Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

    Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

   Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок. 

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

   По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

   Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности.

Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина.

Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

   Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

   В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности.

    Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика.

В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

   Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

   Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно.

Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга.

Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

   Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле.

Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности.

При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

   Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

   Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

   Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

   Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц.

Вид полученной переписки между гражданами не имеет значения.

При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

• В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
• В Центральный банк Российской Федерации
• От П.
• Жалоба на использование персональных данных

   Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году.

2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей.

Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

1.    В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
2.    В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
3.    Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
4.    Звонки поступают со следующих номеров телефонов: …
5.    Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

   В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

   Ст.

26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.

Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

   За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

   Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

   Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское  бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

   На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных  третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Дата, подпись

Автор статьи:

© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

А.В. Кацайлиди

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

• на граждан — от 500 до 1 000 руб.;
• на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

• от всех ли работников получено согласие на обработку персональных данных;
• ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
• должным ли образом осуществляется хранение и защита персональных данных;
• соответствует ли документация об их обработке требованиям законодательства и т.д.

Ничего личного: как защитить свои персональные данные от излишнего любопытства банков

Защита персональных данных все больше заботит банковских клиентов коллаж Banki.ru

Клиенты все чаще подозревают банки в некорректной работе с персональными данными. Где границы дозволенного законом и как на них указать финансовым организациям?

В 2018 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора.

По данным ведомства, последние пару лет количество таких обращений снижается, но кредитные организации по-прежнему остаются в топ-листе «нарушителей».

В отчете за прошлый год нет информации о доле поданных банковскими клиентами жалоб, которые были признаны обоснованными. В 2015-м по итогам проверок нарушения подтвердились в 35% случаев.

Банки.ру изучил отзывы на форуме и в «Народном рейтинге» и выявил пять распространенных поводов для недовольства клиентов.

Атака рекламой

«Достали уже! Никакой управы на них нет! Постоянно звонят и предлагают свои кредитные карты и кредиты!! Сколько можно уже?! Когда уже все это закончится!» — возмущался один из пользователей «Народного рейтинга». Он, как и многие клиенты банков, готов получать услуги, но без лишнего рекламного сопровождения.

«Угораздило меня полгода назад открыть в Восточном Банке депозит на небольшую сумму. С тех пор на мой телефон регулярно идут холодные звонки с различными предложениями финансовых услуг от банка.

При этом я ставлю контакт в черный список, но в следующий раз мне звонят с другого номера. Присылаете СМС, шлете спам в почту, ну этого хватит.

Зачем человеку мешать работать?» — писала еще одна недовольная клиентка.

Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента.

К персональным данным относятся фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное, социальное или имущественное положение, образование, профессия, уровень дохода, перечисляет партнер юридического бюро «Замоскворечье» Дмитрий Шевченко.

Сюда же попадает биометрическая информация, банковская и кредитная история, если верить условиям обработки персональных данных на сайтах финансовых организаций. И это только очевидная часть обрабатываемых персональных данных, подчеркивает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Подобные сведения необходимы не только для проверки личности, но и для оценки платежеспособности клиента, замечает зампред правления банка «Ренессанс Кредит» Сергей Королев.

Банки, как и любые операторы персональных данных, могут работать с личной информацией клиента только с его согласия, которое он дает, как правило, при первом обращении в кредитную организацию.

«Согласие должно быть конкретным, информированным и сознательным», — подчеркивает руководитель практики интеллектуального и информационного права юридической группы «Яковлев и партнеры» Анна Никитова.

Кредитные организации включают в подобные документы весь перечень действий, которые они хотели бы совершать с информацией о клиенте. Речь может идти в том числе о передаче данных партнерам, использовании их для рекламной рассылки или для анализа.

«Все, под чем подпишется клиент, тем и распоряжаются. Передают внутри своей группы компаний, в маркетинг, коллекторам — в зависимости от того, какой список компаний присутствует в соглашении на обработку персональных данных», — отмечает руководитель практики «ИТ-безопасность» «КСК Групп» Алексей Работягов.

Если бланк согласия не предусматривает точных формулировок, стоит выяснить пределы этого согласия, рекомендует Никитова. По словам специалистов, человек может одобрить одни операции и запретить другие.

Например, клиент может отказаться от получения рекламной рассылки, говорит Королев из «Ренессанс Кредита». Наличие такой опции также подтвердили в Сбербанке.

Еще порядка 15 крупных кредитных организаций, в которые обратился корреспондент Банки.ру, не дали ответа на этот вопрос.

