Настоящая статья посвящена вопросам обработки ПДн третьих лиц, в отношении которых у оператора отсутствует правовое основание обработки, но существует необходимость, диктуемая выстроенными бизнес-процессами. Рассматриваются возможные подходы к решению данной задачи с учетом практики.
Алексей Чирков
Советник по правовым вопросам, Российский микрофинансовый центр
В настоящее время многие операторы ПДн в ходе осуществления своей деятельности сталкиваются с необходимостью обработки персональных данных третьих лиц, с которыми у оператора отсутствуют какие-либо отношения и чьи данные получены без их согласия от третьих лиц. Строго говоря, в большинстве таких случаев ни одно из оснований, указанных в ст. 6 Федерального закона от 27.07.2006 ФЗ № 152 "О персональных данных" (далее – ФЗ № 152), не является применимым, однако практика заставляет рассматривать возможные способы их законной обработки. В качестве примера практической ситуации возникновения такой потребности рассмотрим следующий пример.
Заемщик-гражданин обращается в банк или иную финансовую организацию1 с заявлением о предоставлении потребительского кредита. Наличие в таком заявлении телефонов и иных контактных данных родственников, друзей, родителей заемщика повышает (в случае возникновения просрочки) вероятность успешного взыскания долга, по разным оценкам, на 20–40%. Таким образом, в описанной ситуации возникает необходимость обработки ПДн так называемых "контактных" лиц (далее – ситуация), однако правомерность такой обработки неочевидна. Практика выработала, как минимум, три способа2 юридического оформления обработки в приведенной ситуации, которые будут рассмотрены далее.
В описанном выше примере ПДн субъекта получаются без его согласия от третьего лица. При этом в соответствии с ч. 1 ст. 6 ФЗ № 152 перечень случаев, когда ПДн могут законно обрабатываться без согласия лица, которому они принадлежат, исчерпывающе определен. И описанная ситуация в этот перечень не попадает. Во-вторых, в соответствии со ст. 18 ФЗ № 152 в случае, когда ПДн получены не от субъекта, которому они принадлежат, оператор обязан уведомить субъекта о факте обработки его ПДн и сообщить ему определенный перечень информации, что создает еще одну сложность. К тому же вполне очевидно, что реализация такой обязанности оператором в ряде случаев может повлечь законное требование субъекта о прекращении обработки его ПДн. Это создает юридические сложности в описанной выше ситуации. На практике появилось как минимум три варианта соблюдения норм ФЗ № 152 при обработке ПДн "контактных" лиц – без их согласия и уведомления.
Смысл первого варианта состоит в том, чтобы доказать, что обрабатываемые данные не являются персональными. Это представляется возможным в следующих случаях. Во-первых, объем собираемой информации должен ограничиваться контактным номером телефона и именем. В случае, если о "контактном" лице запрашивается и степень родства заемщику, и паспортные данные, и другая дополнительная информация, такой вариант вряд ли применим. Во-вторых, требуется корректное оформление анкеты. Например, исходя из правоприменительной практики, строчка в анкете "предпочитаемое обращение или псевдоним" с точки зрения отношения данных к персональным выглядит значительно лучше, нежели классическое "ФИО", поскольку предполагает возможность различного заполнения – от имени до социального статуса. В этом случае вероятность признания имени ПДн крайне низка. В-третьих, необходимо подготовить соответствующую аргументацию по вопросу неотнесения к ПДн номера телефона контактного лица. В теории номер телефон может быть классифицирован как обезличенные персональные данные, так как установить принадлежность совокупности цифр конкретному лицу возможно только при доступе к базе оператора связи. Юридически для финансовых организаций это невозможно. В судебной практике в подобных ситуациях номер телефона, как правило, не признается ПДн, поскольку расценивается не относящимся к конкретному лицу3. Таким образом, одним из вариантов обработки информации о "контактных" лицах должника является сбор данных в объеме, достаточном для взаимодействия с контактным лицом, но недостаточным для признания их персональными.
