агенту в целях выпуска облигаций с ипотечным покрытием, обеспеченных поручительством единого института развития в жилищной сфере, и которые указаны в соглашении между пользователем кредитной истории, единым институтом развития в жилищной сфере и ипотечным агентом, а также по договорам займа (кредита), уступленным пользователем кредитной истории ипотечному агенту в целях выпуска указанных облигаций.
(в ред. Федеральных законов от 31.07.2020 N 302-ФЗ, от 24.07.2023 N 352-ФЗ)
(см. текст в предыдущей редакции)
11.1. Утратил силу с 1 марта 2015 года. — Федеральный закон от 28.06.2014 N 189-ФЗ.
(см. текст в предыдущей редакции)
До 31.12.2023 (включительно) в отношении источников формирования кредитных историй — лизинговых компаний не применяются меры за неисполнение требований ч. 12 ст. 6, действующих с 01.01.2022 (Письмо Банка России от 06.05.2022 N ИН-03-46/63).
12. При запросе кредитного отчета пользователь по форме, установленной Банком России, подтверждает бюро кредитных историй наличие согласия субъекта кредитной истории путем указания сведений о таком согласии, включающих цель (цели) и дату выдачи, а также в случае заключения договора, информация об обязательствах по которому подлежит передаче в бюро кредитных историй, — дату его заключения и в случаях, предусмотренных частью 11 настоящей статьи, основания передачи согласия (при их наличии). Согласие субъекта кредитной истории на получение основной части кредитной истории хранится в течение трех лет со дня окончания срока действия данного согласия в любой форме, в том числе электронной, позволяющей проверить его целостность и достоверность.
(в ред. Федеральных законов от 03.08.2018 N 327-ФЗ, от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
13. Информация по запросам, указанным в пунктах 4 — 6 и 8 части 1 настоящей статьи, предоставляется при условии указания в запросе информации, позволяющей установить субъект кредитной истории, в отношении которого запрашивается информация.
(часть 13 в ред. Федерального закона от 31.07.2020 N 302-ФЗ)
(см. текст в предыдущей редакции)
14. Пользователи кредитных историй, источники формирования кредитных историй и иные лица, получившие в соответствии с настоящим Федеральным законом доступ к информации, входящей в состав кредитной истории, и (или) к коду субъекта кредитной истории, обязаны не разглашать третьим лицам указанную информацию. За разглашение или незаконное использование данной информации указанные лица несут ответственность в порядке, предусмотренном законодательством Российской Федерации.
(в ред. Федерального закона от 21.07.2005 N 110-ФЗ)
(см. текст в предыдущей редакции)
15. Предоставление бюро кредитных историй кредитного отчета пользователю кредитной истории и иным лицам, имеющим право на получение кредитного отчета в соответствии с настоящим Федеральным законом, не является нарушением служебной, банковской, налоговой или коммерческой тайны.
Как работать с персональными данными клиентов и собирать согласия на их обработку в 2023 году
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Статья участника сообщества и нашей редакции
Ульяна Жаркова
Кира Лукашина
Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Статья участника сообщества и нашей редакции
Ульяна Жаркова
Кира Лукашина
Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше
Если работаете с клиентами, наверняка спрашиваете их персональные данные — например, ФИО, адрес проживания, номер телефона, дату рождения. Такие данные обычно нужны, чтобы отправить заказ, прислать клиенту в день рождения промокод на скидку или составить договор оказания услуг.
В некоторых случаях нужно получить согласие на обработку личных данных. Частый пример — клиента просят поставить галочку в чекбоксе, что согласен получать email-рассылку. Если без спроса отправить рекламную рассылку, можно получить штраф.
Разобрались с экспертами, как бизнесу работать с персональными данными клиентов — в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.
Когда необходимо собирать согласия на обработку персональных данных
Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, e-mail, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.
Бизнес может обрабатывать — то есть получать, использовать или передавать такие данные клиентов — только с их согласия. Однако есть ситуации, когда оно не нужно:
- для исполнения договора с клиентом — например, курьеру нужен номер телефона получателя, чтобы узнать, куда доставить заказ;
- по закону — например, если персональные данные клиента содержатся в документах бухгалтерского и налогового учета, которые вы обязаны хранить в течение определенного срока;
- по требованию официального лица — например, если пришел следователь и просит данные ваших клиентов для расследования дела, придется их передать.