Отказаться только от рекламной рассылки получается не всегда и не сразу. Чаще приходится сначала согласиться со всем, а потом отзывать согласие на использование персональных данных для рекламных целей, поясняет Работягов.

Юрист Дмитрий Шевченко сомневается, что такие отказы дадут эффект: «Направление банком СМС-сообщения не может нарушить прав клиента применительно к положениям закона о персональных данных.

Более того, в направляемых сообщениях обычно не указываются персональные данные либо другая информация, по которой возможно идентифицировать конкретного клиента банка».

Прости-прощай

Если клиент хочет расстаться с кредитной организацией, это не означает автоматического удаления персональных данных. В теории они хранятся и используются, пока действует договор сторон. А в реальности многие игроки не спешат избавляться от ценной информации.

«Столкнулся с такой проблемой: не могу отозвать из ряда банков свои персональные данные! Прихожу в офис Россельхозбанка, озвучиваю свое пожелание, а на меня таким взглядом смотрят и говорят, что они про такое не слышали! Я, конечно, настоял на заявлении, но ответа не получил по истечении уже четырех месяцев!» — делился негативным опытом на форуме Банки.ру пользователь под ником savelich74.

Просьба удалить персональные данные должна подаваться в письменной форме — сразу в отделении или по почте. При этом банк должен уведомить клиента, что требование выполнено, объясняет Никитова.

Закон определяет 11 случаев, когда банк может обрабатывать персональные данные без согласия клиента, подчеркивает Дмитрий Кузнецов.

Например, если информация необходима для защиты законных интересов банка.

https://www.youtube.com/watch?v=jk5hqTlJN9M

Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля, замечает Работягов.

«Персональные данные хранятся в течение сроков, установленных действующим законодательством, например, при отсутствии действующего договора — в течение пяти лет с даты прекращения договора», — подтвердили в Райффайзенбанке.

В Сбербанке озвучили тот же срок хранения личной информации клиента, сославшись на требования 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». — Прим. ред.).

Получается, что право на отзыв своих персональных данных у клиента есть, а вот шансов на положительный результат — гораздо меньше.

Предложение от незнакомца

Рекламные и продуктовые предложения поступают клиентам от банков и организаций, с которыми те никогда не связывались.

«Прекратите названивать с различных номеров с вашими предложениями! Согласие на обработку данных в вашем банке я не давала!» — жаловалась пользователь «Народного рейтинга» на Тинькофф Банк.

Зачастую подобное взаимодействие с клиентом дает обратный эффект. Вместо интереса к продукту банк провоцирует раздражение.

«Сегодня на почту приходит предложение оформить кредит. Никаких контактов с банком у меня не было. С чего бы банк стал предлагать мне кредиты? В общем, крупный банк занимается рассылкой спама. Всех бесят спамерские рассылки с любыми предложениями. Теперь я ни за что не обращусь в этот банк для получения банковских услуг», — писала несостоявшаяся клиентка Хоум Кредит Банка.

Закон не запрещает банкам получать персональные данные граждан из общедоступных источников. Аналогичный пункт есть в большинстве документов, которые описывают политику кредитных организаций в отношении персональных данных. Вопрос в том, что считать общедоступным источником.

Например, в 2017 году Сбербанк сообщал о намерении проверять заемщиков по «цифровому следу» — открытым данным из соцсетей. Неясно, широко ли это применяется на практике госбанком и другими игроками, но некоторые участники рынка обращают внимание на то, что такой подход несет определенные риски.

Национальное бюро кредитных историй пробовало собирать открытую информацию в соцсетях, но в итоге столкнулось с судебным иском, рассказал на Scoring Case Forum директор по маркетингу НБКИ Алексей Волков.

«Дело даже не в вопросе, чьи это данные, а в вопросе самого субъекта и его согласия. Суд решил, что данные в соцсетях не являются открытыми, кто бы что ни считал.

Исходя из понимания, что для нас как для бюро, для структуры сверхпубличной, продолжение этой практики является токсичным, мы этот проект свернули», — пояснил эксперт.

Использование открытых данных для «холодных звонков» — это тоже нарушение закона, утверждают собеседники Банки.ру. «Организация должна получить ваше согласие еще до того, как сотрудник кол-центра наберет ваш телефонный номер», — поясняет Кузнецов. Другой вопрос, как пресечь эту активность банка.

«Можно оставить требование о прекращении обработки по телефонному номеру, а также получить информацию о юридическом адресе, на который вы впоследствии направите письменное заявление об удалении ваших персональных данных.

А также предупредить об ответственности за нарушение законодательства (КоАП РФ, статья 13.11) и обозначить намерение направить жалобу в Роскомнадзор», — советует Никитова.

Все так, но банки изворачиваются, замечает Работягов: «Говорят, что по телефону такой информации не дадим, приходите, пишите официально. Клиенты «забивают», а банк тихонько удаляет их из обзвонной базы».

По словам Кузнецова, обзвоны, как правило, делают не банки, а сторонние организации, поэтому привлечь к ответственности такой кол-центр крайне сложно.

За того парня

Посторонним может оказаться не только банк, но и клиент. Нередко людям поступают сообщения, которые их вообще не касаются. Например, банк звонит по поводу чужого долга. «Названивают каждый день. Какой-то человек оставил в качестве контактного мой номер телефона.

Ищут должника, выпытывают мою личную информацию, разговаривают так, как будто это я им должна, грубо, требовательно.

Почему при взятии кредита вы не обзваниваете оставленные вам дополнительные номера телефонов??? Я запрещаю вам беспокоить меня, человека, который не знает никаких ваших должников», — жаловалась пользователь «Народного рейтинга» на банк «Восточный».

Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи. У экспертов нет единого мнения, считается ли это нарушением закона «О персональных данных». «Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться.

Отдельного согласия от них не требуется: либо клиент сам уведомляет третьих лиц о дальнейшей обработке их персональных данных банком, либо их уведомляет непосредственно банк», — поясняет зампред «Ренессанс Кредита». В Райффайзенбанке противоречия также не увидели: «Набор таких данных, как имя и телефон, не позволяет определить конкретное физлицо».

«Такой подход не совпадает с основной идеей закона, но банки изворачиваются. Иногда платят штрафы, но в целом принимают риски», — резюмирует Работягов. В таких случаях юристы рекомендуют клиентам обращаться в банк и писать заявление на отзыв персональных данных. Основанием, в частности, может служить то, что вы не являетесь стороной договора.

Утечка без доказательств

Реклама — меньшая из бед, которые могут произойти. Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка.

«Уже несколько лет храню вклады в Московском Кредитном Банке, вклады достаточно крупные.

И каждый раз, стоит мне пополнить вклад, как через день начинают поступать звонки от всяких коммерческих организаций с предложениями вложить мои деньги на более выгодных условиях, ситуация тянется не первый год…

Посоветуйте, пожалуйста, что делать?! Получается, что сотрудники продают или передают бесплатно информацию о моих счетах, мой адрес и т. д.!» — писала пользователь форума Банки.ру под ником KateV.

Аналогичные подозрения возникают у клиентов, когда от имени банка им начинают звонить мошенники.

«Когда звонят конкретно клиенту банка, владея персональными данными, звонят высокопрофессиональные подготовленные мошенники, как в моем случае, звонили с номеров горячей линии банка (на другой номер я бы не повелась).

Многие пишут, что работники банка слили инфу (в некоторых банках мне сказали, что за деньги купить можно все)», — отмечала форумчанка под ником 777kolibri_2010.

Российское законодательство предусматривает ответственность оператора за утечку персональных данных или некорректную работу с ними. Это может быть административный штраф до 75 тыс. рублей за каждое нарушение, говорит Дмитрий Шевченко.

В 2018 году Роскомнадзор выписал таких штрафов на 3,9 млрд рублей.

«Если разглашение персональных данных привело к гражданско-правовым последствиям, к примеру, причинен моральный вред, либо разглашение привело к убыткам субъекта персональных данных, то может быть предъявлен иск о возмещении убытков и компенсации морального вреда», — отмечает Никитова.

Однако утечку личной информации еще нужно доказать, подчеркивают собеседники Банки.ру. «Это практически нереально, так как не доказать, что есть ущерб.

Вот утекут данные и деньги, тогда другой вопрос», — констатирует Работягов.

«Чтобы привлечь оператора, допустившего утечку, к ответственности, придется доказывать, что он или нарушил требования по обеспечению безопасности, или слил данные сознательно», — заключает Кузнецов из Positive Technologies.

Мнения экспертов подтверждает статистика. По данным Право.ru, в прошлом году российские суды рассмотрели всего 160 исков клиентов к банкам, которые касались нарушения закона «О персональных данных». Лишь 16% обращений были удовлетворены полностью или частично.

В 2017-м этот показатель был на уровне 15,5%, хотя самих споров суды рассмотрели в пять раз больше. В последние годы россияне стали с большим трепетом относиться к теме персональных данных, говорит Никитова. Кроме того, ужесточилась ответственность бизнеса за нарушения закона.

Это влияет на судебную практику, хотя с цифрами не поспоришь: россияне редко идут в суд для защиты своих персональных данных и еще реже выигрывают в спорах.

Юлия КОШКИНА, Banki.ru

Судебная практика по спорам о защите персональных данных

Защита персональных данных в России стремительно набирает обороты. СМИ и интернет-операторы вынуждены доказывать в судах, что размещенная информация является достоверной и не нарушает права граждан или организаций. В обзоре судебной практики — дела по защите персональных данных бизнесменов и простых граждан.

1. Закон о защите персональных граждан не противоречит Конституции РФ

Конституционный Суд РФ решил, что норма «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ.

Суть спора

В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ, поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

Решение суда

Конституционный Суд определением от 26 мая 2016 г. N 1158-О отказал гражданке в принятии жалобы к рассмотрению.

Судьи отметили, что КС РФ уже неоднократно указывал, что в понятие «частная жизнь» включается только та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер.

Поэтому ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей. В связи с этим оспариваемая заявительницей норма закона не может рассматриваться как нарушающее ее конституционные права в указанном в жалобе аспекте.

2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

Суть спора

За нарушение требований статьи 4 и опубликование редакцией газеты «Лабинские вести» материалов, которые содержали персональные данные несовершеннолетней гражданки, а именно фамилии, имени, сведений о школе, в которой обучается несовершеннолетняя, без ее согласия и согласия ее законного представителя, а также ряда других статей с персональными данными несовершеннолетних, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространения через средство массовой информации сведений, составляющих специально охраняемую законом тайну, главному редактору СМИ газеты «Лабинские вести». Однако, главный редактор не отреагировала на это предупреждение и продолжала публиковать персональные данные граждан без их согласия. Поэтому Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с исковым заявлением о прекращении деятельности газеты «Лабинские вести».

Решение суда

Решением суда первой инстанции исковое заявление Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций было удовлетворено и деятельность газеты прекращена.

В качестве апелляционной инстанции в этом процессе Судебная коллегия по административным делам Верховного Суда Российской Федерации. В определении Верховного Суда РФ от 24.06.2015 N 18-АПГ15-7 судьи не нашли оснований для отмены решения суда первой инстанции.

Причиной для такого решения послужил тот факт, что в силу статьи 4 не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну.

Новелла статьи 16 данного закона определяет, что основанием для прекращения судом деятельности средства массовой информации являются неоднократные нарушения редакцией требований данного закона. Такие нарушения должны происходить не менее, чем в течение двенадцати месяцев.

Как это происходило в спорной ситуации, по поводу чего регистрирующий орган делал письменные предупреждения учредителю и главному редактору. Кроме того, судьи отметили, что по нормам статьи 3 такими данными признается любая информация, которая относится к прямо или косвенно определенному субъекту персональных данных.

К этим сведениям, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.

В соответствии с требованиями закона обработка персональных данных может осуществляться только с письменного согласия в письменной форме субъекта персональных данных. Поэтому, редакция, получившая доступ к персональным данным, должна обеспечить конфиденциальность персональных данных путем их обезличивания. Объективных доказательств того, что у редакции газеты были исключительные обстоятельства для распространения персональных данных в связи с защитой общественных интересов судами получено не было.

3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию.

Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства.

Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.

Суть спора

В отношении торгующей организации постановлением прокуратуры было возбуждено дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ.

Данное нарушение выразилось в том, что в магазине организации в ходе проверки на предмет соблюдения законодательства о персональных данных было установлено, что организация осуществляет обработку персональных данных физических лиц путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи. При этом осуществляемая организацией обработка персональных данных покупателей не подпадает под исключения, установленные в статье 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Проверка была проведена по заявлению гражданина, который изъявил желание вернуть товар в магазине «Покупочка». При этом ему было предложено заполнить в обязательном порядке заявление, в котором необходимо указывать персональные данные для возврата денежных средств, при наличии чека. В силу статьи 5 Федерального закона «О персональных данных» истребование персональных данных является избыточным. На основании этого организация была привлечена мировым судьей к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 КоАП РФ в виде предупреждения. Однако организация свою вину не признала и обжаловала решение мирового судьи.

Решение суда

Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях общества состава данного административного правонарушения. Однако Верховный суд РФ, куда обратилась с жалобой организация, постановлением от 15 июня 2016 г. N 25-АД15-3 отменил все принятые по делу судебные акты и признал организацию невиновной.

Судьи отметили, что в соответствии с законом о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Однако, по нормам покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19 января 1998 г.