Этот вариант может быть реализован путем запроса у заемщика, к примеру, большего числа номеров, чем имеет "обычный" заемщик. К примеру, вместо привычных граф анкеты-заявления о предоставлении потребительского кредита (займа) (далее – заявление) "домашний" и "мобильный телефон" можно использовать четыре или пять обязательных для заполнения граф "номер телефона". Вероятно, 2 или 3 номера в таком заявлении будут принадлежать не самому заемщику, а третьим лицам. Однако юридически при наличии в заявлении фразы вроде "достоверность указанных сведений, а также их принадлежность лично мне подтверждаю" финансовая организация вправе законно обрабатывать все указанные данные, в том числе и номера телефонов. Помимо согласия в самом заявлении это право базируется и на принципе добросовестности, закрепленном в ГК РФ: финансовая организация вправе добросовестно полагаться на достоверность сообщаемых заемщиком сведений.
В данном случае в подписываемом заявлении содержится поручение заемщика, который в роли оператора4 поручает финансовой организации обрабатывать ПДн субъекта (контактного лица) "в целях доведения информации о просроченной задолженности оператора до субъекта персональных данных" определенными в заявлении способами. Данная схема при корректном юридическом оформлении имеет ряд преимуществ перед двумя предыдущими: о контактном (или любом третьем лице) могут быть сообщены любые ПДн; финансовая организация, выступая применительно к ПДн контактного лица "лицом, осуществляющим обработку персональных данных по поручению оператора", не несет никакой ответственности перед самим контактным лицом, которое может обращаться с жалобами в уполномоченный орган. Ответственность за нарушения при обработке ПДн у финансовой организации в этом случае есть только перед заемщиком-оператором ПДн контактного лица. Перед самим же "контактным" лицом за все нарушения, в том числе возможно допущенные финансовой организацией, будет отвечать заемщик.
Получая таким образом ПДн, финансовая организации освобождается от обязанности предоставления информации, предусмотренной ч. 3 ст. 18 ФЗ № 152 для ситуаций, когда информация получена не от самого субъекта.
Таким образом, данная схема позволяет обрабатывать ПДн третьего лица, не получая непосредственно от него согласия.
Это основные встречающиеся на практике решения по обработке ПДн "контактных" лиц. Возможно, не все из них полностью соответствуют духу законодательства о защите персональных данных, однако ни одно из них, по имеющимся данным, не повлекло привлечения к ответственности, равно как и не вызывало вопросов прокуратуры и Роскомнадзора при проведении проверок в финансовых организациях.
В случае, если указанные данные не принадлежат заемщику, то для их удаления финансовая организация вправе потребовать личного визита третьего лица, которому принадлежат эти данные, в свой офис для предоставления документов, подтверждающих принадлежность указанных телефонов этому третьему лицу (например, абонентского договора), а не указавшему их заемщику. Данная позиция в настоящее время поддерживается как минимум двумя территориальными управлениями Роскомнадзора. Данный способ (его весьма сложно назвать некой схемой адаптации к требования законодательства) достаточно активно используется на практике; ответственность в такой ситуации может понести лишь сам заемщик, указывающий чужие ПДн.
Однако вне зависимости от того, каким образом были получены данные заемщика, представляется крайне важным проверять их достоверность, причем проверять в момент получения, а не тогда, когда возникает необходимость их использования. Несоблюдение именно этого требования часто становится причиной обращений субъектов ПДн к операторам и уполномоченному органу.
Очевидно, ничто изложенное в настоящей статье не означает одобрения или тем более прямой рекомендации по использованию описанных схем. Однако, как представляется, в определенных случаях подобный анализ практики может быть полезен при выработке собственных юридических решений подобных ситуаций. Решений, основанных на букве закона и соответствующих его духу.
___________________________________________
1 С 01.07.2014 предоставлять займы заемщикам-потребителям (то есть осуществлять профессиональную деятельность по предоставлению потребительских займов) могут исключительно следующие финансовые организации: кредитные (в том числе банки) и микрофинансовые организации, ломбарды,кредитные кооперативы.
