Защита персональных данных и банковской тайны при взыскании долгов

Объясняем термины человеческим языком

Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Первый термин, который требуется понимать, — персональные данные.

Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, — это тоже персональные данные?»

Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

Ограничения, накладываемые законодательством о защите персональных данных

Основным документом, регламентирующим данные правоотношения, является Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон). Также нас интересуют Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее — Постановление) и Приказ Россвязьохранкультуры от 28.03.2008 N 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» (далее — Приказ).

Лица, работающие в банках над взысканием задолженности, должны четко понимать следующие положения данных документов.

  1. Банк является оператором в смысле указанного Закона, поскольку в ходе осуществления его деятельности по выдаче кредитов производится обработка персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение персональных данных (п. п. 2, 3 ст. 3 Закона).
  2. Так как банк является оператором, информация о нем должна быть внесена в Реестр, предусмотренный Приказом (п. 5).
  3. Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия, утвержденного Постановлением Правительства РФ от 06.06.2007 N 354).
  4. Обработка персональных данных производится без использования средств автоматизации (сотрудники банка при выдаче кредита сами вносят в базы банка информацию о заемщике, также при взыскании долга она используется непосредственно сотрудниками юридических отделов и служб безопасности). Соответственно, для служб взыскания внутри банка должен быть разработан и внедрен пакет документов, оговоренный Постановлением.
  5. Возможна административная и уголовная ответственность за нарушение законодательства о защите персональных данных:
  • за отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо их несвоевременное предоставление, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
  • за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
  • за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:

  • незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
  • неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ).

Защита персональных данных и банковской тайны при взыскании долгов

Теперь остановимся подробнее на специфике необходимых нам положений.

Одним из спорных моментов при работе с проблемными кредитами может стать вопрос сохранения банковской тайны. Он актуален и при взыскании долга, и при реализации его по договору цессии некредитной организации, и при передаче его, скажем, в ЗПИФ, работающий с плохими активами.

Прецеденты, когда банки-взыскатели обвинялись должниками в разглашении банковской тайны, были. Наиболее известный из них произошел в Иркутске, когда сотрудники службы взыскания банка позвонили на кафедру института, где работал должник, а также домой его родственникам и сообщили о наличии долга перед банком.

В ходе работы с проблемной задолженностью у банка теоретически есть два основных правовых риска:

  1. риск обвинения в совершении уголовного преступления, предусмотренного ч. 2 ст. 183 УК РФ (незаконное разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну);
  2. риск стать ответчиком в рамках гражданского судопроизводства по ст. 857 ГК РФ (в части разглашения сведений о клиенте).

Кажется, я обрабатываю персональные данные

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

Защита персональных данных и банковской тайны при взыскании долгов

Да, если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе.

Вопрос о необходимости письменного согласия должника

Защита персональных данных и банковской тайны при взыскании долгов

«Индивидуальный предприниматель В. обратился в Арбитражный суд г. Москвы с иском к открытому акционерному обществу «Мобильные ТелеСистемы» о возмещении морального вреда в размере 10 000 000 руб., причиненного компанией обработкой персональных данных истца.

Между В. и ОАО «Мобильные ТелеСистемы» заключен договор N 2041745/2091175 от 06.06.2001 на предоставление услуг сотовой радиотелефонной связи.

Являясь индивидуальным предпринимателем, истец 07.06.2006 заменил применяемый им тариф на тариф «МТС. Команда», в связи с чем фактическим потребителем услуг ответчика стал В. как индивидуальный предприниматель.

Используемые для идентификации ИП В. как абонента данные: паспортные данные, ИНН, ОГРН — истец расценил как обработку персональных данных. Утверждая, что действия ответчика нарушают права и охраняемые законом интересы истца, унижают его достоинство, свидетельствуют о проявлении недопустимой вседозволенности со стороны ответчика по отношению к истцу, В. заявил о возмещении морального вреда в сумме 10 000 000 руб.

Отказывая в удовлетворении исковых требований, суд первой инстанции пришел к выводу о недоказанности причинения истцу морального вреда.

