Исходя из практики работы нашего агентства, одним из наиболее сложных для банков вопросов по-прежнему остаются определение правовых оснований для обработки персональных данных, необходимость получения согласия конкретных категорий субъектов, а также возможность предоставления и передачи персональных данных банком иным лицам.
Новая редакция статьи 6 ФЗ-152 «О персональных данных» существенно расширила основания для обработки персональных данных без согласия субъекта, к которым теперь отнесено исполнение договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Однако наличие большого количества самых различных категорий субъектов, с которыми у банка договоров нет, но персональные данные которых обрабатываются, по-прежнему создает проблемы. При детальном анализе оказывается, что кроме собственно работников и клиентов, банк обрабатывает сведения о более чем 20 категориях субъектов. К ним относятся:
· родственники работников,
· акционеры,
· учредители,
· аффилированные с банком лица,
· лица, вносящие денежные средства на счет вкладчика,
· лица, осуществляющие от имени клиента распоряжения о перечислении и выдаче средств со счета,
· залогодатели,
· лица, имеющие право управления транспортным средством, приобретаемым в кредит,
· держатели дополнительных платежных карт,
· лица, от чьего имени осуществляется оплата коммунальных и иных платежей,
· получатели денежных переводов,
· лица, имеющие право пользования банковскими ячейками,
· представители и работники контрагентов и клиентов банка,
· получатели и плательщики по счетам и т.д.
Список этот можно продолжать достаточно долго.
Все эти категории субъектов не являются сторонами договора с банком, и правомерность обработки их персональных данных должна быть обоснована оператором.
При этом очень часто встает неизбежный вопрос о выполнении нормы ФЗ-152 в части уведомления субъекта о начале обработки персональных данных банком, когда данные получены не от самого субъекта. С одной стороны, банк в большинстве случаев вроде бы обязан это сделать, исходя из нормы, установленной ст.18, с другой, он связан требованиями о соблюдении банковской тайны и той же ст.18, допускающей не уведомлять субъекта, если предоставление ему сведений нарушает права и законные интересы третьих лиц, в частности – клиента банка.
Ситуация усугубляется еще больше, когда вопрос касается двух таких способов обработки, как предоставление и передача банком персональных данных иным лицам. Наиболее яркий пример столкновения различных точек зрения на допустимость такой передачи и ее принципиальную возможность даже при наличии согласия субъекта – уступка прав требования просроченной задолженности по кредиту (цессия). С одной стороны, ст.382 Гражданского кодекса допускает передачу другому лицу права (требования), принадлежащего кредитору, без согласия должника, а, с другой, ст.388 не допускает возможности уступки требования по обязательству без согласия должника, если личность кредитора имеет для должника существенное значение.
По мнению Роспотребнадзора, например, такая уступка прав требования долга коллекторским агентствам, деятельность которых не регулируется законом и которые не являются участниками потребительского рынка, не допустима даже при наличии на это согласия заемщика в договоре, а само включение такого положения в договор уже нарушает права потребителя и влечет административную ответственность. Иной точки зрения придерживается Минэкономразвития, подготовившее законопроект «О деятельности по взысканию просроченной задолженности», и арбитражные суды, далеко не всегда находящиеся на стороне Роспотребнадзора. С судами общей юрисдикции, рассматривающими вопрос о взыскании невозвращенных кредитов, ситуация вообще особая.
Положение банков существенно ухудшают также b многочисленные жалобы их клиентов в различные органы - от прокуратуры до Роскомнадзора, на привлечение коллекторских агентств к взысканию просроченной задолженности, которые нередко приводят к проведению внеплановых проверок банка.
Эти и многие другие специфические вопросы соблюдения законодательства о персональных данных (например, такие непростые, как отнесение данных к биометрическим, трансграничная передача или вопросы передачи персональных данных на архивное хранение, судебная практика рассмотрения споров, связанных с персональными данными) будут рассмотрены на семинаре, который я буду проводить в Школе финансового мониторинга и контроля «ФКД консалт» 28-29 мая.
Семинар состоит из двух модулей, первый из которых предназначен для тех, кто только «вкатывается» в тематику персональных данных, например, назначен в юридическом лице ответственным за организацию их обработки, и будет интересен не только банкам, но и многим другим организациям, осознавшим необходимость выполнения законодательства. Второй модуль рассматривает специфические банковские проблемы, в том числе поставленные перед Консультационным центром Ассоциации российских банков, в подготовке информационных писем которого в качестве эксперта я принимал участие. Семинар проводится как очно, так и заочно, что позволяет его слушателям выбрать наиболее подходящий для них вариант. Благодаря транслируемому через Интернет вебинару те, кто не смогут приехать в Москву, также примут участие в мероприятии.
Традиционно семинар предусматривает живое обсуждение материала с его участниками, имеющими возможность и задавать вопросы, и высказывать свою точку зрения на рассматриваемые проблемы.