2 В настоящей статье не рассматривается вариант, при котором заемщик действует как представитель контактного лица на основании доверенности. Во-первых, такой вариант прямо вытекает из закона, во-вторых, он вряд ли возможен в большинстве типичных сделок профессионального кредитора,поскольку оригинал доверенности с подписью контактного лица большинство заемщиков представить не могут.
3 См., например, Апелляционное определение Московского городского суда от 28.01.2014 по делу № 33-5461.
4 Оператором, в соответствии с ФЗ № 152, признается государственный муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели их обработки, состав и действия (операции), совершаемые с ними. Таким образом, юридических препятствий, вопреки мнению отдельных экспертов, для признания физического лица оператором ПДн не существует.
Персональными данными называют любые сведения, которые относятся к соответствующему или определяемому на основании этих сведений физлицу. регламентируется ст.88 ТК РФ .
Об особенностях трансграничной передачи персональных данных читайте .
Официально являющиеся получатели персональных сведений гражданина (кому можно передавать без согласия) считаются следующие учреждения:
ФЗ «О защите прав потребителей» включает в себя обработку с последующей передачей своих личных данных, если есть согласие сотрудника. При этом составляется в письменной форме документ, который хранится у работодателя. При возникшем споре бумага становится доказательством наличия согласия на передачу личных сведений сотрудника постороннему субъекту.
Каждая компания может столкнуться с необходимостью периодической отправки личных данных служащего из 1 структурного подразделения в другое. Эти сведения отправляются кадровой службой в бухгалтерию или службу безопасности. В этом случае учреждение должно ознакомить сотрудника с актом с получением подписи, подтверждающей его согласие.
Каким организациям позволяется получать личные сведения работника при его согласии? К примеру, такими учреждениями может стать банк для оформления безналичного счета, куда Наниматель будет перечислять зарплату и другие доходы сотрудника. Или кредитные организации, куда гражданин обращался за оформлением кредита или ссуд.
Главное предназначение бумаги – получение письменного согласия сотрудника, позволяющего сообщать личные сведения работника третьей стороне.
В положении указывается порядок обращения с персональными данными работника.
гласит , что он содержит в себе следующие пункты:
Для оформления бумаги по передаче персональных сведений рекомендуем воспользоваться нижеописанной инструкцией. Особых требований к составлению документа в законодательстве не сказано , однако выполнять его следует в письменном виде.
Пошаговые действия:
Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности2. В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Ч.1 устанавливает способы следующие совершения правонарушений:
Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона. Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника).
О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку. Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета. Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр.
Документарный состав личных дел - это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ). Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных.
Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан. В частности, ими могут быть получены: Подписывайтесь на нашканал в Яндекс.Дзен! Подписаться на канал
Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст.
Инфо
Умышленное разглашение сведений о человеке наказывается по всей строгости закона. Но как следует хранить и защищать информацию, чтобы никто не смог ее достать и незаконно распространить? Обратимся к нормам ФЗ-152 «О персональных данных». Хранение и защита персональных данных Конфиденциальность персональной информации охраняется операторами.
Это профессиональные работники, обязующиеся не раскрывать третьим лицам имеющуюся информацию без согласия соответствующих субъектов. При этом сведения могут храниться в разном виде. В качестве общедоступных источников могут выступать справочники, адресные книги, электронные системы и прочие носители. С письменного согласия субъектов персональных данных в источник включаются фамилия и имя, дата и место рождения, адрес проживания, сведения о профессии, абонентский номер и прочая информация.
