Соглашение от банка на обработку данных компании

142

Вопрос

В наш адрес поступило соглашение от банка на обработку данных компании и персональных данных сотрудников. Можем ли мы это соглашение не подписывать.

Ответ

Да, вы можете это соглашение не подписывать. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных). Можно предположить, что согласие нужно банку для проведение маркетинговых акций, направленных на продвижение своих услуг — рассылки предложений по кредитам, вкладам и т. д. Таким образом, обязанности подписывать соглашение у организации нет.

Получение согласия субъекта на обработку персональных данных не требуется, если такая обработка непосредственно связана с исполнением и (или) заключением договора.

Если через этот банк происходит выплата зарплаты сотрудникам, то персональные данные итак у него есть. Кроме того, банк может запросить согласие на обработку персональных данных напрямую у сотрудников.

Обоснование данной позиции приведено ниже в материалах «Системы Юрист».


Компания использует персональные данные клиентов. Кому их можно передать без согласия субъекта

«Вопросы использования компаниями персональных данных клиентов находятся под пристальным вниманием законодателя и контролирующих органов. В настоящее время установлен достаточно широкий перечень требований к получению согласия клиента и обработке полученных данных. Многие такие требования закреплены в подзаконных актах, и хозяйствующим субъектам достаточно проблематично отследить вносимые в них изменения. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности. В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива. Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.

ДЛЯ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА НУЖНО ЕГО ПРЯМОЕ ПИСЬМЕННОЕ СОГЛАСИЕ

Общие правила привлечения юридического лица к административной ответственности установлены в КоАП Р. Ф. Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельств дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении. То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и собрать полный объем доказательств, который позволил бы установить виновность именно данного лица в совершении административного правонарушения.

Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства. С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица. При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.

Защита персональных данных физических лиц регулируется положениямиФедерального закона от 27.07.2006 № 152-ФЗ „О персональных данных“ (далее — Закон № 152-ФЗ). При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача. Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае их несоблюдения нарушитель может быть привлечен к административной ответственности.

Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми они выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.

Первая группа нарушений включает использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми коллекторами. При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами. В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.

При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства.

Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональных данных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и оператором персональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.

ПЕРЕДАТЬ ДАННЫЕ КЛИЕНТА БЕЗ ЕГО СОГЛАСИЯ МОЖНО ДЛЯ ЗАЩИТЫ ИНТЕРЕСОВ ОПЕРАТОРА

При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия. Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика. В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо). Также исключением являются случаи, когда обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. п. 5, 7 ст. 6, п. 2 ст. 9 Закона № 152-ФЗ). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.

Таким образом, поскольку обработка (передача) персональных данных заемщика производится для исполнения кредитного договора, стороной которого является заемщик, и для осуществления прав и законных интересов кредитной организации, то такая обработка может быть произведена и без согласия субъекта персональных данных (определения Московского городского суда от 06.10.2011 по делу № 33−32111,от 06.04.2012 по делу № 33−8687).

И действительно, логика законодателя, допустившего исключения из общего правила для соблюдения интересов кредитора при просрочках исполнения заемщиками своих обязательств, должна быть продолжена и в правоприменительной практике. Ведь в данном случае передача персональных данных является следствием неисполнения физическим лицом своих обязательств по возврату кредита и претерпевания кредитором негативных последствий нарушения договора.

При этом необходимо отметить, что право физического лица на защиту своих персональных данных не является абсолютным, поскольку корреспондирующей нормой в данном случае будет являться ст. 10 ГК РФ, запрещающая злоупотребление гражданскими правами. Абсолютное отсутствие доступа третьих лиц к персональным данным субъекта являлось бы именно таким злоупотреблением, поскольку ограничило бы иных участников гражданского оборота в заключении, например, тех же агентских договоров. На наличие специального ограничения в области защиты персональных данных указывал и Верховный суд Р. Ф. Так, в одном из дел суд пришел к выводу, что право на отзыв субъектом персональных данных согласия на обработку персональных данных не является безусловным, особенности обработки персональных данных могут устанавливаться федеральным законом (определение ВС РФ от 27.03.2012 № 82-В11−6).

Впрочем, есть и противоположная судебная практика, когда суды приходят к выводу о недопустимости передачи персональных данных кредитными организациями третьим лицам без прямого волеизъявления физического лица, даже в случае неисполнения последним кредитного договора (постановления Девятого арбитражного апелляционного суда от 26.12.2012 по делу № А40−109454/2012, ФАС Западно-Сибирского округа от 20.03.2013 по делу № А27−13226/2012).

При этом остается неясным, где проходит граница, позволяющая правоприменителю ссылаться на установленные исключения из общего правила, а в каких случаях такая ссылка становится невозможной. Поэтому объем и предмет доказывания по делам об оспаривании привлечения к административной ответственности операторов персональных данных может в каждом отдельном споре отличаться.

Не стоит забывать и о том, что нередко физические лица или уполномоченные на то организации обращаются в органы прокуратуры для расследования действий, совершенных операторами персональных данных. В этом случае при вынесении должностным лицом прокуратуры представления кредитной организации будет целесообразно обжаловать его в судебном порядке. При этом необходимо привести аналогичные доводы о допустимости передачи персональных данных без согласия субъекта для исполнения договора, стороной которого он является, а также для защиты законных интересов оператора.

Привлечение к административной ответственности в данном случае является не единственной опасностью для кредитной организации. В случае признания ее действий по передаче персональных данных незаконными исполнение заключенного агентского договора или договора цессии становится крайне затруднительным. А это несет для кредитной организации гражданско-правовые риски, связанные с выплатой штрафов или иными негативными последствиями.

СОГЛАСИЕ КЛИЕНТА НА ОБРАБОТКУ ДАННЫХ В РАМКАХ ДОГОВОРА НЕ ДАЕТ ПРАВА ИСПОЛЬЗОВАТЬ ИХ В МАРКЕТИНГОВЫХ ЦЕЛЯХ

Достаточно часто кредитные организации при использовании персональных данных физических лиц в маркетинговых целях допускают нарушения требований законодательства о защите персональных данных. Впрочем, субъектами таких правонарушений выступают не только кредитные организации, но и операторы сотовой связи, магазины розничной торговли и иные хозяйствующие субъекты.

Требования законодательства при регулировании данной сферы общественных отношений являются определенными и однозначными. Так, обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного получения согласия субъекта персональных данных (ст. 15 Закона № 152-ФЗ). Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных лишь в том случае, если оператор (хозяйствующий субъект) не докажет, что такое согласие было им получено в установленном порядке.

Как уже было сказано выше, получение согласия субъекта на обработку персональных данных не требуется, если такая обработка непосредственно связана с исполнением и (или) заключением договора. Очевидно, что достижение маркетинговых целей юридического лица не связано с исполнением обязательств по заключенному договору.*

Таким образом, ситуация представляется достаточно однозначной: хозяйствующий субъект не вправе использовать персональные данные физического лица в маркетинговых целях для продвижения своего продукта без предварительного согласия этого дица.

Однако на практике перед правоприменителем нередко возникает дилемма, связанная с тем, что физическое лицо ранее уже предоставило оператору свои персональные данные, и оператор ссылается на это обстоятельство как на подтверждение правомерности своих действий.

Для разрешения этой ситуации следует иметь в виду, что последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Ведь изначально оно предоставило оператору свои персональные данные для совершенно иных целей. Следовательно, для использования персональных данных в целях рекламы нового продукта оператору необходимо вновь получить согласие физического лица на обработку его данных. В противном случае привлечение оператора к административной ответственности представляется обоснованным.

Также стоит сказать и о возникновении коллизионных отношений в ситуации, когда оператор персональных данных сталкивается с требованием уполномоченного органа или должностного лица предоставить персональные данные о физических лицах. Как правило, лицами, требующими такую информацию, являются судебные приставы-исполнители, которые в рамках предоставленных им полномочий осуществляют функции по розыску должников.

До определенного момента арбитражные суды принимали доводы привлеченных к административной ответственности операторов персональных данных о том, что судебные приставы-исполнители не вправе запрашивать (а операторы, соответственно, не вправе предоставлять) информацию о персональных данных физических лиц без их согласия (постановления ФАС Волго-Вятского округа от 01.12.2010 по делу № А39−2063/2010, Северо-Кавказского округа от 18.01.2012 по делу № А53−4649/2010).

Суды, отменяя постановление о привлечении операторов к административной ответственности за непредставление данных, исходили из недопустимости подмены судебным приставом функций правоохранительных органов.

Однако ситуация коренным образом изменилась, когда несколько таких споров дошли до Высшего арбитражного суда Р. Ф. Так, в одном из дел ВАС РФ указал, что запрос персональных данных входит в полномочия судебного пристава-исполнителя, а потому отказ в предоставлении ему таких данных неправомерен (постановление Президиума ВАС РФ от 28.02.2012 по делу № А12−23512/2010).

Схожая позиция была отражена и в других делах. Так, в одном споре с оператором связи суд указал, что судебный пристав-исполнитель, действуя в рамках возбужденного исполнительного производства, имеет право запрашивать информацию, имеющую непосредственное отношение к исполнению судебных актов, в частности, о зарегистрированных абонентских номерах должника (постановление Восемнадцатого арбитражного апелляционного суда от 01.06.2011 по делу № А07−770/2011).

Учитывая изложенное, можно сделать ряд выводов. Во-первых, даже прямое указание в законодательстве на возможность обработки персональных данных без согласия субъекта на практике в ряде случаев оказывается нежизнеспособным и зачастую ведет к привлечению оператора связи к административной ответственности.

Во-вторых, однократное предоставление субъектом своих персональных данных не означает возможность дальнейшего использования этих данных в маркетинговых целях для заключения новых договоров.

И в-третьих, запросы уполномоченных органов о предоставлении им сведений, составляющих персональные данные физических лиц, правомерны и подлежат исполнению, поскольку в этом случае не происходит подмены ими функций правоохранительных органов.»

11.02.2015

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатный доступ на 3 дня >>
Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль