Интервью с руководителем направления аудита и консалтинга компании Softline Лепехиной Виталией
Добрый день, Алексей! Если говорить строгими терминами закона, то
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка личных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Таким образом, получается, что персональными данными является любая информация о человеке, которая позволит Вам этого человека так или иначе идентифицировать. Например, я на память знаю номер мобильного телефона моей мамы, соответственно, этого номера мне будет достаточно для ее идентификации, ну а если серьезно, то той информации, которую обрабатывают в коллекторских агентствах более чем достаточно для идентификации субъекта персональных данных. Т.е. в данном случае мы имеем дело с так называемыми персональными данными второй категории.
Что же касается обработки этих данных, то, как мы видим из определения, под этот термин подпадает любое ваше действие с персональными данными: вы их получили у субъекта- уже обрабатываете, просто храните в общей базе данных на сервере — уже храните. Как это не смешно звучит, но даже удаление личных данных является их обработкой.
— Получается, что любой, сбор, хранение и т.п. сведений о должниках — физических лицах и сотрудниках должников-компаний, осуществляемый кредиторами или нанятыми кредитором коллекторами представляет собой обработку персональных данных?
Да, именно так. Даже запись телефонного разговора (что, как мы знаем, делают все коллекторы) является обработкой ПДн, т.к. в начале разговора происходит идентификация клиента.
— Требуется ли кредитору при взыскании долга в обязательном порядке иметь согласие должника на обработку его персональных данных или такого согласия не требуется в силу того, что кредитор действует в целях восстановления нарушенных должником прав кредитора на получение оплаты?
Понимаете, Алексей, в данном случае вопрос необходимо рассматривать с нескольких сторон.
Если взысканием долга занимается сам кредитор, а обязательство о возврате долга было прописано в договоре между должником и кредитором, то согласие на обработку ПДн от субъекта не требуется, т.к. в этом случае обработка ведется на основании части 1 статьи 6 ФЗ-152, а именно для осуществления правосудия или исполнения судебного акта (пп. 3) — в случае, если уже есть решение суда; для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп. 5) либо на основании пп. 7 — для осуществления прав и законных интересов оператора
— А требуется ли согласие должника на обработку его персональных данных, в случае если кредитор поручил взыскание долга коллекторам? И если требуется, то кто его должен получить — кредитор или коллектор? И в каком порядке и в каком виде?
Если же взыскание долга поручено коллектору (являющемуся самостоятельным юридическим лицом), то у кредитора должно быть согласие должника на передачу его персональных данных такому коллектору, поскольку в данном случае мы имеем дело с так называемой передачей ПДн в обработку третьему лицу. Более того, по текущему законодательству, такое согласие должно быть получено в письменной форме и содержать в себе наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (пп.6 части 4 статьи 9). Как мы понимаем, такое согласие получить с должника можно только на этапе выдачи кредита, когда заемщик готов практически на все. После того, как возникла задолженность, такое согласие получить уже невозможно.
— В ходе процесса по взысканию долга с физического лица весьма часто со стороны кредиторов и коллекторов собираются сведения о родственниках должника — физического лица. Насколько это, на Ваш взгляд законно, и требуется ли кредитору или нанятому им коллектору получать согласие на обработку персональных данных родственников должника — физического лица? Если да, то от должника или непосредственно от родственника должника? В каком порядке и в какой форме?
Как много вопросов сразу, ну, во — первых, сбор сведений о родственниках должника является в данном случае абсолютно не законным. Если же такой процесс происходит, то необходимо иметь согласие этих людей на обработку их персональных данных. Причем получать это согласие надо либо непосредственно у самого человека (не должника), либо у его законного представителя. Ну а как и каким образом будут получать это согласие — это уже каждый кредитор/коллектор должен решить сам.- .
— В том случае, если должник считает, что его права в сфере персональных данных нарушены кредитором или нанятым кредитором коллектором, куда он может обратиться и чем это чревато кредитору и коллектору?
В случае, если должник считает, что его права в части обработки ПДн нарушаются, то он может написать заявление непосредственно в саму организацию, которая пытается получить с него долг и попросить прекратить обработку его персональных данных, либо написать жалобу в Роскомнадзор, являющийся уполномоченным органом по защите интересов и прав субъектов персональных данных. В каждом из этих случае, в своем заявлении должнику придется указать все свои ПДн.
Ну а коллектору и кредитору такая жалоба в Роскомнадзор может обернуться плановой или внеплановой проверкой со стороны Роскомнадзора.
— Какие ключевые шаги необходимо предпринять кредитору, для того чтобы должник не мог обвинить его в нарушении законодательства о персональных данных?
Тут может быть только один шаг — выполнить требования закона. Поскольку закон предусматривает очень много требований (извините за тавтологию) к техническим и организационным мерам, то такой проект может быть не под силу внутренним специалистам компании. Очень часто для выполнения всех требований привлекаются внешние консалтинговые компании.
— Каким моментам должна соответствовать консалтинговая компания, чтобы выполнить подобный проект?
Консалтинговая компания должна иметь богатый опыт выполнения подобных проектов для предприятий и организаций из различных сфер деятельности, в том числе и для кредитных организаций. Также крайне желательно, чтобы консалтинговая компания являлась действительным членом некоммерческого партнерства АБИСС, знала специфику кредитных организаций и выполняла проекты в том числе с учетом требований отраслевого банковского стандарта СТО БР ИББС.
Говоря о критериях, которым должна соответствовать консалтинговая компания, хочу отметить, что компании Softline, которую я представляю, в полной мере им соответствует и имеет опыт реализации подобных проектов.
— А какие шаги необходимо предпринять коллектору, нанятому кредитором, чтобы должник не мог обвинить коллектора в нарушении законодательства о персональных данных?
Между коллектором и кредитором должны быть заключены так называемые договоры поручения. Это позволит коллектору вести обработку без согласия субъекта персональных данных. И, в любом, случае, коллектору также как и кредитору необходимо выполнить требования законодательства по защите персональных данных
Конечно, эти деньги никто не собирается дарить населению. Кредитные организации всегда используют все возможные способы для взыскания проблемных задолженностей и часто к этому процессу привлекаются коллекторские агентства. Их можно понять, так как все методы, используемые для взыскания денежных средств, это результат горького опыта борьбы, в том числе, и со злостными неплательщиками и явными мошенниками.
Теперь давайте поговорим о том, почему и как подобные звонки могут принести КОЛЛЕКТОРАМ множество проблем, и имеет ли коллектор, вообще, право звонить должнику.
Возьмем первый случай – звонок другу должника (или супруге, коллегам), чей телефон был указан в заявлении на получение кредита. Здесь наличие телефона в заявлении – важный момент.
Здесь поднимается вообще целый пласт проблем не понятных нормальному человеку, но установленных российским законодательством. Давайте, подробно разберем данный случай: Лицо 1 (заемщик) вносит в анкету данные Лица 3 (знакомого, супруги, родственника), а Лицо 2 (кредитная организация) обрабатывает эти данные для своих целей, соответственно, являясь по отношению к этим данным Оператором персональных данных. Кто такой оператор персональных данных? Если вчитываться в сложное определение из закона, то это любое юридическое (а иногда и физическое) лицо, которое обрабатывает персональные данные для определенных целей. В отношении остальных понятий раскрывать особо нечего. Самый главный диспут может быть вокруг того, являются ли ФИО и номер телефона Лица 3 персональными данными. Наша многочисленная практика показывает что являются. Так как в законе понятие персональных данных очень размыто, то мы рекомендуем простой способ определения того или иного объема данных как персональные: спросить у самого субъекта – только номер телефона будет являться его персональными данными? Или, как умничают многочисленные юристы, – это обезличенные данные? Каждый субъект ответит по-разному. Но всегда найдется тот, кто подаст в суд на оператора за незаконную обработку даже самого минимального набора данных. И суд будет на его стороне.
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Делаем вывод номер два: операторы при обработке любых персональных данных любых субъектов, — будь это клиенты или работники, должны быть уверены в том, что эти случаи обработки соответствуют перечисленным в законе.
Подытоживая тему звонков родственникам, друзьям и работодателю, стоит еще добавить, что распространение персональных данных третьим лицам не законно в том числе по следующим основаниям: во-первых, тут можно доказать факт разглашения банковской тайны, а во-вторых, факт незаконного распространения персональных данных, так как кредитная организация вряд ли сможет доказать, что давая согласие на распространение персональных данных третьим лицам в целях исполнения договора, заемщик разрешал разглашать его кредитную историю любым третьим лицам. Но это уже отдельная тема, выходящая за рамки данной дискуссии.
Ну и что? — скажете вы. Нарушали, нарушают и будут нарушать. И тут мы возвращаемся в самое начало нашего разговора. Правовой нигилизм должников позволяет им это делать. Надолго ли? Вначале мы писали, что коллекторы и кредитные организации могут нажить себе проблем. Давайте разберем как именно.
«1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Но это еще не конец. Настоящую золотую жилу содержит статья 24 федерального закона:
«1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством РФ ответственность.
Постоянное давление на должника по телефону – разве это не моральный вред? Сердечный приступ у родителей должника – это разве не вред здоровью? Или, например, незаконное распространение: передача персональных данных коллекторам, родственникам или работодателю, без согласия субъекта? Это только некоторые примеры. На самом деле, поводов возместить моральный вред за незаконную обработку персональных данных довольно много.
Апелляционное определение Новосибирского областного суда от 02.04.2015 по делу N 33-2034/2015 (про моральный вред от рекламных смс);
Апелляционное определение Ульяновского областного суда от 28.10.2014 по делу № 33-3883/2014 (как раз про звонки коллекторов);
Определение Приморского краевого суда от 14.07.2014 по делу N 33-5960 (моральный вред причинен размещением конфиденциальных данных в общедоступном месте);
Апелляционное определение Саратовского областного суда от 01.04.2014 по делу N 33-1883 (моральный вред от незаконной передачи персональных данных коллекторам);
Апелляционное определение Новосибирского областного суда от 21.01.2014 по делу N 33-383/2014 (незаконная передача коллекторам персональных данных);
Апелляционное определение Саратовского областного суда от 14.08.2012 по делу N 33-4479/2012 (взыскание морального вреда за размещение персональных данных в списке должников за воду).
Вот и получается, что как минимум, почти любой должник сейчас может потребовать прекратить незаконную обработку, а некоторые захотят возместить и моральный вред. И сделать это совсем не сложно: запрос в кредитную организацию или коллекторам по статье 14 (можно и без него обойтись), жалоба в Роскомнадзор, а потом в суд.
Заключение (главные выводы уже без пояснений):
кредитные организации и коллекторы вообще не могут (без законного основания, которого на данный момент у них нет) обрабатывать никакие данные третьих лиц – родственников, друзей, коллег должника и даже супругов;
звонить должникам можно только тогда, когда такие действия будут соответствовать целям обработки и соответствовать основаниям, установленным Федеральным законом;
незаконная обработка персональных данных должника может принести кредитным организациям и коллекторам проблемы в виде проверок контролирующих органов, штрафов и возмещения морального вреда.
Наше самое сокровенное
Часто гражданин, обращаясь в различные организации, вынужден предоставлять им свои персональные данные. По-другому – никак. Получить или отправить почтовую корреспонденцию, записаться на прием к врачу, посетить родственника в лечебном стационаре, получить необходимую справку, купить авиа или железнодорожные билеты (а для поездки в другой субъект Федерации и билеты на автобус), пройти курс обучения на водительские права, дать заявку на получение потребительского кредита – везде с гражданина потребуют как минимум паспорт, а нередко и еще целый набор документов.
Однако, как это часто бывает, благие пожелания расходятся с реальностью. Граждане вдруг могут обнаружить, что сведения из их личной жизни попадают в руки тех, для кого они не предназначались. Более того, бывает, что они используются вообще без разрешения гражданина или вопреки закону (по крайней мере, гражданину так может показаться). Что же делать в таком случае?
В нашу редакцию нередко обращаются клиенты банков, микрофинансовых организаций, кредитных кооперативов, которые считают, что кредиторы нарушают их права.
Вот, к примеру, взял гражданин кредит или заем. Расплатиться во время не смог. И тут на его работу начинают звонить некие люди, приходят к соседям, родственникам. Как же так, недоумевает гражданин? Ведь я этим людям ничего о моем займе, моей семье и сослуживцах ничего не говорил. Банк рассказал? Да, как он смел?
Насколько все это законно, какие требования по защите персональных данных обязаны выполнять кредиторы, взыскатели долгов и сами граждане? Об этом мы поговорили с начальником отдела по защите персональных данных Управления Роскомнадзора по Алтайскому краю и Республике Алтай Андреем Ждановым.
Как должны обеспечивать охрану персональных данных своих клиентов кредитные организации, есть ли в отношении них какие-либо особенности по обработке персональных данных?
— Нет никакой разницы, в какой сфере деятельности ведется обработка персональных данных граждан. Неважно, сколько человек работает в организации. Требования закона одинаковы для всех.
Главное – добровольное согласие гражданина на обработку его персональных данных (за исключением обеспечения безопасности и других государственных функций). Как только гражданин кому-то свои персональные данные передал, и на этот счет был заключен договор, этот кто-то становиться оператором персональных данных.
Ко всем операторам предъявляется ряд требований, они регламентированы законом: в организации должно быть разработано положение об обработке персональных данных , установлены необходимые требования, персонал с ними должен быть ознакомлен, проинструктирован. Сотрудники обязаны дать согласие на нераспространение попадающей к ним в руки информации.
Перед началом обработки персональных данных оператор обязан уведомить об этом надзорный орган, т.е. Роскомнадзор. Определенные исключения из этого правила есть, но к кредитным организациям они не относятся.
Все ли кредитные организации сообщают нам о работе с персональными данными? Что касается крупных банков, они закон стараются выполнять добросовестно. С мелкими банками, микрофинансовыми организациями, кредитными кооперативами ситуация хуже.
К сожалению, большинство из действующих или потенциальных клиентов финансовых организаций до конца не представляют, что означает их подпись под кредитным договором . Как правило, таким образом, гражданин добровольно дает согласие на обработку своих персональных данных. Более того, договором обычно предусматривается и возможность передачи таких данных третьим лицам, в том числе коллекторам. Поэтому не стоит удивляться, когда к должнику по поводу его долга обращаются не только сотрудники банка, но и взыскатели из других организаций.
Может ли клиент запретить самому банку или взыскателям оперировать его персональными данными?
— Прекратить обработку банками персональных данных можно. Закон это предусматривает. Но нередко гражданин сам предоставляет данные своих родственников, соседей, сослуживцев . Бывает и такое: заемщик называет данные посторонних лиц, которые к нему не имеют никакого отношения. Что получается с точки зрения закона?
Если заемщик предоставил персональные данные другого физического лица для контактов, то он сам в соответствии с законом выступил в роли оператора и передал эти данные третьему лицу, т.е. банку. Банк, в свою очередь, доверяя клиенту, принимает от него такие данные. Получается, что в таком случае закон нарушил сам заемщик, т.к. он не взял согласия с человека, сведения о котором передал в кредитную организацию.
Если гражданин направил банку письменный запрос с запретом на обработку своих персональных данных, должна ли кредитная организация прислушаться к этому требованию?
Еще раз повторяю: если гражданином дано добровольное согласие банку на обработку персональных данных и передачу их третьим лицам, то банк имеет полное право работать с такими персональными данными. Это закреплено в кредитном договоре, расторгнуть его просто так, в одностороннем порядке, гражданин не может .
Мы приводит некоторые высказываний Антонины Приезжевой:
— В случае переуступки задолженности по этому договору (договор цессии) согласие должника на передачу его данных не требуется. Но тогда банк или коллекторское агентство обязано проинформировать должника о заключении договора цессии до момента начала взыскания задолженности.
— Нередко к работе коллекторские агентства привлекают третьих лиц, не состоящих в штате этих агентств. И передача персональных данных о должниках этим лицам уже не соответствует законодательству России о персональных данных.
— При работе по агентским схемам передачи данных в случае отзыва клиента банка согласия на обработку их данных третьи лица обязаны эту обработку прекратить. В этом случае банк – оператор данных обязан взыскивать задолженность с клиента самостоятельно. Согласие на обработку данных может быть отозвано самим гражданином – субъектом этих данных, так и через его представителя.
Глава Роскомнадзора Александр Жаров призвал всех граждан, которые считают, что их права на защиту персональных данных нарушаются, обращаться в Роскомнадзор за защитой. Если такое обращение к Вам поступает, как Вы на него реагируете? Как проводятся проверки организаций, на которые жалуются граждане?
Что касается самих проверок, то с этим сложнее. У нас есть план их проведения, который утвержден на год. Он опубликован на нашем сайте (http://22.rkn.gov.ru) и находится в открытом доступе. Проводить внеплановые проверки по обращениям граждан, в отличие от Роспотребнадзора, мы не можем, т.к. в отношении персональных данных гражданин не является потребителем .
Внеплановые проверки мы можем проводить только по требованию органов прокуратуры, Правительства или Президента РФ, неисполнения в срок ранее выданного нами предписания. Ранее Генеральная прокуратура строго указала Роскомнадзору на эти требования.
— Мы можем включить данного оператора в план проверок на будущий год или, при наличии нарушений, передать обращение в органы прокуратуры, Центробанк. Проверка может быть проведена, если существует угроза жизни или здоровью гражданина, регламент это позволяет.
Есть решение Правительства РФ о том, что порядок проведения проверок в нашей сфере должен регламентироваться соответствующим постановлением. Но такого постановления пока нет. Нарушать установленный на сегодня регламент работы мы не можем.
— Что касаетсянаших алтайских банков, которых совсем немного, то их мы проверили года три назад. Закон устанавливает мораторий для проведения следующих проверок в отношении одних и тех же организаций в течение 3 лет. Это делается для предотвращения избыточного давления на бизнес.
Филиалы крупных банков мы не проверяем, если они не зарегистрированы на нашей территории.
За прошедший год проверок кредитных организаций не было, и сведений о нарушениях с их стороны у нас нет.
Что касается микрофинансовых организаций, то в отношении них проверок за последние годы мы не проводили вообще. Но могу вас заверить, что в план будущего года такие проверки обязательно войдут. Обещаю также, что мы направим во все микрофинансовые организации, действующие на территории Алтайского края и зарегистрированные в государственном реестре, информационные письма о необходимости зарегистрироваться в реестре операторов персональных данных и направить нам необходимую информацию. Это относится и к кредитным потребительским кооперативам.
К сожалению, нашей редакции не удалось получить ответа на вопрос: что конкретно относится к персональным данным гражданина (номер телефона, паспортные данные, адрес проживания, ИНН и т.д.). Законом перечень таких данных не определен. В каждой конкретной ситуации уполномоченный орган принимает решение отдельно. Тем не менее, редакции продолжит попытки получения исчерпывающего ответа на данный вопрос.