Информация о персональных данных

452

Вопрос

УК обратилась в суд с иском к собственнику о взыскании задолженности по оплате жилищных услуг. К иску приложены договор долевого участия (по которому собственник приобрел объект) и акт приема-передачи объекта. Указанные документы содержат данные о дольщик-собственнике (паспортные данные телефоны, банковский счет и т.д.), а также информацию о стоимости объекта. Является ли информация, содержащаяся в указанных документах, персональными данными? Имел ли право застройщик передавать указанные документы управляющей организации? Имеет ли право УК использовать, владеть указанными документами и данными, в т.ч. предъявлять их в суд? Собственник не желает, чтобы иные лица знали об условиях ДДУ, стоимости объекта, реквизитах собственника, - может ли собственник потребовать от УК или застройщика компенсации за распространение указанных данных или привлечь УК или застройщика к какой-либо ответсвенности.

Ответ

Данные о дольщик-собственнике (паспортные данные телефоны, банковский счет и т.д.) относятся к персональным данным.

Это объясняется тем, что под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). При этом, изложенные в вопросе данные не относятся к общедоступным персональным данным, т.е. данным, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ. На основании данных норм следует сделать вывод, что застройщик был не вправе передавать без согласия собственника персональные данные третьим лицам. Однако не усматривается оснований считать, что УК нарушила персональные данные лица, т.к. она обратилась в суд за восстановлением своих прав.

В любом случае, проверки по вопросам обработки персональных данных проводит Роскомнадзор. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора).

По результатам проверки соблюдения законодательства об обработке персональных данных составляется акт, форма которого утверждена приказом Минэкономразвития России от 30 апреля 2009 г. № 141. При выявлении нарушений дополнительно составляется предписание об их устранении. Такие правила установлены пунктами 76, 77, 85 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Если организация не согласна с выводами должностных лиц Роскомнадзора, а также с их действиями в ходе проверки, то она может обжаловать данные выводы или действия (п. 4 ст. 21 Закона от 26 декабря 2008 г. № 294-ФЗ).

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27 июля 2006 г. № 152-ФЗ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;

для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

При этом, субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке – см. Апелляционное определение Московского городского суда от 14.03.2013 № 11-8257.

Обоснование данной позиции приведено ниже в материалах «Системы Юрист»

<…>

Компания использует персональные данные клиентов. Кому их можно передать без согласия субъекта

<…>

«Вопросы использования компаниями персональных данных клиентов находятся под пристальным вниманием законодателя и контролирующих органов. В настоящее время установлен достаточно широкий перечень требований к получению согласия клиента и обработке полученных данных. Многие такие требования закреплены в подзаконных актах, и хозяйствующим субъектам достаточно проблематично отследить вносимые в них изменения. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности. В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива. Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.*

ДЛЯ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА НУЖНО ЕГО ПРЯМОЕ ПИСЬМЕННОЕ СОГЛАСИЕ

Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ. Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельств дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении. То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и собрать полный объем доказательств, который позволил бы установить виновность именно данного лица в совершении административного правонарушения.

Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства. С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица. При этом защита персональных данныхчаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.

Защита персональных данных физических лиц регулируется положениямиФедерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача. Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае их несоблюдения нарушитель может быть привлечен к административной ответственности.

Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми они выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.

Первая группа нарушений включает использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми коллекторами. При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами. В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.

При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства.

Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональныхданных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и операторомперсональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.

ПЕРЕДАТЬ ДАННЫЕ КЛИЕНТА БЕЗ ЕГО СОГЛАСИЯ МОЖНО ДЛЯ ЗАЩИТЫ ИНТЕРЕСОВ ОПЕРАТОРА

При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия. Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика. В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъектперсональных данных (физическое лицо). Также исключением являются случаи, когда обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. п. 57 ст. 6, п. 2 ст. 9 Закона № 152-ФЗ). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.*

Таким образом, поскольку обработка (передача) персональных данных заемщика производится для исполнения кредитного договора, стороной которого является заемщик, и для осуществления прав и законных интересов кредитной организации, то такая обработка может быть произведена и без согласия субъекта персональных данных(определения Московского городского суда от 06.10.2011 по делу № 33–32111от 06.04.2012 по делу № 33–8687).