Посмотрим, как это работает на примере.
Клиент заказывает у Ивана товар с доставкой на дом. Для этого ему нужно указать адрес — иначе не получится исполнить договор. Значит, согласие на обработку данных об адресе не нужно.
Еще Иван хочет отправлять клиенту СМС с рекламными рассылками и промокодом на следующий заказ. Это не обязательно для исполнения договора, поэтому необходимо получить согласие клиента.
Некоторые юристы советуют подстраховаться и всегда получать согласие на обработку персональных данных — когда нужно и когда нет. Но это не спасает бизнес от рисков: за ошибки в форме согласия можно также получить штраф.
Поэтому рекомендуем проконсультироваться с юристом, в каких случаях вашему бизнесу нужно согласие, а когда нет.
«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?
Если ответ „да“, надо запрашивать согласие на обработку этих данных.
Например, клиент оставил вам свой e-mail или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.
Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.
Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.
Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».
Кира Лукашина
Эксперты выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:
- Компания собирает на сайте cookie-файлы.
- На сайте компании клиент может оставить контактную информацию, чтобы подписаться на email-рассылку.
- Компания узнает данные офлайн для подключения клиента к программе лояльности.
Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.
Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.
Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie. Идеально, если посетитель сайта не сможет им пользоваться, пока не согласится с обработкой cookie.
Клиент оставил свои данные на сайте, чтобы получать email-рассылку. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов в рекламных целях. Если хотите отправлять клиенту по почте рассылку или промокоды, нужно его согласие.
Компания узнает информацию о клиенте офлайн для подключения клиента к программе лояльности. Неважно, как вы собираете данные клиента — на бумаге или клиент сообщает вам их устно, а вы сами эти данные где-то записываете, надо получать согласие на обработку персональных данных.
Способы сбора согласий на обработку персональных данных
Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству ситуаций они не относятся.
Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных. Например, если собираете данные для выдачи сотруднику пропуска в офис, их надо хранить, пока человек у вас работает.
В таблице — популярные способы сбора согласий.
Рассмотрим каждый из способов.
Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.
Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.
Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.
Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.
Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.
Что нужно сделать перед тем, как начать собирать персональные данные
Если бизнесу понадобились персональные данные, например, чтобы отправить промокод на скидку, просто так их запросить нельзя. Сначала нужно определить ответственного, уведомить Роскомнадзор и подготовить документы.
Определить ответственного. Нужно выбрать сотрудника, который будет отвечать за обработку персональных данных. Если сотрудников нет, тогда им становится сам ИП.
Ответственный должен следить за изменениями в законе о персональных данных, контролировать, чтобы все сотрудники соблюдали эти законы, реагировать на запросы Роскомнадзора или клиентов.
Когда выберете ответственного сотрудника, надо подготовить об этом приказ.
Уведомить Роскомнадзор. До начала работы с персональным данными бизнес должен уведомить об этом Роскомнадзор. Это можно сделать тремя способами:
- через сайт ведомства, если есть УКЭП;
- через Госуслуги;
- на бумаге в территориальном подразделении ведомства;
В течение 30 дней Роскомнадзор внесет компанию или ИП в реестр операторов. Если какие-то данные не указали, сотрудники ведомства могут их уточнить. После того, как бизнес добавили в реестр операторов, можно собирать и обрабатывать персональные данные.
С 2022 года уведомлять Роскомнадзор не нужно только в двух случаях:
- Обрабатываете персональные данные без автоматизации — то есть записываете их вручную на бумаге.
- Обрабатываете персональные данные в государственных защищенных системах — например, ЕГАИС, «Работа в России», «Меркурий».
Это редкие случаи — большинство ИП и компаний должны уведомить Роскомнадзор. Сделать это нужно только один раз, но надо сообщать об изменениях, если:
- изменились сведения, которые вы ранее предоставили в Роскомнадзор, например состав запрашиваемых персональных данных или ответственный за обработку персональных данных;
- прекращаете собирать и обрабатывать персональные данные, например при закрытии ИП или компании.
Сообщить об изменениях в работе нужно до 15 числа следующего месяца.
Еще с 2022 года бизнес обязан уведомлять об утечке персональных данных. Если такое случится, нужно:
- Отправить первичное уведомление в Роскомнадзор в течение 24 часов. В нем надо объяснить предполагаемую причину утечки и причиненный вред клиентам, рассказать, как планируете решать проблему. Сделать это можно на сайте ведомства в разделе «Инциденты».
- Провести внутреннюю проверку — почему так вышло и кто виноват в утечке.
- Отправить в Роскомнадзор результаты внутренней проверки в течение 72 часов. В этом документе надо указать установленную причину утечки, виновных и меры, которые приняли, чтобы ситуация не повторилась. Заполнить и отправить уведомление можно в том же разделе «Инциденты».
Если не сообщить Роскомнадзору об утечке вовремя или вообще не направить уведомления, могут оштрафовать: ИП — от 300 до 500 ₽, малые предприятия — от 1500 до 2500 ₽, средние и крупные компании — от 3000 до 5000 ₽.
Подготовить документы. Закон требует подготовить только политику обработки персональных данных. Но обычно бизнес помимо политики готовит еще и положение о защите данных. Кроме того, отдельно оформляют форму согласия на обработку персональных данных для удобства клиентов.
Посмотрим, что должно быть в каждом документе.
Название документа | Для чего он нужен | Что важно прописать |
---|---|---|
Политика обработки персональных данных | Этот документ может называться и по-другому, например, политика конфиденциальности. Главное — в нем написать, какая компания или ИП будут собирать данные, зачем и что с ними будут делать. |
— зачем собираете персональные данные;
— какие данные собираете;
— как и сколько времени будете обрабатывать данные;
Публиковать документ на сайте не нужно.
— кто из штата имеет доступ к персональным данным;
— как защищены информационные системы, в которых храните и обрабатываете данные;
Есть случаи, когда нужно получать только письменное согласие. Например, при обработке биометрических или специальных категорий данных.
— реквизиты лица, обрабатывающего данные по поручению;
— цель обработки персональных данных;
— список персональных данных;
— срок действия согласия;
— порядок отзыва согласия;
Как составить письменное согласие на обработку персональных данных
Посмотрим, как составить согласие на обработку персональных данных.
Сформулировать цель обработки персональных данных. Можно собирать персональные данные, которые точно нужны для работы. Закон запрещает собирать избыточные данные, не нужные для цели, которую вы заявляете в согласии.
В одном согласии укажите только одну цель. Нельзя брать одно согласие на обработку данных для нескольких целей. Также нельзя собирать согласия на обработку неограниченного перечня данных. Список собираемых персональных данных должен быть четко определен.
Чтобы отправить пиццу, бизнесу необходимо знать адрес и номер телефона, чтобы курьер мог позвонить. А вот информация о вкусовых предпочтениях, семье или работе не нужна.
Если пиццерия запустит программу лояльности, по которой дают скидку на день рождения, тогда можно будет запросить дату рождения. Но для этой цели понадобится отдельное согласие.
Если бизнес все-таки спрашивает необязательные данные, а клиент отказывается их передать — нельзя отказать ему в услуге.
Нет конкретного перечня личных данных, которые необходимы для каждой цели. Однако каждый запрос данных нужно обосновать. Клиент имеет право требовать объяснения, зачем бизнесу его данные. Тогда необходимо в течение семи дней ответить на обращение. Если клиент спросил лично, ответить нужно сразу.
Подготовить документ. Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту письменного согласия — изучите их при подготовке формы.
Вот примерный перечень того, что нужно указать в согласии:
- наименование вашей компании как оператора, который получает согласие субъекта персональных данных, например ООО «АБВ», адрес;
- ФИО, адрес субъекта, данные паспорта;
- цель обработки персональных данных, например участие в программе лояльности, рекламные рассылки;
- перечень персональных данных, на обработку которых человек дает согласие: ФИО, дата рождения, адрес, телефон, e-mail и другие;
- перечень действий с персональными данными, на совершение которых человек дает согласие, например сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных;
- конкретный перечень лиц, которым могут быть переданы данные, если вы собираетесь передавать их другим компаниям. Например, ООО «Ромашка», ИНН, адрес;
- срок действия согласия: сколько времени нужно для достижения цели обработки данных, например «На срок участия покупателя в программе лояльности»;
- способ, которым человек может отозвать согласие, например отправить письменный запрос в свободной форме на адрес вашей компании или заполнить специальную форму на сайте, отписаться через кнопку отписки в e-mail.