N 55 утверждены Правила продажи отдельных видов товаров, согласно которым которых покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму.

При этом, продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12 октября 2011 г. N 373-П (утратило силу с 1 июня 2014 года в связи с изданием Указания Банка России от 11 марта 2014 г. N 3210-У).

В соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства Российской Федерации. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Истребование указанных персональных данных избыточным не является. Поэтому отсутствуют основания для привлечения организации к административной ответственности.

4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

Суть спора

По заявлению гражданина о нарушении требований законодательства о рекламе, Федеральная антимонопольная служба направила в адрес организации запрос с требованием предоставить сведения о владельце абонентского номера, с которого гражданину поступали смс-сообщения, содержащие рекламную информацию о доставке суши. Организация письменно отказала Управлению ФАС в предоставлении запрашиваемых сведений, сославшись на нормы , а также требования Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». На основании этого отказа Управление ФАС составило протокол об административном правонарушении и вынесло постановление о привлечении организации к административной ответственности по статье 19.8 КоАП с назначением административного штрафа в размере 20 тысяч рублей. Организация сочла данное постановление незаконным и обратилась в арбитражный суд с исковым заявлением о его отмене.

Решение суда

Суды всех инстанций пришли к выводу о правомерном отказе организации представить запрашиваемую УФАС информацию. Суды исходили из того, что запрошенная информация относится к категории ограниченного доступа, представление такой информации не является обязательным без согласия физических лиц.

Кроме того сама ФАС и ее территориальные органы не относятся к органам, уполномоченным осуществлять оперативно-розыскную деятельность. При этом ни Закон о рекламе, ни Закон об оперативно-розыскной деятельности не содержат прямого указания на полномочие ФАС запрашивать у операторов связи сведения об абонентах — физических лицах.

Однако Верховный суд РФ в постановлении от 13 августа 2015 г. N 302-АД15-5169 с такими выводами нижестоящих судов не согласился. Судьи напомнили, что ФАС, в соответствии со статьей 33 Закона о рекламе, осуществляет государственный контроль за соблюдением законодательства Российской Федерации о рекламе, в пределах своих полномочий.

В том числе, предупреждает, выявляет и пресекает нарушения физическими или юридическими лицами законодательства Российской Федерации о рекламе, а также возбуждает и рассматривает дела по признакам нарушения законодательства РФ о рекламе.

Из этого следует, что антимонопольному органу предоставлено право запрашивать документы без каких-либо ограничений по составу и объему необходимой информации. При этом антимонопольным органом могут быть запрошены только документы, имеющие отношение к нарушению законодательства о рекламе и касающиеся деятельности определенных лиц.

Неисполнение этих требований влечет за собой ответственность виновных лиц в соответствии с Кодексом Российской Федерации об административных правонарушениях.

При этом гарантией соблюдения установленной законом защиты персональных данных является статья 35 закона о рекламе, которой установлена обязанность ФАС по соблюдению коммерческой, служебной и иной охраняемой законом тайны, а также ответственность антимонопольного органа и его сотрудников за разглашение таких сведений. Из этого следует, что требование управления ФАС о представлении документов организацией соответствовало действующему законодательству, а отказ организации в представлении истребуемых документов является неправомерным.

5. Журналисты должны получать согласие на использование изображений и персональных данных граждан

Если журналист не получил согласия гражданина на публикацию информации о нем и фотографии в СМИ, то он нарушил закон и должен компенсировать гражданину моральный вред. Так решил Санкт-Петербургский городской суд.

Суть спора

Гражданин обратился в районный суд Санкт-Петербурга с исковым заявлением к ЗАО «Издательский дом «Комсомольская правда» о признании незаконным распространение газетой «Комсомольская правда» персональных данных, а также его личного изображения.

Кроме того гражданин просил взыскать с редакции газеты компенсацию морального вреда и опубликовать в ближайшем планируемом выпуске газеты «Комсомольская правда» опровержение.

Причиной для такого обращения в суд послужил тот факт, что газета «Комсомольская правда», зарегистрированная как электронное средство массовой информации в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций опубликовала в сети интернет статью. В этой статье содержалось интервью журналиста с гражданином с размещением его личной фотографии.

В статье упоминаются сведения о личной жизни гражданина, по большей части не соответствующие действительности, а также его персональные данные. Поскольку, гражданин уверен, что не давал такого интервью, не принимал какого-либо участия в размещении статьи, а также не давал кому-либо разрешения на опубликование своего изображения, в том числе, в данной газете, он обратился в суд.

Решение суда