И действительно, логика законодателя, допустившего исключения из общего правила для соблюдения интересов кредитора при просрочках исполнения заемщиками своих обязательств, должна быть продолжена и в правоприменительной практике. Ведь в данном случае передача персональных данных является следствием неисполнения физическим лицом своих обязательств по возврату кредита и претерпевания кредитором негативных последствий нарушения договора.

При этом необходимо отметить, что право физического лица на защиту своихперсональных данных не является абсолютным, поскольку корреспондирующей нормой в данном случае будет являться ст. 10 ГК РФ, запрещающая злоупотребление гражданскими правами. Абсолютное отсутствие доступа третьих лиц к персональным данным субъекта являлось бы именно таким злоупотреблением, поскольку ограничило бы иных участников гражданского оборота в заключении, например, тех же агентских договоров. На наличие специального ограничения в области защиты персональных данных указывал и Верховный суд РФ. Так, в одном из дел суд пришел к выводу, что право на отзыв субъектомперсональных данных согласия на обработку персональных данных не является безусловным, особенности обработки персональных данных могут устанавливаться федеральным законом (определение ВС РФ от 27.03.2012 № 82-В11-6).

Впрочем, есть и противоположная судебная практика, когда суды приходят к выводу о недопустимости передачи персональных данных кредитными организациями третьим лицам без прямого волеизъявления физического лица, даже в случае неисполнения последним кредитного договора (постановления Девятого арбитражного апелляционного суда от 26.12.2012 по делу № А40-109454/2012ФАС Западно-Сибирского округа от 20.03.2013 по делу № А27-13226/2012).

При этом остается неясным, где проходит граница, позволяющая правоприменителю ссылаться на установленные исключения из общего правила, а в каких случаях такая ссылка становится невозможной. Поэтому объем и предмет доказывания по делам об оспаривании привлечения к административной ответственности операторовперсональных данных может в каждом отдельном споре отличаться.

Не стоит забывать и о том, что нередко физические лица или уполномоченные на то организации обращаются в органы прокуратуры для расследования действий, совершенных операторами персональных данных. В этом случае при вынесении должностным лицом прокуратуры представления кредитной организации будет целесообразно обжаловать его в судебном порядке. При этом необходимо привести аналогичные доводы о допустимости передачи персональных данных без согласия субъекта для исполнения договора, стороной которого он является, а также для защиты законных интересов оператора.

Привлечение к административной ответственности в данном случае является не единственной опасностью для кредитной организации. В случае признания ее действий по передаче персональных данных незаконными исполнение заключенного агентского договора или договора цессии становится крайне затруднительным. А это несет для кредитной организации гражданско-правовые риски, связанные с выплатой штрафов или иными негативными последствиями.

СОГЛАСИЕ КЛИЕНТА НА ОБРАБОТКУ ДАННЫХ В РАМКАХ ДОГОВОРА НЕ ДАЕТ ПРАВА ИСПОЛЬЗОВАТЬ ИХ В МАРКЕТИНГОВЫХ ЦЕЛЯХ

Достаточно часто кредитные организации при использовании персональных данныхфизических лиц в маркетинговых целях допускают нарушения требований законодательства о защите персональных данных. Впрочем, субъектами таких правонарушений выступают не только кредитные организации, но и операторы сотовой связи, магазины розничной торговли и иные хозяйствующие субъекты.

Требования законодательства при регулировании данной сферы общественных отношений являются определенными и однозначными. Так, обработка персональныхданных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного получения согласия субъекта персональных данных (ст. 15 Закона № 152-ФЗ). Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных лишь в том случае, если оператор (хозяйствующий субъект) не докажет, что такое согласие было им получено в установленном порядке.

Как уже было сказано выше, получение согласия субъекта на обработку персональныхданных не требуется, если такая обработка непосредственно связана с исполнением и (или) заключением договора. Очевидно, что достижение маркетинговых целей юридического лица не связано с исполнением обязательств по заключенному договору.

Таким образом, ситуация представляется достаточно однозначной: хозяйствующий субъект не вправе использовать персональные данные физического лица в маркетинговых целях для продвижения своего продукта без предварительного согласия этого дица.

Однако на практике перед правоприменителем нередко возникает дилемма, связанная с тем, что физическое лицо ранее уже предоставило оператору свои персональные данные, и оператор ссылается на это обстоятельство как на подтверждение правомерности своих действий.

Для разрешения этой ситуации следует иметь в виду, что последующее использованиеперсональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Ведь изначально оно предоставило оператору свои персональные данные для совершенно иных целей. Следовательно, для использования персональных данных в целях рекламы нового продукта оператору необходимо вновь получить согласие физического лица на обработку его данных. В противном случае привлечение оператора к административной ответственности представляется обоснованным.

Также стоит сказать и о возникновении коллизионных отношений в ситуации, когда оператор персональных данных сталкивается с требованием уполномоченного органа или должностного лица предоставить персональные данные о физических лицах. Как правило, лицами, требующими такую информацию, являются судебные приставы-исполнители, которые в рамках предоставленных им полномочий осуществляют функции по розыску должников.

До определенного момента арбитражные суды принимали доводы привлеченных к административной ответственности операторов персональных данных о том, что судебные приставы-исполнители не вправе запрашивать (а операторы, соответственно, не вправе предоставлять) информацию о персональных данных физических лиц без их согласия (постановления ФАС Волго-Вятского округа от 01.12.2010 по делу № А39-2063/2010Северо-Кавказского округа от 18.01.2012 по делу № А53-4649/2010).

Суды, отменяя постановление о привлечении операторов к административной ответственности за непредставление данных, исходили из недопустимости подмены судебным приставом функций правоохранительных органов.

Однако ситуация коренным образом изменилась, когда несколько таких споров дошли до Высшего арбитражного суда РФ. Так, в одном из дел ВАС РФ указал, что запросперсональных данных входит в полномочия судебного пристава-исполнителя, а потому отказ в предоставлении ему таких данных неправомерен (постановление Президиума ВАС РФ от 28.02.2012 по делу № А12-23512/2010).

Схожая позиция была отражена и в других делах. Так, в одном споре с оператором связи суд указал, что судебный пристав-исполнитель, действуя в рамках возбужденного исполнительного производства, имеет право запрашивать информацию, имеющую непосредственное отношение к исполнению судебных актов, в частности, о зарегистрированных абонентских номерах должника (постановление Восемнадцатого арбитражного апелляционного суда от 01.06.2011 по делу № А07-770/2011).

Учитывая изложенное, можно сделать ряд выводов. Во-первых, даже прямое указание в законодательстве на возможность обработки персональных данных без согласия субъекта на практике в ряде случаев оказывается нежизнеспособным и зачастую ведет к привлечению оператора связи к административной ответственности.

Во-вторых, однократное предоставление субъектом своих персональных данныхне означает возможность дальнейшего использования этих данных в маркетинговых целях для заключения новых договоров.

И в-третьих, запросы уполномоченных органов о предоставлении им сведений, составляющих персональные данные физических лиц, правомерны и подлежат исполнению, поскольку в этом случае не происходит подмены ими функций правоохранительных органов».

13.08.2015

 



Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

Опрос

Вы когда-нибудь меняли предмет или основание иска?

  • Да, все прошло хорошо 30.3%
  • Нет, никогда 30.3%
  • Да, но были сложности 39.39%
Другие опросы

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.