Закон не обязывает писать документы на непонятном юридическом языке. У вас есть возможность сделать документы понятными для клиентов и тем самым завоевать их лояльность. Вот что на этот счет говорит юрист:
«Правила по работе с персональными данными стали строже для бизнеса. И многие предприниматели и компании относятся к этому негативно. Однако правильная работа с персональными данными может стать конкурентным преимуществом.
Приведу пример: раньше по закону все продуктовые магазины должны были вернуть деньги за товар или обменять, если он испортился. Но только ВкусВилл заявил: магазин вернет деньги, если товар испорчен или не нравится его вкус. При этом не надо никаких чеков и заявлений. Таким шагом они завоевали лояльную аудиторию. Сейчас так уже делают многие компании, но пять лет назад ВкусВилл стал первым.
Сейчас у бизнеса есть возможность завоевать лояльность аудитории, если они сделают работу с персональными данными прозрачной и удобной. Такая забота поможет выделиться на фоне конкурентов. Покажу ниже удачный вариант документа».
Павел Мищенко
Юрист, управляющий партнер Runetlex
Что делать, если клиент хочет отозвать согласие
Клиент может отозвать согласие на обработку данных в любое время. В этом случае бизнес должен их уничтожить. Как это делать, зависит от способа обработки:
- если данные обрабатывались только вручную, нужно выписать акт об их уничтожении;
- если данные обрабатывались автоматически, нужно выписать акт об их уничтожении и сделать выгрузку из журнала регистрации событий в информационной системе персональных данных.
Хранить акт и выгрузку из журнала нужно в течение трех лет с момента уничтожения персональных данных.
После отзыва согласия бизнес больше не может использовать данные клиента. Например, нельзя отправить такому клиенту промокод на электронную почту. Однако вы можете продолжать использовать персональные данные, если есть другие основания для этого. Например, для исполнения договора, который заключили с этим клиентом, или для выполнения требований закона.
Также надо уничтожить персональные данные даже без отзыва клиента, если достигли цели, для которой их запрашивали. Это нужно сделать в течение 30 дней.
Если данные хранились на бумаге, проще всего уничтожить через шредер. Если на компьютере, надо форматировать диск, удалить из базы данных. Как именно надо уничтожить, закон не поясняет. Главное — чтобы никто не смог восстановить данные в будущем.
Топ-5 ошибок компаний при сборе персональных данных
Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на каком-то сайте собирают данные, не стоит копировать методику, она может быть некорректной.
Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.
❌ В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.
Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.
❌ Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен самостоятельно поставить галочку, иначе это нарушение закона: согласия в явной форме не было.
Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в надзорный орган, бизнес может получить штраф.
❌ В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.
❌ В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.
❌ В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.
Как накажут бизнес, который не соблюдает правила обработки персональных данных
Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.
Размер штрафа зависит от вида нарушения и вида бизнеса. Например, для малого бизнеса действуют пониженные штрафы.
Какое правило нарушили | Штраф | Основание |
---|---|---|
Обрабатывали данные с иными целями, чем указаны в согласии | За первое нарушение: |
для ИП — от 10 000 до 20 000 ₽;
для малых предприятий — от 30 000 до 50 000 ₽ ;
для средних и крупных компаний — от 60 000 до 100 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 50 000 до 100 000 ₽;
для ИП — от 20 000 до 40 000 ₽;
для малых предприятий — от 15 000 до 75 000 ₽;
для средних и крупных компаний: от 30 000 до 150 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 100 000 до 300 000 ₽;
для ИП и малых предприятий — от 20 000 до 40 000 ₽;
для средних и крупных компаний — от 50 000 до 90 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 50 000 до 100 000 ₽;
для малых предприятий
— от 1500 до 2500 ₽;
Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.
Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.
Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.
Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.
Главное
- Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, нужно ответить на два вопроса: «Оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?» и «Есть ли у вас другие основания для обработки персональных данных, кроме согласия?»