В каких случаях банк может отказать субъекту пдн предоставить данные об их обработке

Обновлено: 27.03.2024

Банки не хотят, чтобы их клиенты знали показатель своей долговой нагрузки. Недавно этот момент стал источником горячих споров между регулятором и игроками рынка. Центробанк, а также депутаты и юристы уверены, что заемщик имеет право знать свой ПДН, на основании которого с 1 октября принимаются решения о выдаче кредита или об отказе в нем. Банки настаивают на том, что это абсолютно бесполезная информация для клиента, ничего кардинально изменить она не может, соответственно, и тратить на такое раскрытие деньги – просто глупо. Кроме того, даже опротестовывать расчет банка не имеет никакого смысла, ведь влияет он исключительно на выдачу кредита, а банк может отказать в выдаче и без пояснения причин.

Бюро кредитных историй уже высказались о готовности предоставления таких данных заемщикам, однако за определенную плату. Если же эти сведения будут раскрываться банками, то это должно происходить априори бесплатно. Во всяком случае так считает регулятор.

18 октября прошла встреча рабочей группы, которая рассматривает и обсуждает изменения к закону «О кредитных историях». Вопрос о раскрытии информации ПДН заемщикам возник не запланировано. В инициативе предусматривается, что расчетом ПДН будут заниматься БКИ, и в последующем сообщать результаты кредиторам. Пока механизм не заработал, но уже вступили в силу новые правила ЦБ, банки занялись самостоятельным расчетом ПДН. При этом в отношении граждан, получившим показатель 50 и более, будут применяться повышенные коэффициенты риска. Таким образом, на капитал банка, который выдаст такому клиенту кредит, ляжет дополнительная нагрузка.

Регулятор рекомендовал кредитным компаниям наладить процесс раскрытия показателя клиентам и сделать его бесплатным. Позиция ЦБ была изложена в письме от 2 октября. Смысл в том, что этот ПДН важен не только для принятия решения по кредиту, но и для самого заемщика, для оценки его платежных способностей и нагрузки на семейный бюджет.

Банки предпочитают играть в молчанку с клиентами

Банковское сообщество при этом выступает против раскрытия. Причиной тому они называют существенные затраты на эту процедуру. Кроме того, представители кредитных организаций попросили ЦБ рассказать, для чего действительно необходимо предоставление таких сведений заемщикам, какова конечная цель, и каким образом это должно происходить, по мнению регулятора.

ЦБ отметил, что рекомендует банкам и МФО доводить до сведения заемщика значение рассчитанного в отношении него ПДН при принятии решения о предоставлении кредита (займа) в сумме (с лимитом кредитования) 10 000 рублей и более, а также при принятии решения об увеличении лимита кредитования по банковской карте. В письме Банка России не регламентируется порядок информирования заемщиков, что позволяет банкам и МФО самостоятельно выбрать форму уведомления.

В письме регулятора действительно не уточняется, каким образом банки должны предоставлять сведения о ПДН. Соответственно, игроки рынка, могут сами выбирать наиболее подходящий им вариант. С другой стороны, сами банки не уверены до конца, что производят расчеты правильно. В этой связи ЦБ РФ поступили просьбы не налагать штрафы за неверные расчеты на ближайшие полгода.

Правозащитники встали на сторону ЦБ РФ. Они уверены, что человек обязан понимать и анализировать причины отказа в кредите, если таковые связаны с превышением ПДН. Заемщик таким образом сможет получить информацию о том, какую часть своего бюджета он тратит на платежи, и принять взвешенное решение о необходимости нового займа.

«Со стороны МКБ мы не видим сложностей раскрытия ПДН в случае соответствующего решения регулятора. Действующая схема расчета ПДН предполагает проведение расчета на стороне банка, соответственно, сам расчет будет зависеть от имеющихся у банка данных, включая один из основных факторов, – наличие или отсутствие зарплатных счетов, а также пакета документов, предоставленных заемщиков в момент подачи заявления на кредит», ­– отметил Рустам Идрисов, директор департамента аналитики и развития розничного бизнеса ПАО «Московский кредитный банк».

«Сбербанк» отказался комментировать ситуацию, а от других организаций ответа так и не поступило.

БКИ спешат на помощь

Бюро кредитных историй предложили выход из затруднительного положения. По их мнению, банки могли бы высылать информацию с расчетами в БКИ, а последние уже будут подгружать сведения к кредитной истории. Так, БКИ бы смогли предоставлять необходимую информацию гражданам в счет дополнительных услуг. У бюро уже есть опыт разъяснения скорингового балла, с ПДН проблем возникнуть также не должно. Однако услуга представляется не бесплатно. Если потенциальному заемщику положено бесплатное получение кредитной истории два раза в год, то за дополнительные сведения придется заплатить 400 рублей.

Раскрытие данных принесет пользу и клиентам, и банкам

Анна Григорьева, экономист и независимый эксперт, акцентировала внимание на том, что тренд на открытость, прозрачность данных стал нашей реалией, и к этой мысли надо привыкать:

«Прозрачность в отношениях «банк-заемщик» – это следующий шаг в развитии финансово-грамотного демократического общества. Сколько случаев отказов в выдаче кредита любого размера случается каждый день в банке? Десятки, если не сотни. И почти всегда заемщик не понимает, почему банк отказывает ему, почему не может предоставить необходимую сумму?».

По мнению эксперта раскрытие показателя долговой нагрузки несет в себе сразу два полезных смысла, учитывая то, что процент закредитованности населения сейчас находится на очень высоком уровне.

Эксперт не считает, что раскрытие ПДН заемщику принесет банкам дополнительную финансовую нагрузку – в конце концов, это норматив ЦБ, они априори это делают, и информирование своих заемщиков будет лишь дополнительной функцией в правоотношениях по возникновению потенциального займа.

«На мой взгляд, это полезная новация, направленная именно на развитие, повышение финансовой грамотности. Для банков, заинтересованных в максимальной коммерциализации, – это скорее минус, я согласна, так как им придется более взвешенно подходить к принятию решения о выдаче займа или отказе в его выдаче, иметь риски более частых обращений по рассрочкам и реструктуризациям. Но у людей на руках всегда будет подробный документ, какую долю своего дохода они платят кредитору, что позволит здраво оценивать свои возможности», – подвела итог Анна Григорьева.

Андрей Хохрин, генеральный директор ИК «Иволга Капитал» солидарен с коллегой в вопросе важности обладания информацией о собственных долгах и степени уплаченности кредитных обязательств.

«Зачастую к кредитным займам прибегают в случае необходимости решения крупных финансовых проблем. Вот почему в случае отказа по причине слишком высокого ПДН, клиент обязан знать подробности, в частности, почему показатель превышен и на сколько. Все частные случаи обращения к банкам должны обязать их предоставлять полную информацию клиенту о его долговой нагрузке. Тогда клиент сможет сориентироваться и продумать способы уплаты еще одного займа, либо отказаться от него, чтобы не «слиться в долговую воронку». Тогда и у банков уменьшится клиент-рисковая нагрузка. Сведения из различных банков могут храниться в одной службе, которая в дальнейшем, может расширять свои полномочия. Это очень мягкая, но очень важная вещь, ведь коллекторов никто не любит, как и неприятности с ними», – уверен Андрей Хохрин.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Гражданин одновременно принес в банк несколько заявлений. В первых четырех он требовал оказать ему банковские услуги – незамедлительно осуществить переводы денежных средств на его банковский счет (в связи с исполнением решения суда), и одновременно в пятом заявлении:

  • предоставить ему сведения об обрабатываемых банком его персональных данных (далее также – ПДн), а именно – какие его персональные данные обрабатываются ответчиком, в том числе в связи с получением и исполнением его предыдущих заявлений от той же даты,
  • каковы сроки обработки его персональных данных,
  • в том числе каковы сроки их хранения.

Банк все заявления проигнорировал, и через полгода гражданин обратился в суд. В иске он просил:

  • признать незаконным бездействие банка по осуществлению денежных переводов и обязать осуществить эти переводы (в части этих требований истец затем попросил производство по делу прекратить);
  • признать незаконным бездействие банка по не предоставлению в установленный законом срок ответа на его запрос о предоставлении сведений о его персональных данных в силу ч. 7 ст.14 Закона о ПДн, а также по непредставлению этих данных;
  • предоставить сведения об обрабатываемых банком его персональных данных;
  • взыскать с банка в качестве компенсации морального вреда 100 тыс. руб.

Суд удовлетворил эти требования частично:

    дает субъекту персональных данных право на получение информации, касающейся обработки его ПДН, в том числе содержащей подтверждение факта обработки ПДн оператором; правовые основания и цели обработки ПДн; цели и применяемые оператором способы обработки персональных данных; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения, и ряд иных сведений;
  • согласно ч. 3 ст. 14 Закона о ПДн, эти данные предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных;
  • согласно положениям ст. 20 и ст. 21 Закона о ПДн, оператор обязан сообщить субъекту информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить ему возможность ознакомления с ними при обращении субъекта персональных данных либо в течение 30 дней с даты получения запроса;
  • таким образом, запросы гражданина были проигнорированы банком незаконно, банк обязан предоставить запрошенную истцом информацию;
  • персональные данные относятся к категории нематериальных благ,
  • согласно ст. 151 Гражданского кодекса, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. В данном случае истцу, действительно, неправомерным бездействием банка причинены нравственные страдания, так как банк запрос истца проигнорировал и уклоняется от предоставления запрошенных сведений. Для восстановления нарушенного права истец был вынужден обратиться в суд, поэтому с учетом принципа разумности и справедливости необходимо взыскать с банка компенсацию морального вреда в размере 500 руб.

Решение "устояло" в апелляции и кассации. Банк неоднократно приводил доводы о том, что он якобы не обязан был предоставлять эти данные в силу ч. 4 ст. 18 Закона о ПДн.

Однако, по мнению судов:

  • законодатель в ч. 4 ст. 18 Закона о ПДн закрепляет исключения из правила о предоставлении гражданину информации в случае, если персональные данные о гражданине получены не от этого гражданина;
  • в рассматриваемом случае обстоятельства иные, поскольку персональные данные истца получены ответчиком от самого истца, а потому порядок предоставления истцу информации о его (истца) персональных данных регламентируется ч. 7 ст. 14 Закона о ПДН,
  • доводы жалобы об отсутствии оснований для взыскания с банка морального вреда также подлежат отклонению, поскольку положения ст. 24 Закона о ПДн закрепляют, что для взыскания компенсации морального вреда достаточно установления нарушения прав субъекта персональных данных, нарушения правил обработки персональных данных;
  • в данном случае в ходе судебного разбирательства судебные инстанции установили факт нарушения прав истца на получение от ответчика ответа на запрос о предоставлении информации, предусмотренной ч. 7 ст. 14 Закона о ПДн, следовательно, удовлетворение требования истца о компенсации морального вреда соответствует указанной норме закона;
  • довод жалобы о злоупотреблении истцом правом на обращение в суд обоснованно отклонен судебными инстанциями, поскольку банком не представлено доказательств того, что истец обратился в суд исключительно с намерением причинения ответчику вреда.

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 14 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 14 . Право субъекта персональных данных на доступ к его персональным данным

ГАРАНТ:

См. комментарии к статье 14 настоящего Федерального закона

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

  1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

  1. Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО "Яндекс Справочник". Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

  1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

не указан перечень организаций, в которые передаются персональные данные;

требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: