Обработка персональных данных коллекторским агентством
Prokurors.ru

Юридический портал

Обработка персональных данных коллекторским агентством

Взыскание долгов и персональные данные должников

Интервью с руководителем направления аудита и консалтинга компании Softline Лепехиной Виталией

Процесс взыскания долгов всегда предполагает сбор и использование информации о должнике. В состав подобной информации о должнике — гражданине может входить достаточно широкий круг сведений — место жительства, контактные телефоны, семейное положение, сведения о принадлежащем имуществе и т.п. В случае с должником — юридическим лицом кредитор или нанятые им коллекторы собирают информацию о местонахождении компании, ее руководителях и ключевых сотрудниках, их контактной информации и т.п. Вся информация, позволяющая идентифицировать то или иное физическое лицо, представляет собой персональные данные, порядок работы с которыми регламентирован действующим законодательством. О ключевых вопросах нормативного регулирования в сфере обработки персональных данных «Hotdolg» решил узнать у руководителя направления аудита и консалтинга компании Softline Лепехиной Виталии.

— Виталия, здравствуйте! Расскажите, что действующее законодательство понимает под словами «персональные данные» и «обработка персональных данных»?

Добрый день, Алексей! Если говорить строгими терминами закона, то

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Обработка личных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Таким образом, получается, что персональными данными является любая информация о человеке, которая позволит Вам этого человека так или иначе идентифицировать. Например, я на память знаю номер мобильного телефона моей мамы, соответственно, этого номера мне будет достаточно для ее идентификации, ну а если серьезно, то той информации, которую обрабатывают в коллекторских агентствах более чем достаточно для идентификации субъекта персональных данных. Т.е. в данном случае мы имеем дело с так называемыми персональными данными второй категории.

Что же касается обработки этих данных, то, как мы видим из определения, под этот термин подпадает любое ваше действие с персональными данными: вы их получили у субъекта- уже обрабатываете, просто храните в общей базе данных на сервере — уже храните. Как это не смешно звучит, но даже удаление личных данных является их обработкой.

— Получается, что любой, сбор, хранение и т.п. сведений о должниках — физических лицах и сотрудниках должников-компаний, осуществляемый кредиторами или нанятыми кредитором коллекторами представляет собой обработку персональных данных?

Да, именно так. Даже запись телефонного разговора (что, как мы знаем, делают все коллекторы) является обработкой ПДн, т.к. в начале разговора происходит идентификация клиента.

— Требуется ли кредитору при взыскании долга в обязательном порядке иметь согласие должника на обработку его персональных данных или такого согласия не требуется в силу того, что кредитор действует в целях восстановления нарушенных должником прав кредитора на получение оплаты?

Понимаете, Алексей, в данном случае вопрос необходимо рассматривать с нескольких сторон.

Если взысканием долга занимается сам кредитор, а обязательство о возврате долга было прописано в договоре между должником и кредитором, то согласие на обработку ПДн от субъекта не требуется, т.к. в этом случае обработка ведется на основании части 1 статьи 6 ФЗ-152, а именно для осуществления правосудия или исполнения судебного акта (пп. 3) — в случае, если уже есть решение суда; для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп. 5) либо на основании пп. 7 — для осуществления прав и законных интересов оператора

— А требуется ли согласие должника на обработку его персональных данных, в случае если кредитор поручил взыскание долга коллекторам? И если требуется, то кто его должен получить — кредитор или коллектор? И в каком порядке и в каком виде?

Если же взыскание долга поручено коллектору (являющемуся самостоятельным юридическим лицом), то у кредитора должно быть согласие должника на передачу его персональных данных такому коллектору, поскольку в данном случае мы имеем дело с так называемой передачей ПДн в обработку третьему лицу. Более того, по текущему законодательству, такое согласие должно быть получено в письменной форме и содержать в себе наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (пп.6 части 4 статьи 9). Как мы понимаем, такое согласие получить с должника можно только на этапе выдачи кредита, когда заемщик готов практически на все. После того, как возникла задолженность, такое согласие получить уже невозможно.

— В ходе процесса по взысканию долга с физического лица весьма часто со стороны кредиторов и коллекторов собираются сведения о родственниках должника — физического лица. Насколько это, на Ваш взгляд законно, и требуется ли кредитору или нанятому им коллектору получать согласие на обработку персональных данных родственников должника — физического лица? Если да, то от должника или непосредственно от родственника должника? В каком порядке и в какой форме?

Как много вопросов сразу, ну, во — первых, сбор сведений о родственниках должника является в данном случае абсолютно не законным. Если же такой процесс происходит, то необходимо иметь согласие этих людей на обработку их персональных данных. Причем получать это согласие надо либо непосредственно у самого человека (не должника), либо у его законного представителя. Ну а как и каким образом будут получать это согласие — это уже каждый кредитор/коллектор должен решить сам.- .

— В том случае, если должник считает, что его права в сфере персональных данных нарушены кредитором или нанятым кредитором коллектором, куда он может обратиться и чем это чревато кредитору и коллектору?

В случае, если должник считает, что его права в части обработки ПДн нарушаются, то он может написать заявление непосредственно в саму организацию, которая пытается получить с него долг и попросить прекратить обработку его персональных данных, либо написать жалобу в Роскомнадзор, являющийся уполномоченным органом по защите интересов и прав субъектов персональных данных. В каждом из этих случае, в своем заявлении должнику придется указать все свои ПДн.

Ну а коллектору и кредитору такая жалоба в Роскомнадзор может обернуться плановой или внеплановой проверкой со стороны Роскомнадзора.

— Какие ключевые шаги необходимо предпринять кредитору, для того чтобы должник не мог обвинить его в нарушении законодательства о персональных данных?

Тут может быть только один шаг — выполнить требования закона. Поскольку закон предусматривает очень много требований (извините за тавтологию) к техническим и организационным мерам, то такой проект может быть не под силу внутренним специалистам компании. Очень часто для выполнения всех требований привлекаются внешние консалтинговые компании.

— Каким моментам должна соответствовать консалтинговая компания, чтобы выполнить подобный проект?

Консалтинговая компания должна иметь богатый опыт выполнения подобных проектов для предприятий и организаций из различных сфер деятельности, в том числе и для кредитных организаций. Также крайне желательно, чтобы консалтинговая компания являлась действительным членом некоммерческого партнерства АБИСС, знала специфику кредитных организаций и выполняла проекты в том числе с учетом требований отраслевого банковского стандарта СТО БР ИББС.

Говоря о критериях, которым должна соответствовать консалтинговая компания, хочу отметить, что компании Softline, которую я представляю, в полной мере им соответствует и имеет опыт реализации подобных проектов.

— А какие шаги необходимо предпринять коллектору, нанятому кредитором, чтобы должник не мог обвинить коллектора в нарушении законодательства о персональных данных?

Между коллектором и кредитором должны быть заключены так называемые договоры поручения. Это позволит коллектору вести обработку без согласия субъекта персональных данных. И, в любом, случае, коллектору также как и кредитору необходимо выполнить требования законодательства по защите персональных данных

Персональные данные коллекторам

  • Как у коллекторов отозвать персональные данные.
  • Был отзыв персональных данных, а долг передали коллекторам. Это правомерно?
  • Возможно ли запретить банку передачу персональных данных коллекторам?
  • Имеет ли право паспортист выдавать мои персональные данные коллекторам?
  • Публикации
  • Персональные данные
  • Обработка персональных данных
  • Персональные данные заявление
  • Закон о персональных данных
  • Согласие на обработку персональных данных

1.1. Да конечно можете отозвать Нужно написать соответствующее заявление на отзыв согласия.

2. Как у коллекторов отозвать персональные данные.

2.1. да никак вы у них не отзовете, они имеют право требования, если долг им уступил ваш прежний кредитор,

2.2. Обращайтесь с заявлением об отзыве согласия на обработку персональных данных.
Согласно п.2 ст. 9 ФЗ от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) “О персональных данных” Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В заявлении конкретно укажите перечень персональных данных.

3. Был отзыв персональных данных, а долг передали коллекторам. Это правомерно?

3.1. Однозначно не законно.

4. Возможно ли запретить банку передачу персональных данных коллекторам?

4.1. При оформлении кредита банки берут с заемщика письменное согласие на обработку(передачу) персональных данных.

5. Имеет ли право паспортист выдавать мои персональные данные коллекторам?

5.1. Нет, не имеет такого права без Вашего согласия.

6.1. Если в договоре займа содержится условие о передаче долга третьим лицам, такое действие будет правомерно.

Да, это вполне законно. Если же конечно право требования у коллекторского агентства возникло в результате уступки прав требования в соответствии со ст. ст. 382 ГК РФ и 12 ФЗ “О потребительском кредите (займе)”. Отзыв персональных данных само по себе не ограничивает МФО в заключении цессионного договора. Заявление об отказе от взаимодействия можно подать только по истечению 4 месяцев с момента возникновения просрочки по кредиту.

Читать еще:  Можно ли обжаловать штраф, дважды выписанный за одно нарушение?

6.3. Попробуйте заключить соглашение о изменении графика платежей на больший срок с меньшей суммой платежа. А действия коллекторов вы можете обжаловать.

7.1. В чём у вас заключается вопрос? Компенсацию можно получить по суду. Если дело ещё идёт, дождитесь окончания процесса.

7.2. Ольга, за какой еще компенсацией? Чего? Если банк дело выиграл против Вас, то он будет с Вас деньги взыскивать, а не Вы с него.
Кроме того, Вы ведете речь о том, что дело еще идет.
Вы можете обратиться к одному из ответивших Вам юристов за помощью, желательно со всеми документами.

Остерегайтесь навязчивых звонков неустановленных лиц с настойчивыми приглашениями на якобы “бесплатные консультации юристов”. Ничего бесплатного там нет, кроме озвучивания завышенных цен, и, скорее всего, юристов на этих “консультациях” Вы тоже не увидите:)

8.1. Нет шансов нет, т.к. при переуступке цедент переуступает цессионарию все данные, необходимые для взыскания задолженности. Цессионарий обязан охранять и сохранять эти данные.

9.1. Если коллекторы микрозаймов и прочих видов задолженностей стали угрожать должникам, они должны обратиться в правоохранительные органы с жалобой.
Но перед этим важно не допустить ошибок при общении с недобросовестными взыскателями, чтобы не спровоцировать физического или морального насилия в отношении себя и близких.
Если уже неоднократно от взыскателей поступали угрозы, потерпевшим рекомендуется воспользоваться следующими методами:

записать весь разговор на диктофон;
предупредить коллектора, что разговор записывается;
изучить предварительно свои права и обязательства – требуется знать статьи Уголовного Кодекса, на основании которых коллекторов могут привлечь к ответственности;
должник вправе затребовать данные коллекторского агентства – важно спокойным тоном попросить представиться, назвать юридический адрес и прочие данные, если собеседник отказывается этого делать, можно бросить трубку;
номера коллекторов можно занести в черный список и больше не общаться с взыскателями на повышенных тонах с применением угроз.

9.2. Это недобросовестность тех, кто продавал долг. Обращайтесь в правоохранительные органы с заявлением об угрозах в Ваш адрес.

10.1. Начиная с 26 июля управляющие организации, товарищества собственников жилья, жилищные или иные специализированные потребительские кооперативы, ресурсоснабжающие организации, региональные операторы по обращению с ТКО, которым вносится плата за жилое помещение и коммунальные услуги, не могут уступать право (требование) по возврату просроченной задолженности по таким платежам третьим лицам. Этот запрет распространяется в т. ч. и на кредитные организации и лиц, осуществляющих деятельность по возврату просроченной задолженности физлиц (коллекторов). Его нарушение влечет признание ничтожными заключенных договоров об уступке права (требования) по возврату долгов по ЖКХ (Федеральный закон от 26 июля 2019 г. № 214-ФЗ).

11.1. За последнее время несколько раз встречается подобный вопрос, в котором фигурирует AVON. Очень похоже на каких-то мошенников. Не реагируйте на эти письма и ничего никому без судебного решения не платите.

12.1. Напишите заявление в МФО, а договор вам обязаны предоставить, так же как уведомить вас письменно о переходе долга.

12.2. Направьте в адрес кредитора частичный отзыв персональных данных, отзыв согласия на взаимодействие с третьими лицами, отказ от взаимодействия (если просрочка от 4 месяцев), требование об уничтожении персональных данных, которые не являются необходимыми для заявленной цели обработки, отказ от исполнения соглашения о взаимодействии. Ваше дело отзовут у коллекторов, все звонки и СМС прекратятся, как Вам, так и третьим лицам, домой никто не приедет.

Общаться с кем либо или нет — решать только Вам.

Звонки на работу и другие способы распространения информации о Вашем долге по месту работу запрещены 230-ФЗ независимо от согласия должника.

Жалобу на неправомерные действия коллекторов необходимо направлять в ФССП.

13.1. Статья 151 ГК РФ гласит, что Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
Собирайте доказательства и обращайтесь в суд.

Обработка персональных данных коллекторским агентством

Передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима.

К такому выводу пришла судебная коллегия по гражданским делам Верховного Суда Российской Федерации в своем определении N 78-КГ17-45. от 1 августа 2017 г.

Так гражданин обратился к банку с иском о защите прав потребителя. В обоснование заявленных требований истец указал, в связи с неблагоприятной экономической ситуацией, потерей работы нарушил обязательства по уплате ежемесячных платежей, в результате чего у него возникла задолженность по кредитному договору. На предложение о реструктуризации банк ответил отказом. При этом на телефон истца стали поступать звонки и сообщения от коллекторской компании с требованием вернуть задолженность. Истец посчитал, что банк незаконно раскрыл его персональные данные коллекторской компании, чем причинил ему нравственные страдания.

Судами первой и апелляционной инстанций в удовлетворении исковых требований отказано, однако с их решением не согласилась Судебная коллегия по гражданским делам Верховного Суда Российской.

При этом судебная коллегия указала на следующее.

Согласно части 1 статьи 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (статья 24 Конституции Российской Федерации).

В соответствии с частью 3 статьи 55 Конституции Российской Федерации права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В развитие названных конституционных положений в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, принят Закон о персональных данных, регулирующий отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами (часть 1 статьи 1, статья 2 Закона о персональных данных в редакции, действовавшей на момент возникновения правоотношений сторон).

Данный Закон определяет принципы и условия обработки персональных данных, права субъекта персональных данных, права и обязанности иных участников правоотношений, регулируемых этим законом.

Согласно статье 3 Закона о персональных данных, персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (пункт 1).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (пункт 3).

По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (пункт 1 части 1 статьи 6 Закона).

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).

Статьей 7 Закона о персональных данных предусмотрено, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии со статьей 9 Закона о персональных данных согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным (часть 1).

Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (часть 3).

Согласие должно содержать перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных (пункт 7 части 4).

В соответствии со статьей 17 указанного Закона субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

Судебной коллегией было установлено, что истец не предоставлял банку согласие на предоставление его персональных данных третьим лицам: адрес проживания и номер телефона.

Доводы ответчика о том, что право на передачу персональных данных без согласия субъекта персональных данных вытекает из положений пункта 5 части 1 статьи 6 Закона о персональных данных коллегия посчитала необоснованными.

Указав на то, что Согласно п. 5 ч. 1 ст. 6 Закона о персональных данных в редакции, действовавшей на момент заключения кредитного договора между П. и банком, обработка персональных данных допускается в случае, когда она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Как установлено судом и следует из материалов дела, П. не является стороной по договору, заключенному между банком и организацией, специализирующейся на взыскании долгов, данный договор является агентским и не связан с реализацией оператором права на уступку прав (требований) по кредитному договору.

Читать еще:  Могу ли зарегистрировать дом на родственника?

Нюансы сотрудничества с коллекторскими агентствами

На сегодняшний день все больше управляющих организаций, отчаявшихся взыскать долги с жильцов, обращаются к коллекторским агентствам, которые специализируются на сборах задолженности.

Какое отношение имеет Закон о персональных данных к управляющим компаниям?

Сфера применения Закона о персональных данных[1] (далее – Закон) достаточно широка: он охватывает отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами с использованием или без использования средств автоматизации. Цель такого регулирования – обеспечение защиты прав и свобод гражданина при обработке его персональных данных. Под такими данными понимается информация, относящаяся к определенному или определяемому на основании этой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другие сведения. Можно заметить, перечень персональных данных открыт, что дает основание включить в него практически любую индивидуальную информацию (в том числе сведения о составе семьи, номерах лицевых счетов, которые управляющие организации передают коллекторским агентствам для взыскания задолженности).

Управляющие компании подпадают под категорию операторов, занимающихся обработкой персональных данных. Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение и уничтожение персональных данных как раз и составляют основу обработки таких данных. Работа с персональными данными жильцов, в том числе их передача сторонним лицам при осуществлении расчетов за потребленные жилищно-коммунальные услуги, обязывает управляющие компании соблюдать требования Закона. В чем же они заключаются?

Как можно заполучить согласие жильцов на передачу их данных?

Главным условием обработки персональных данных является согласие лица, индивидуальная информация о котором попадает к управляющей компании. Письменное согласие клиента на обработку его данных должно содержать:

– его фамилию, имя, отчество, адрес, данные документа, удостоверяющего личность (номер, сведения о дате выдачи и выдавшем его органе);

– наименование и адрес компании, получающей согласие субъекта данных;

– цель обработки персональных данных с указанием их полного перечня;

– список действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки данных;

– срок, в течение которого действует согласие, а также порядок его отзыва.

Но, как и в любом правиле, в рассмотренной норме есть ряд исключений, делающих ее более гибкой при применении на практике. Одно из исключений гласит, что обработка персональных данных может производиться без согласия клиента, если это предусмотрено федеральным законом. В сфере оказания жилищно-коммунальных услуг такое исключение отсутствует. В Жилищном кодексе нет нормы, позволяющей управляющим компаниям получать и обрабатывать сведения о собственниках помещений и потребителях коммунальных услуг без их согласия. Между тем без таких сведений просто не обойтись при расчетах за потребленные услуги ЖКХ. Иными словами, можно утверждать, что управляющая компания работает с персональными сведениями жильцов в целях исполнения условий заключенного договора. Это имеет отношение уже к следующему исключению, когда на обработку персональных данных не требуется согласия жильцов.

Обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект таких данных, допускается без согласия этой стороны договора (пп. 2 п. 2 ст. 6 Закона). Формулировка достаточно обтекаемая, она позволяет управляющей компании в одностороннем порядке обрабатывать данные жильцов в целях исполнения заключенного с ними договора. Как догадался читатель, в этом случае речь идет только о договоре управления многоквартирным домом. В целях исполнения такого договора управляющая компания может без согласия жильцов использовать их персональные данные. Однако с коллекторским агентством управляющая компания работает совсем по другому соглашению, которое может быть заключено в форме:

– агентского договора на оказание услуг по сбору долгов, в котором вознаграждение установлено в процентах от собранной с жильцов суммы;

– договора цессии (уступки права требования задолженности).

В любом случае без передачи информации о должниках и суммах их задолженностей не обойтись. При этом по договору цессии в п. 2 ст. 385 ГК РФ прямо предусмотрено, что кредитор (управляющая компания), уступивший требование другому лицу (агентству), обязан передать ему документы, удостоверяющие право требования, и сообщить сведения, имеющие значение для осуществления этого требования. Кроме того, по договору цессии для перехода к другому лицу прав кредитора не требуется согласия должника (п. 2 ст. 382 ГК РФ). Можно ли на основании этих норм игнорировать положения Закона, касающиеся получения согласия должников на передачу их персональных данных новому кредитору?

По мнению автора, нет. Новому кредитору, получившему право требования долгов по договору цессии, могут быть предоставлены прежним кредитором индивидуальные данные о жильцах только с согласия последних. Во-первых, согласия должника не требуется только на переход прав требования, а не на передачу персональных данных. Во-вторых, такие данные охраняются Законом, их передача прямо не предусмотрена п. 2 ст. 385 ГК РФ. Исходя из требований гражданского законодательства новый кредитор может воспользоваться лишь информацией о суммах долга и общедоступными сведениями о жильцах-неплательщиках (не только ФИО, но и год, место рождения, адрес, профессия – п. 1 ст. 8 Закона), которые без разрешения этих жильцов может предоставить прежний кредитор (управляющая компания). В-третьих, не общедоступные персональные данные могут быть переданы в целях исполнения заключенного с жильцами договора, но ни один из вышепоименованных договоров не является обязательным приложением к договору управления многоквартирным домом, все обязательные условия которого содержатся в ст. 162 ЖК РФ. Поэтому передавать данные о жильцах в целях исполнения договоров, заключенных с агентством, к которому жильцы не имеют отношения, у управляющей компании нет достаточных оснований. Все сказанное касается не только договора цессии, но и других видов соглашений управляющей компании с коллекторскими агентствами. Как выйти из положения? Есть два варианта.

Первый – управляющая компания на этапе заключения договора управления включает в него условие о том, что жильцы не против, чтобы их данные передавались третьим лицам для осуществления расчетов за оказанные жилищно-коммунальные услуги. Ведь положения ст. 162 ЖК РФ не запрещают включать в договор управления дополнительные условия, главное, чтобы они не противоречили законодательству и потребитель услуг был с ними согласен. О том, что должно включать такое соглашение, мы указывали выше (п. 4 ст. 9 Закона). Вместе с тем не исключено, что жильцы откажутся подписать договор, дающий управляющей организации право передавать их личные сведения третьим лицам. Тогда подойдет второй вариант, когда управляющая компания передает коллекторскому агентству основные сведения о сумме задолженности и общедоступные данные, на передачу которых не требуется согласия жильцов. Все иные сведения о должниках – это уже головная боль коллекторского агентства, которое как «профессионал» должно само позаботиться о том, как заполучить не общедоступные персональные данные о должниках, на передачу которых они не дали своего согласия управляющей компании.

И еще, управляющая компания, которая занимается обработкой данных, обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку этих данных (п. 1 ст. 22 Закона). Таким органом является Россвязькомнадзор, которым разработана форма соответствующего уведомления и даны рекомендации по ее заполнению (приложения 1 и 2 к Приказу от 17.07.2008 № 08). Если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются управляющей компанией исключительно в целях исполнения договора, то уведомлять уполномоченный орган не нужно (пп. 2 п. 2 ст. 22 Закона).

В заключение о штрафных санкциях

Согласно ст. 24 Закона на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. При этом способ реагирования на выявленное правонарушение определяет соответствующий контролирующий орган самостоятельно в пределах имеющихся у него полномочий. За нарушение установленного порядка сбора, хранения и использования персональных данных граждан ст. 13.11 КоАП РФ предусмотрена административная ответственность. Штраф для должностных лиц составляет от 500 до 1 000 руб., для юридических – от 5 000 до 10 000 руб. Кроме этого, по решению суда может быть расторгнут договор, которым предусмотрена незаконная передача персональных данных, с чего мы и начали нашу статью.

[1] Федеральный закон от 27.06.2006 № 152‑ФЗ.

Что такое неприкосновенность частной жизни в России

На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Читать еще:  Право на оплачиваемый отпуск

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

Ссылка на основную публикацию
Adblock
detector