Analytics Publications

26
March
2015

Компания использует персональные данные клиентов. Кому их можно передать без согласия субъекта?

Source "Arbitration practice" magazine


Victor Petrov, Partner, Head of Litigation practice

Вопросы использования компаниями персональных данных клиентов находятся под пристальным вниманием законодателя и контролирующих органов. В настоящее время установлен достаточно широкий перечень требований к получению согласия клиента и обработке полученных данных. Многие такие требования закреплены в подзаконных актах, и хозяйствующим субъектам оказывается достаточно проблематично отследить вносимые в них изменения. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности. В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива. Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.

Для передачи персональных данных клиента нужно его прямое письменное согласие

Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ. Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельства дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении. То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и установить весь объем обстоятельств, который позволил бы установить виновность именно данного лица в совершении правонарушения.

Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства. С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица. При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.

Защита персональных данных физических лиц регулируется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача. Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае несоблюдения таких требований нарушитель может быть привлечен к административной ответственности.

Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми физические лица выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.

Первой группой нарушений является использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми «коллекторами». При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами. В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.

При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства. Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональных данных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и оператором персональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.

Передать данные клиента без его согласия можно для защиты интересов оператора

При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия. Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика. В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо). Также исключением являются случаи, в которых обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. 5, 7 ст. 6; п. 2 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.

Таким образом, поскольку обработка (передача) персональных данных заемщика производится для исполнения кредитного договора, стороной которого является заемщик, и для осуществления прав и законных интересов кредитной организации, такая обработка может быть произведена и без согласия субъекта персональных данных (определения Московского городского суда от 06.10.2011 по делу № 33-32111; от 06.04.2012 по делу № 33-8687).

И действительно, логика законодателя, допустившего исключения из общего правила для соблюдения интересов кредитора при просрочках исполнения заемщиками своих обязательств, должна быть продолжена и в правоприменительной практике. Ведь в данном случае передача персональных данных является следствием неисполнения физическим лицом своих обязательств по возврату кредита и претерпевания им негативных последствий нарушения договора.

При этом необходимо отметить, что право физического лица на защиту своих персональных данных не является абсолютным, поскольку корреспондирующей нормой в данном случае будет являться статья 10 ГК РФ, запрещающая злоупотребление гражданскими правами. Абсолютное отсутствие доступа третьих лиц к персональным данным субъекта являлось бы именно таким злоупотреблением, поскольку ограничила бы иных участников гражданского оборота в заключении, например, тех же агентских договоров. На наличие специального ограничения в области защиты персональных данных указывал и Верховный Суд РФ. Так, в одном из дел суд пришел к выводу, что право на отзыв субъектом персональных данных согласия на обработку персональных данных не является безусловным, особенности обработки персональных данных могут устанавливаться федеральным законом (определение Верховного Суда РФ от 27.03.2012 № 82-В11-6).

Имеется, впрочем, и обратная судебная практика, в рамках которой суды приходят к выводу о недопустимости передачи персональных данных кредитными организациями третьим лицам без прямого волеизъявления физического лица даже в случае неисполнения последним кредитного договора (постановления ФАС Западно-Сибирского округа от 20.03.2013 по делу № А27-13226/2012; Девятого арбитражного апелляционного суда от 26.12.2012 по делу № А40-109454/2012).

При этом остается неясным, где проходит граница, позволяющая правоприменителю ссылаться на установленные исключения из общего правила, а в каких случаях такая ссылка становится невозможной. А потому объем и предмет доказывания по делам об оспаривании привлечения к административной ответственности операторов персональных данных может в каждом отдельном споре отличаться.

Не стоит забывать и о том, что нередко физические лица или уполномоченные на то организации обращаются в органы прокуратуры для расследования действий, совершенных операторами персональных данных. В этом случае при вынесении должностным лицом прокуратуры представления кредитной организации будет целесообразно обжаловать его в судебном порядке. При этом необходимо привести аналогичные доводы о допустимости передачи персональных данных без согласия субъекта для исполнения договора, стороной которого он является, а также для защиты законных интересов оператора.

Привлечение к административной ответственности в данном случае является не единственной опасностью для кредитной организации. В случае признания ее действий по передаче персональных данных незаконными исполнение заключенного агентского договора или договора цессии становится крайне затруднительным. А это несет для кредитной организации гражданско-правовые риски, связанные с выплатой штрафов или иными негативными последствиями.

Согласие клиента на обработку данных в рамках договора не дает права использовать их в маркетинговых целях

Достаточно часто кредитные организации допускают нарушения требований законодательства о защите персональных данных при использовании персональных данных физических лиц в маркетинговых целях. Впрочем, субъектами таких правонарушений выступают не только кредитные организации, но и операторы сотовой связи, магазины розничной торговли и иные хозяйствующие субъекты.

Требования законодательства при регулировании данной сферы общественных отношений являются определенными и однозначными. Так, обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных (ст. 15 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»). Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных лишь в том случае, если оператор (хозяйствующий субъект) не докажет, что такое согласие было им получено в установленном порядке.

Как уже было сказано выше получение согласия субъекта на обработку персональных данных не требуется, если это непосредственно связано с исполнением и (или) заключением договора. Очевидно, что достижение маркетинговых целей юридического лица не связано с исполнением обязательств по договору.

Таким образом, ситуация представляется достаточно однозначной: хозяйствующий субъект не вправе использовать персональные данные физического лица в маркетинговых целях для продвижения своего продукта без предварительного согласия. Однако на практике перед правоприменителем нередко возникает дилемма, связанная с тем, что физическое лицо ранее уже предоставило оператору свои персональные данные, и оператор ссылается на это обстоятельство как на подтверждение правомерности своих действий.

Для разрешения этой ситуации следует иметь в виду, что последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Ведь изначально оно предоставило оператору свои персональные данные для совершенно иных целей. Следовательно, для использования персональных данных в рекламных целях нового продукта оператору необходимо вновь получить согласие физического лица на обработку его данных. В противном случае привлечение оператора к административной ответственности представляется обоснованным.

Также следует отметить и коллизионные для правоприменителя отношения, в которых оператор персональных данных сталкивается с требованием уполномоченного органа или должностного лица предоставить персональные данные о физических лицах. Лицами, требующими данную информацию, являются, как правило, судебные приставы-исполнители, которые в рамках предоставленных им полномочий осуществляют функции по розыску должников.

При этом до определенного момента арбитражные суды принимали доводы привлеченных к административной ответственности операторов персональных данных о том, что судебные приставы-исполнители не вправе запрашивать (а операторы, соответственно, не вправе предоставлять) информацию о персональных данных физических лиц без их согласия (постановления ФАС Северо-Кавказского округа от 18.01.2012 по делу № А53-4649/2010; ФАС Волго-Вятского округа от 01.12.2010 по делу № А39-2063/2010). Суды, отменяя постановление о привлечении операторов к административной ответственности за непредставление данных, исходили из недопустимости подмены судебным приставом функций правоохранительных органов.

Однако ситуация коренным образом изменилась, когда несколько таких споров дошли до Высшего Арбитражного Суда Российской Федерации. Так, в одном из дел ВАС РФ указал, что запрос персональных данных входит в полномочия судебного пристава-исполнителя, а потому отказ в предоставлении ему таких данных неправомерен (постановление Президиума ВАС РФ от 28.02.2012 по делу № А12-23512/2010). Схожая позиция была отражена и в других делах (определение коллегии судей ВАС РФ от 22.09.2011 по делу № А07-770/2011).

Таким образом, на основании изложенных примеров возможно сделать ряд выводов. Во-первых, даже прямое указание в законодательстве на возможность обработки персональных данных без согласия субъекта на практике в ряде случаев оказывается нежизнеспособным и зачастую ведет к привлечению оператора к административной ответственности. Во-вторых, однократное предоставление субъектом своих персональных данных не означает возможность дальнейшего использования этих данных в маркетинговых целях для заключения новых договоров. И в-третьих, запросы уполномоченных органов о предоставлении им сведений, составляющих персональные данные физических лиц, правомерны и подлежат исполнению, поскольку в этом случае не происходит подмены ими функций правоохранительных органов.

Петров_Арбитражная практика_02.2015

Download file
File added 15.07.2016
Presentation .pdf (1,5 Мб)

Apply to participate

Agreement

Apply to participate

Оценка:

Agreement