Апелляционная инстанция не может не согласиться с выводом суда первой инстанции по следующим основаниям.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон), вступившему в силу 26.01.2007, персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). К таким данным, в частности, относятся фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Предлагаем ознакомиться:  Как делить квартиру в ипотеке при разводе, раздел ипотечной квартиры при разводе

По общему правилу (п. 1 ст. 6 Закона) обработка данных возможна только с согласия субъекта персональных данных, однако перечень исключений из этого правила содержится в п. 2 ст. 6 Закона, который допускает обработку персональных данных без согласия субъекта, если такая обработка проводится в целях исполнения договора, одной из сторон которого является субъект.

Между участвующими в деле лицами существуют договорные отношения по поводу возмездного оказания услуг связи. Сведения об абоненте — индивидуальном предпринимателе В. — используются для идентификации в целях исполнения договора, на что согласие субъекта не требуется в силу п. 2 ст. 6 указанного Закона.

«…Решение Арбитражного суда г. Москвы от 07.08.2007 по делу N А40-28409/07-48-242 оставить без изменения, апелляционную жалобу — без удовлетворения».

То есть, заключая кредитный договор и предоставляя банку свои паспортные данные и иные сведения о себе, тем самым гражданин дает и свое письменное согласие на обработку банком своих персональных данных. При этом выполняются п. 1 ст. 9 Закона («субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе») и частично п. 4 ст.

Правда, по применению п. 4 ст. 9 Закона к взысканию банковских долгов возникает один вопрос. Из буквального прочтения данной нормы следует, что детальное согласие на обработку персональных данных требуется лишь в случаях, прямо предусмотренных Законом. В качестве примера можно привести положение ст.

8, согласно которому в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных, или совокупность пп. 1 п. 2 ст. 10 и п. 1 ст.

Хотя неплохо брать письменное согласие заемщика на передачу его данных коллекторскому агентству, юридической компании или иным лицам в случае неплатежа, так как в данном случае применимость пп. 2 п. 2 ст. 6 Закона остается под вопросом. Однако, если такого согласия не было получено и из-за этого у банка возникли проблемы, именно на этот подпункт Закона следует делать ставку в оспаривании привлечения к ответственности.

Категория, количество, тип угроз — уровень защиты

Поздравляем, вы — гордый обладатель звания «оператор персональных данных». Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета.

После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе. Всего сейчас существует четыре уровня защиты.

Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

Определить уровень защиты можно по этой таблице.

Требования, предъявляемые к службам взыскания при работе с персональными данными

А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

Но начните хотя бы с этого:

  1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке.
  2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных — это главный юридический документ, который подтверждает законность обработки персональных данных.
  3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.

Постановление предполагает следующее:

  1. Данные о должниках должны храниться обособленно от иной информации на отдельном материальном носителе (сервер, компьютер с большим объемом памяти и т.п.), причем для разных категорий персональных данных должны быть разные носители (п. п. 4, 5 Постановления).
  2. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, которая осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
  3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

  1. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или для иных аналогичных целей, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способах фиксации и составе информации, запрашиваемой у субъектов персональных данных, перечне лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроках обработки персональных данные, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

  1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

То есть, говоря простым языком, в банке должен быть разработан большой пакет документов, оговоренный Постановлением, должно проводиться ознакомление сотрудников служб взыскания с правилами работы с этим пакетом. Также должны быть отдельные помещения, где должники имеют право знакомиться с соблюдением правил работы с их персональными данными сотрудниками банка.

Скорее всего, именно наличие всей этой документации в первую очередь будут проверять контролирующие органы, приходящие в банк. Следует отметить, что в том или ином виде документы подобного рода в банке есть, например, Положение о защите коммерческой тайны достаточно просто преобразовать в Положение о работе с персональными данными, то же самое с журналами ознакомления и т.д.

Ответственность банка за разглашение персональных данных

Дополнительно необходимо обратить внимание на смежный вопрос — ответственность банка за разглашение персональных данных в ходе работы по взысканию долгов. Надо учитывать следующие аспекты:

  • ответственность за разглашение персональных данных регламентируется ст. 13.11 КоАП РФ. Давность привлечения по указанной статье — два месяца. То есть у прокуратуры (в чьей подведомственности эта статья КоАП РФ) есть два месяца со дня разглашения персональных сведений на то, чтобы выявить нарушение, возбудить производство и вынести постановление о привлечении к административной ответственности. Пока еще в этот срок не уложились ни разу, что исключает привлечение к ответственности;
  • правонарушение не является длящимся и считается окончившимся с момента разглашения сведений;
  • реально для банка основным риском является попытка должника подать иск о компенсации морального вреда. В этом случае есть возможность «отбиться», ссылаясь на злоупотребление правом со стороны должника, но об этом речь пойдет ниже.

Также следует помнить, что наличие у коллекторского агентства, если банк решит с ним работать, лицензии на деятельность по технической защите конфиденциальной информации никоим образом не означает, что такому агентству можно передавать персональные данные без письменного согласия должника. Получение данной лицензии является добровольным и означает, что, вероятнее всего, технически обработка информации в компании соответствует минимальным стандартам. Однако агентство обязано быть в Реестре, утвержденном Приказом.

Немного про опасность утечек персональных данных

Зачем вообще так беспокоиться о защите персональных данных? Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок — продажа деталей банковских карт; аккаунты в социальных сетях.

Предлагаем ознакомиться:  Возможно ли вернуть презервативы

Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

Бремя ответственности

Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Уголовная ответственность

Следует отметить, что Уголовный кодекс в данном вопросе более либерален, чем гражданское законодательство. Как будет рассмотрено ниже, ГК РФ и Закон «О банках и банковской деятельности» вообще не содержат возможности передачи сведений о клиенте, за исключением строго оговоренных.

Уголовно же наказуемым, согласно ч. 2 ст. 183 УК РФ, является незаконное «разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе». При этом не конкретизируется, каким образом должно быть дано согласие (требования наличия письменного документа, тем более подготовленного по определенной форме, в УК РФ нет).

То есть, для того чтобы застраховаться от угроз уголовного преследования, банку достаточно зафиксировать любым образом согласие заемщика на распространение сведений, которые подпадают под определение, например, достаточно вставлять в кредитные договоры (как с организациями, так и с физическими лицами) оговорку о том, что в случае неплатежа банк имеет право в ходе взыскания задолженности передавать сведения о заемщике, указанные в кредитном договоре, третьим лицам.

Также следует прописать отдельно право банка привлекать к взысканию долга с предоставлением указанных сведений коллекторские агентства и прочие организации (к сожалению, сейчас чаще всего прописывают право продать задолженность по договору цессии, чего недостаточно). Наличие подобной оговорки исключает возможность привлечения банка к уголовной ответственности.

Если случилось так, что банк обвиняют в разглашении банковской тайны, а рекомендованных выше положений в договоре не было, то можно предложить следующую линию по выстраиванию защиты банка.

  1. Указание на отсутствие общественной опасности. Кто является владельцем сведений по кредитному договору? Банк и клиент. Поэтому, если сведения коллекторам передаются банком официально, они передаются владельцем сведений.
  2. Указание правоохранительным органам и суду на практику высших судов России, в частности на Обзор практики применения арбитражными судами положений главы 24 Гражданского кодекса Российской Федерации, содержащийся в Информационном письме ВАС РФ от 30.10.2007 N 120. ВАС РФ рассмотрел дело о продаже банком просроченной задолженности и передаче сведений, содержащихся в кредитном договоре, сторонней организации, которая к тому же не являлась банком. Должник обжаловал эту сделку в суде, говоря о разглашении банковской тайны, но суд ему отказал, сославшись на то, что «действующее законодательство не содержит норм, запрещающих банку уступить права по кредитному договору организации, не являющейся кредитной и не имеющей лицензии на занятие банковской деятельностью. Уступка требований по кредитному договору не относится к числу банковских операций, указанных в ст. 5 Федерального закона «О банках и банковской деятельности». Из названной нормы следует обязательность наличия лицензии только для осуществления деятельности по выдаче кредитов за счет привлеченных средств. По смыслу данного Закона с выдачей кредита лицензируемая деятельность банка считается реализованной. Ни Закон, ни ст. 819 ГК РФ не содержат предписания о возможности реализации прав кредитора по кредитному договору только кредитной организацией».

Соответственно, стоит проводить аналогию между своей ситуацией, когда сведения о должнике стали доступны третьим лицам, и данным Обзором ВАС РФ.

Гражданско-правовая ответственность

Часть 2 ст. 857 ГК РФ гласит, что сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также предоставлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены законом. Государственным органам и их должностным лицам такие сведения могут быть также предоставлены исключительно в случаях и порядке, которые предусмотрены законом.

Пункт 3 указанной статьи предусматривает, что в случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

Статья 26 Закона «О банках и банковской деятельности» дублирует данное положение: «Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону».

Чтобы взыскание задолженности было максимально эффективным, сотрудники банка, работающие над долгом, равно как и привлеченное коллекторское агентство, должны обладать наиболее полной информацией о должнике. Часть ее можно получить из независимых источников. Но все же основные данные предоставляет именно банк.

При этом сведения берутся из кредитного договора и анкеты, которая заполняется клиентом банка. Как правило, предоставляется информация о личности должника, размере долга, номере и дате кредитного договора, сроке просрочки, расчете неустойки и др. Зачастую эта информация в процессе взыскания становится известной третьим лицам из окружения должника, как это было в описанном выше иркутском деле.

Соответственно, передача третьим лицам или коллекторам вышеуказанных сведений дает должнику формальный повод подать заявление в суд, обвинив банк в нарушении той самой банковской тайны.

Чтобы подстраховаться и избежать этого, некоторые банки вносят в кредитные договоры условие о возможности разглашения информации при неисполнении должником своей обязанности по возврату кредита. Данный выход представляется сомнительным, так как и ст. 857 ГК РФ, и ст. 26 Закона «О банках и банковской деятельности» являются императивными и не предоставляют банку возможности нарушать банковскую тайну, даже если это предусмотрено договором.

Несколько иная ситуация со сведениями, которые должник самостоятельно вносит в анкету при заключении кредитного договора. Как правило, в подобной анкете есть и паспортные данные заемщика, и вся необходимая контактная информация, то есть персональные данные человека. Если прописать в анкете право банка предоставлять эти данные в случае неисполнения заемщиком своих обязательств коллекторским агентствам и лицам из окружения должника, в том числе родственникам, сослуживцам, соседям, то это отчасти снимает проблему.

В результате получается интересная ситуация — закон защищает недобросовестного должника, который умышленно нарушает закон, не исполняя своих договорных обязательств, и препятствует банку, который действует строго в рамках закона (последний не обязывает банки исключительно напрямую урегулировать свои взаимоотношения с клиентами-должниками), пытаясь получить свое имущество.

Предлагаем ознакомиться:  Можно ли ездить с тюнинговым копотом

В качестве небольшого отступления нельзя не сослаться на мнение начальника службы безопасности одного крупного банка, который с горечью сетовал, что незаконным является даже обращение банка в суд за взысканием долга, так как при этом нарушается банковская тайна. Законодательством предусмотрен исчерпывающий перечень случаев, когда сведения предоставляются третьим лицам.

Так вот, обращения самого банка в суд в этом списке нет. Ведь в результате обращения в суд условия банковского договора узнают третьи лица: судья, помощник судьи, канцелярия суда, приставы и др. И все это является столь же незаконным, как и передача информации коллекторам. Такой вывод следует из буквального прочтения ГК РФ и Закона «О банках и банковской деятельности».

Между тем при более пристальном рассмотрении проблема не выглядит столь уж неразрешимой, требующей безусловного внесения изменений в действующее законодательство.

Перед должником, который препятствует взысканию и подает при этом в суд, обвиняя банк в разглашении банковской тайны, встает ряд проблем правового характера.

Во-первых, это формулирование предмета иска.

Тут банку прежде всего помогают все те же ст. 857 ГК РФ и ст. 26 Закона «О банках и банковской деятельности», согласно которым единственной ответственностью, которую несет банк, является возмещение ущерба, возникшего вследствие разглашения банковской тайны.