Отягчающим наказанием считается сбор или распространение информации в связи со своим должностным положением. В качестве примера можно выделить разглашение персональных данных работодателем. Виновное лицо в этом случае будет подвержено воздействию довольно тяжелых санкций:
рублей;
Разглашение персональных данных сотрудников и клиентов — это тяжелое преступление. Однако даже за него последуют наказания не столь суровые, как за сбор и распространение информации о несовершеннолетних. За подобные действия установлены следующие типы наказаний:
Внимание
Согласно положениям Конституции Российской Федерации, каждый гражданин страны имеет право на защиту его чести, неприкосновенность частной жизни, личную и семейную тайну. При этом оформление многих документов требует представления сведений личного характера: так, например, устраиваясь на работу, оформляя кредит или банковскую карту, гражданин должен указать свои Ф.И.О., паспортные данные, место регистрации и т.д. При этом организация, являющаяся получателем этих данных, обязуется сохранять их в тайне и не передавать третьим лицам.
Наказание наступает в соответствии с нормами в порядке и случаях, предусмотренных в них, а также в тех ситуациях и пределах, в каких реализация способов защиты интересов гражданина вытекает из сути нематериального права, на которое было совершено посягательство, и характера последствий деяния. Следует при этом отметить, что практика применения данной нормы малоизвестна. УК Уголовная ответственность за разглашение персональных данных определена в ст.
137. В соответствии с нормой, наказание вменяется за нарушение неприкосновенности личной жизни гражданина, выраженное в собирании либо распространении сведений, составляющих его семейную либо индивидуальную тайну, без его согласия. Ответственность за разглашение персональных данных по 137 статье наступает и в случае обнародования информации в публичном выступлении, при демонстрации произведения, а также в СМИ.
Обработка персональных данных без согласия субъекта возможна только в установленных законом случаях. Использование таких сведений с нарушением порядка или без соответствующих оснований влечет привлечение виновных к гражданской, трудовой, административной и уголовной ответственности.
Закон «О персональных данных» от 27.07.2006 № 152-ФЗ установил 2 варианта, при которых обработка личных сведений гражданина (субъекта) законна:
Общая процедура обработки операторами личных данных о гражданах без их специального разрешения выглядит следующим образом:
Дополнительным этапом может стать оспаривание физическим лицом правомерности использования информации о нем. Органом рассмотрения споров является (на выбор гражданина) суд или Роскомнадзор. В ходе разрешения конфликта оператором предъявляются доказательства наличия обстоятельств, позволяющих ему использовать данные без одобрения или вопреки запрету гражданина.
В случае нарушения оператором процедуры и условий обработки персональной информации он может быть привлечен к различным видам ответственности:
Вид ответственности |
Пример нарушения |
Наказание |
Правовое основание |
Гражданская |
Причинение морального вреда |
Выплата компенсации |
Ст. 24 закона № 152-ФЗ, ст. 1099 ГК |
Дисциплинарная |
Разглашение персональных сведений о другом трудящемся |
Увольнение |
|
Нарушение законодательства при обработке информации |
Привлечение к дисциплинарной и материальной ответственности |
||
Административная |
Обработка сведений, противоречащая цели сбора данных |
|
Ч. 1 ст. 13.11 КоАП |
Уголовная |
Посягательство на неприкосновенность частной жизни |
Санкция альтернативная:
|
Ч. 1 ст. 137 УК |
Отказ или обман со стороны должностного лица при предоставлении гражданину информации о нем |
Штраф (200 000 руб. или доход за срок до полутора лет) либо лишение права заниматься определенной деятельностью в течение 2-5 лет |
||
Доступ к компьютерной информации без права на это |
Штраф (200 000 руб. или доход за срок до полутора лет), исправительные работы до года либо принудительные работы, ограничение или лишение свободы сроком до 2 лет |
Ч. 1 ст. 272 УК |
Таким образом, обработка информации без разрешения субъекта возможна, если оператору такое право предоставлено законодательно. Использование сведений при этом должно осуществляться в той мере, которая требуется для достижения целей оператора, после чего данные уничтожаются или обезличиваются. Лицо, считающее, что его персональные данные использованы незаконно, вправе обратиться в суд или Роскомнадзор.
Не знаете свои права?