То есть должник должен доказать наличие ущерба из-за передачи информации коллекторам или третьим лицам. Однако имущественного ущерба здесь быть не может — взыскиваемые банком или коллекторами суммы (сумма кредита, проценты по нему, штрафные санкции) должник обязан уплатить в силу закона. Более того, это должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства (п. 1 ст. 393 ГК РФ). Это должник как лицо, не исполнившее обязательство, несет ответственность (п. 1 ст. 401 ГК РФ).

Поэтому должник может подать иск лишь о компенсации морального вреда (это и случилось в Иркутске). Моральный же вред от разглашения сведений о нарушении должником действующего законодательства и условий договора — при грамотной аргументации и наличии у банка четкой позиции относительно правомерности собственных действий — также вряд ли подлежит возмещению, так как закон защищает только законные интересы граждан.

Во-вторых, в действиях должника налицо злоупотребление правом.

Банку необходимо донести до суда или СМИ информацию о том, что действия должника направлены на воспрепятствование банку во взыскании задолженности. При этом взыскание связано, как отмечалось выше, с нарушением самим должником условий договора и требований ГК РФ.

То есть ситуация, когда должник подает в суд на банк за разглашение банковской тайны, включает в себя три составляющие.

  1. Незаконные действия должника по невозврату кредита.
  2. Законные действия банка, направленные на принуждение должника исполнить условия договора. (Это единственная причина передачи информации коллекторам или третьим лицам. По идее, банк не ставит перед собой задачу причинить вред законным интересам должника или вызвать наступление неблагоприятных для должника последствий, не предусмотренных законом.)
  3. Желание должника затруднить или сделать невозможным взыскание долга (то есть исполнение требований закона и договора) либо отомстить за взыскание. Чтобы достичь результата, должник использует право, которое предоставлено ему законом. Однако очевидно, что законодатель, принимая данную норму, не предполагал подобного ее использования.

В результате получается, что в данной ситуации именно цели должника носят противоправный характер. И для достижения этих целей он злоупотребляет имеющимся у него правом <1>.

По мнению А.А. Малиновского, «злоупотребление правом есть такая форма реализации права в противоречии с его назначением, посредством которой субъект причиняет вред другим участникам правоотношений» (Малиновский А.А. Злоупотребление правом: теоретические аспекты // Журнал российского права. 1998. N 7. С. 70).

Российское законодательство не допускает подобного рода злоупотреблений. Пунктом 3 ст. 17 Конституции РФ закреплен общий принцип, в соответствии с которым осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц. Пунктами 1 и 2 ст. 10 ГК РФ конституционная норма конкретизирована — не допускаются действия граждан и юридических лиц, осуществляемые исключительно с намерением причинить вред другому лицу, а также злоупотребление правом в иных формах. В случае несоблюдения этого требования суд может отказать лицу в защите принадлежащего ему права.

Причем из смысла п. 1 ст. 10 ГК РФ следует, что наличие реального вреда, причиненного банку, при его обращении в суд с целью пресечения злоупотребления со стороны должника не является решающим признаком для квалификации судом действий как злоупотребления правом. Достаточно, чтобы на момент рассмотрения дела существовала хотя бы явная угроза его причинения в результате защиты права, которым лицо злоупотребило.

Выводы. Подводя итог вышесказанному, можно сделать следующие противоположные выводы.

  1. Передача банком сведений о должнике коллекторскому агентству с целью взыскания с него задолженности все же формально является нарушением банковской тайны.
  2. Действующее законодательство защищает банки от ответственности за разглашение банковской тайны и создает препятствия для недобросовестных должников, не позволяющие злоупотреблять требованием ее сохранения. Главное — четкое понимание данного аспекта сотрудниками банка, которые работают с заемщиками, и оперативное донесение этой позиции до должника.

Также данная позиция (правомерность действий банка, направленных на восстановление законности, и злоупотребление правом со стороны должника) должна озвучиваться юридическими и PR-службами банка для СМИ в случае, если они обратятся в банк с вопросами по факту разглашения банковской тайны.

Должников или их представителей, которые попытаются шантажировать банки угрозами направить заявления о разглашении банковской тайны, необходимо оперативно предупреждать, что в отношении них будут поданы встречные заявления по факту заведомо ложных сообщений о преступлении (если они подают заявление в правоохранительные органы) либо клеветы и злоупотребления правом.

Неужели действительно могут быть проверки

Да, проверки могут быть от Роскомнадзора.

Ежегодно Роскомнадзор публикует перечень проверок выборочно из списка зарегистрированных операторов, если компания попала в перечень проверок, то следующая плановая проверка возможна не ранее чем через три года. Посмотреть, не попала ли ваша компания в список этого года, можно здесь.

Проверки вне плана обычно вызваны жалобами. Если проверка внеплановая, вас о ней должны предупредить за сутки в письменном виде.

Также могут быть документарные проверки. При документарной проверке вам пришлют список документов, копии которых надо будет отправить в Роскомнадзор.

Иногда Роскомнадзор делает выездные проверки: инспекторы лично наносят визиты, чтобы проверить компанию на месте.

Подготовка к любой из этих проверок — трудоёмкое занятие. Будете ли вы решать задачу подготовки к проверке самостоятельно, или привлечёте внешних специалистов, для начала надо определить, кто в компании будет отвечать за соблюдение ФЗ-152.

Штрафы, суды и другие ужасы

За нарушение 152-ФЗ предусмотрена гражданская, уголовная, административная, и дисциплинарная ответственность.

Итак, Роскомнадзор провёл проверку, если он обнаружил несоответствия законодательству, он выдаст предписание следственному комитету провести разбирательство по факту нарушения закона «О персональных данных».

После этого прокуратура начнёт проверку, в ходе которой она может приостановить деятельность компании: изъять базу данных компании, в частности, компьютеры, на которых производилась обработка персональных данных.

Нарушителей закона прежде всего ждут штрафы. Размеры штрафов варьируются в зависимости от правонарушений. Так, за обработку персональных данных без письменного разрешения субъектов юридическим лицам придётся понести административную ответственность.

Даже если оператор готов заплатить штраф, а по меркам крупного бизнеса он не кажется огромным, правонарушителю всё равно придётся устранить несоответствие перед законом (например, удалить хранящиеся данные) и уведомить об этом Роскомнадзор.

Худший сценарий — это если Роскомнадзор решит отозвать лицензию компании, запретить бизнесу обработку персональных данных, а сайты, незаконно публикующие персональные данные граждан, подвергнуть блокировке.

За прошедшие несколько лет в России самый громкий скандал был связан с блокировкой сайта LinkedIn, владельцев которого обвинили в обработке персональных данных граждан без их согласия на серверах, находящихся за пределами РФ. Также «нашумела» блокировка сервиса autonum.info.

Сколько мне это будет стоит денег и сил

Организовать обработку персональных данных можно самостоятельно или с помощью компании, которая предоставляет подобную услугу.

Если решили обрабатывать персональные данные самостоятельно, потребуется:

  1. Разобраться, какую категорию персональных данных вы обрабатываете и какие есть технические требования к их защите.
  2. Своими силами или с помощью ИТ-компании разработать технические решения, подготовить закупки необходимого оборудования и программного обеспечения, установить его и внедрить.
  3. Оформить все юридические документы. Разработать комплект внутренних документов: инструкций и регламентов.

На это уйдёт в лучшем случае три-четыре месяца, стоимость такого внедрения может составить 200-300 тысяч рублей — это стоимость покупки оборудования, лицензий. Трудозатраты и дальнейшая поддержка информационной системы — отдельная статья расходов. Также потребуется администратор, который будет контролировать работу системы.

Если говорить объективно, совсем маленькие компании просто не выполняют все требования закона в надежде, что проверки не будет. Возможно, её действительно не будет. Другие компании создают «потёмкинские деревни», лишь делая вид, что обрабатывают персональные данные в соответствии с требованиями законодательства, иными словами, «покупают» необходимые документы.

В следующем материале мы покажем, как посчитать стоимость обработки персональных данных внутри компании и расскажем, когда выгоднее заниматься обработкой персональных данных самим, а когда лучше отдать на хранение в «облаке».

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Понравилась статья? Поделиться с друзьями:
Юридическая помощь
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock detector