Processing personal data. To whom it is possible to transfer personal data of the client.
There are many requirements for obtaining customer consent and processing received data. Many of them are enshrined not in the law on personal data, but in by-laws, changes in which are difficult to track. Moreover, the approach of controlling persons may turn out to be quite formal, which leads to the application of measures of administrative responsibility. In particular, this concerns the transfer of personal data to third parties (for example, collection agencies), as well as their use for marketing purposes. Judicial practice in this area is also quite controversial. Therefore, it is important for companies not only to carefully monitor current legislative changes, but also to analyze the approaches of the judiciary in order to avoid liability for violation of personal data protection requirements.
For the transfer of personal data of the client, his direct written consent is required
General rules for bringing a legal entity to administrative responsibility are established in the Administrative Code of the Russian Federation. However, the peculiarity of this type of responsibility is the need to fully establish the actual circumstances of the case at the time of the decision to prosecute or refuse to hold. That is, the authorized body must not only comply with the procedure for bringing a person to justice, but also collect the full amount of evidence that would establish the guilt of this person in committing an administrative offense.
Often the application of liability measures is also complicated by the specifics of public relations, in the framework of which a violation of the norms of the current legislation was committed. Taking into account the specifics of economic activity, the object of an administrative offense, as a rule, is the personal data of an individual protected by law. Moreover, the protection of personal data is most often carried out in the framework of public relations in which an individual acts as a weaker (from a legal point of view) side, and therefore needs substantial legal support from the legislator.
The protection of personal data of individuals is regulated by the provisions of the Federal Law of July 27, 2006 No. 152-ФЗ “On Personal Data” (hereinafter - the Law No. 152-ФЗ). Moreover, such protection is implied and is especially important when carrying out the following operations with such data: storage, processing and transfer. Any activity related to these operations in relation to personal data must be carried out in compliance with the requirements of the law. And in case of non-compliance, the violator can be brought to administrative responsibility.
The most widely personal data of individuals is used by credit organizations, in relations with which they act as consumers of the proposed economic products. In this case, there are several possible violations of the requirements of the legislation on the protection of personal data by credit organizations.
The first group of violations includes the use of personal data of individuals by credit organizations when they conclude agreements with the so-called collectors. It should be noted that two different types of such agreements are known in practice: an agreement on the assignment of rights of claim (cession) between a credit institution and a collection agency and an agency agreement between these parties. In both cases, the performance of contracts requires and implies the transfer of personal data of an individual who does not fulfill the obligations assumed to repay the loan.
When concluding such agreements, a credit institution risks being held liable, since the transfer of personal data of a borrower to a legal entity that does not have a license to carry out relevant activities may be considered a violation of applicable law.
As a rule, the basis for holding a credit institution liable in case of violation of the requirements of the legislation on the protection of personal data is the absence of a written consent of an individual to transfer their personal data (although in accordance with the requirements of the legislation, such consent is mandatory and must be expressed in an agreement between the subject and the operator personal data). Consent must be expressed in writing, be clear and unambiguous.
You can transfer customer data without his consent to protect the interests of the operator
When resolving the issue of holding legal entities liable for violation of the legislation on personal data, the judicial authorities are faced with the following legal conflict. The transfer of the borrower's personal data is indeed prohibited without his direct written consent. However, the legislator provided for a number of cases in which such a transfer is possible without the consent of the borrower. In particular, the operator has the right to process personal data without the consent of an individual, if such processing is necessary to execute an agreement to which either the beneficiary or guarantor is a subject of personal data (individual). Also an exception are cases when the processing of personal data without the consent of the subject is necessary for the exercise of the rights and legitimate interests of the operator (paragraphs 5, 7, article 6, paragraph 2 of article 9 of Law No. 152-FZ). Obviously, the involvement of the third entity is carried out by the operator (credit organization) to protect their legitimate interests, since the borrower has a failure to fulfill the obligations assumed.
Thus, since the processing (transfer) of personal data of the borrower is carried out to execute a loan agreement to which the borrower is a party and to exercise the rights and legitimate interests of a credit organization, such processing can also be carried out without the consent of the subject of personal data (determination of the Moscow City Court of 06.10 .2011 in case No. 33–32111, dated April 6, 2012 in case No. 33–8687).
Indeed, the logic of the legislator, who allowed exceptions to the general rule for observing the interests of the creditor in case of delays in the fulfillment by the borrowers of their obligations, should be continued in law enforcement practice. Indeed, in this case, the transfer of personal data is a consequence of the non-fulfillment by an individual of his obligations to repay the loan and the creditor undergoing the negative consequences of violation of the contract.
It should be noted that the right of an individual to protect his personal data is not absolute, since the corresponding norm in this case will be art. 10 Civil Code, prohibiting the abuse of civil rights. The absolute absence of third party access to the subject’s personal data would constitute just such an abuse, since it would limit other participants in the civil turnover in concluding, for example, the same agency agreements. The Supreme Court of the Russian Federation also pointed out the existence of a special restriction in the field of personal data protection. So, in one of the cases, the court came to the conclusion that the right to revoke the consent of the personal data subject to the processing of personal data is unconditional, the specifics of the processing of personal data can be established by federal law (determination of the Supreme Court of the Russian Federation of March 27, 2012 No. 82-B11-6) .
However, there is an opposite judicial practice, when the courts conclude that it is inadmissible for credit organizations to transfer personal data to third parties without the express will of the individual, even if the latter did not fulfill the loan agreement (ruling of the Ninth Arbitration Court of Appeal dated December 26, 2012 in case No. A40- 109454/2012, Federal Antimonopoly Service of the West Siberian District dated 03/20/2013 in case No. A27-13226 / 2012).
At the same time, it remains unclear where the border passes, allowing the law enforcer to refer to established exceptions to the general rule, and in which cases such a link becomes impossible. Therefore, the scope and subject of evidence in cases of contesting the administrative liability of personal data operators may differ in each individual dispute.
Do not forget that often individuals or authorized organizations apply to the prosecutor's office to investigate actions committed by personal data operators. In this case, when an official of the prosecutor's office makes a presentation to a credit organization, it will be advisable to appeal against it in a judicial proceeding. In this case, it is necessary to bring similar arguments about the admissibility of the transfer of personal data without the consent of the subject for the execution of the contract to which he is a party, as well as to protect the legitimate interests of the operator.
Holding administrative responsibility in this case is not the only danger for a credit institution. In the event that her actions to transfer personal data are recognized unlawful, the execution of a signed agency or assignment agreement becomes extremely difficult. And this carries civil risks for a credit institution related to the payment of fines or other negative consequences.
The client’s consent to the processing of data under the contract does not give the right to use them for marketing purposes
Quite often, credit organizations, when using the personal data of individuals for marketing purposes, violate the requirements of the legislation on the protection of personal data. However, the subjects of such offenses are not only credit organizations, but also mobile operators, retail stores and other business entities.
The requirements of the law when regulating this sphere of public relations are definite and unambiguous. So, the processing of personal data in order to promote goods, works, services on the market by making direct contacts with a potential consumer using communication means is allowed only with the prior consent of the subject of personal data (Article 15 of Law No. 152-FZ). The processing of personal data is recognized to be carried out without the prior consent of the subject of personal data only if the operator (business entity) does not prove that such consent was obtained in the prescribed manner.
As already mentioned above, obtaining the consent of the subject to the processing of personal data is not required if such processing is directly related to the execution and (or) conclusion of the contract. Obviously, the achievement of the marketing goals of a legal entity is not related to the fulfillment of obligations under a contract.
Thus, the situation seems quite straightforward: the business entity is not entitled to use the personal data of an individual for marketing purposes to promote their product without the prior consent of this person.
However, in practice, the law enforcer often faces a dilemma related to the fact that an individual has previously provided the operator with his personal data, and the operator refers to this fact as a confirmation of the legitimacy of his actions.
To resolve this situation, it should be borne in mind that the subsequent use of personal data for marketing purposes is in no way connected with the execution of the contract, the party or beneficiary of which is an individual. After all, initially it provided the operator with its personal data for completely different purposes. Therefore, in order to use personal data to advertise a new product, the operator must again obtain the consent of the individual to the processing of his data. Otherwise, bringing the operator to administrative responsibility seems reasonable.
It is also worth mentioning about the occurrence of conflict relations in a situation where the personal data operator is faced with the requirement of an authorized body or official to provide personal data about individuals. As a rule, persons requiring such information are bailiffs who, within the framework of the authority granted to them, carry out the functions of tracing debtors.
Until a certain point, the arbitration courts accepted the arguments of the personal data operators brought to administrative responsibility that the bailiffs are not entitled to request (and the operators, accordingly, are not entitled to provide) information about the personal data of individuals without their consent (resolution of the FAS Volgo-Vyatsky of the district dated 01.12.2010 in the case No. A39-2063 / 2010, of the North Caucasus District on 01/18/2012 in the case No. A53-4649 / 2010).
The courts, repealing the decision on bringing the operators to administrative responsibility for the failure to provide data, proceeded from the inadmissibility of the substitution by the bailiff of the functions of law enforcement agencies.
However, the situation radically changed when several such disputes reached the Supreme Arbitration Court of the Russian Federation. So, in one of the cases, the SAC of the Russian Federation indicated that the request for personal data is the responsibility of the bailiff, and therefore the refusal to provide him with such data is unlawful (resolution of the Presidium of the SAC of 02.02.2012 in case No. A12-23512 / 2010).
A similar position was reflected in other matters. Thus, in one dispute with a telecom operator, the court indicated that the bailiff, acting in the framework of the instituted enforcement proceedings, has the right to request information directly related to the execution of judicial acts, in particular, about the registered subscriber numbers of the debtor (decision of the Eighteenth Arbitration Appeal court dated 01.06.2011 in case No. A07-770 / 2011).
Given the above, a number of conclusions can be drawn. Firstly, even a direct reference in the legislation to the possibility of processing personal data without the consent of the subject in practice in some cases turns out to be unviable and often leads to bringing the communication operator to administrative responsibility.
Secondly, a single provision by a subject of his personal data does not mean the possibility of further use of this data for marketing purposes for the conclusion of new contracts.
+
And thirdly, requests from authorized bodies for the provision of information constituting the personal data of individuals are legitimate and subject to execution, since in this case they do not replace the functions of law enforcement agencies.
[DLMURL="https://www.arbitr-praktika.ru/article/1807-obrabotka-personalnyh-dannyh-komu-mojno-peredat-personalnye-dannye-klienta"] https://www.arbitr-praktika.ru / article / 1807-obr ... ye-klienta [/ DLMURL]
There are many requirements for obtaining customer consent and processing received data. Many of them are enshrined not in the law on personal data, but in by-laws, changes in which are difficult to track. Moreover, the approach of controlling persons may turn out to be quite formal, which leads to the application of measures of administrative responsibility. In particular, this concerns the transfer of personal data to third parties (for example, collection agencies), as well as their use for marketing purposes. Judicial practice in this area is also quite controversial. Therefore, it is important for companies not only to carefully monitor current legislative changes, but also to analyze the approaches of the judiciary in order to avoid liability for violation of personal data protection requirements.
For the transfer of personal data of the client, his direct written consent is required
General rules for bringing a legal entity to administrative responsibility are established in the Administrative Code of the Russian Federation. However, the peculiarity of this type of responsibility is the need to fully establish the actual circumstances of the case at the time of the decision to prosecute or refuse to hold. That is, the authorized body must not only comply with the procedure for bringing a person to justice, but also collect the full amount of evidence that would establish the guilt of this person in committing an administrative offense.
Often the application of liability measures is also complicated by the specifics of public relations, in the framework of which a violation of the norms of the current legislation was committed. Taking into account the specifics of economic activity, the object of an administrative offense, as a rule, is the personal data of an individual protected by law. Moreover, the protection of personal data is most often carried out in the framework of public relations in which an individual acts as a weaker (from a legal point of view) side, and therefore needs substantial legal support from the legislator.
The protection of personal data of individuals is regulated by the provisions of the Federal Law of July 27, 2006 No. 152-ФЗ “On Personal Data” (hereinafter - the Law No. 152-ФЗ). Moreover, such protection is implied and is especially important when carrying out the following operations with such data: storage, processing and transfer. Any activity related to these operations in relation to personal data must be carried out in compliance with the requirements of the law. And in case of non-compliance, the violator can be brought to administrative responsibility.
The most widely personal data of individuals is used by credit organizations, in relations with which they act as consumers of the proposed economic products. In this case, there are several possible violations of the requirements of the legislation on the protection of personal data by credit organizations.
The first group of violations includes the use of personal data of individuals by credit organizations when they conclude agreements with the so-called collectors. It should be noted that two different types of such agreements are known in practice: an agreement on the assignment of rights of claim (cession) between a credit institution and a collection agency and an agency agreement between these parties. In both cases, the performance of contracts requires and implies the transfer of personal data of an individual who does not fulfill the obligations assumed to repay the loan.
When concluding such agreements, a credit institution risks being held liable, since the transfer of personal data of a borrower to a legal entity that does not have a license to carry out relevant activities may be considered a violation of applicable law.
As a rule, the basis for holding a credit institution liable in case of violation of the requirements of the legislation on the protection of personal data is the absence of a written consent of an individual to transfer their personal data (although in accordance with the requirements of the legislation, such consent is mandatory and must be expressed in an agreement between the subject and the operator personal data). Consent must be expressed in writing, be clear and unambiguous.
You can transfer customer data without his consent to protect the interests of the operator
When resolving the issue of holding legal entities liable for violation of the legislation on personal data, the judicial authorities are faced with the following legal conflict. The transfer of the borrower's personal data is indeed prohibited without his direct written consent. However, the legislator provided for a number of cases in which such a transfer is possible without the consent of the borrower. In particular, the operator has the right to process personal data without the consent of an individual, if such processing is necessary to execute an agreement to which either the beneficiary or guarantor is a subject of personal data (individual). Also an exception are cases when the processing of personal data without the consent of the subject is necessary for the exercise of the rights and legitimate interests of the operator (paragraphs 5, 7, article 6, paragraph 2 of article 9 of Law No. 152-FZ). Obviously, the involvement of the third entity is carried out by the operator (credit organization) to protect their legitimate interests, since the borrower has a failure to fulfill the obligations assumed.
Thus, since the processing (transfer) of personal data of the borrower is carried out to execute a loan agreement to which the borrower is a party and to exercise the rights and legitimate interests of a credit organization, such processing can also be carried out without the consent of the subject of personal data (determination of the Moscow City Court of 06.10 .2011 in case No. 33–32111, dated April 6, 2012 in case No. 33–8687).
Indeed, the logic of the legislator, who allowed exceptions to the general rule for observing the interests of the creditor in case of delays in the fulfillment by the borrowers of their obligations, should be continued in law enforcement practice. Indeed, in this case, the transfer of personal data is a consequence of the non-fulfillment by an individual of his obligations to repay the loan and the creditor undergoing the negative consequences of violation of the contract.
It should be noted that the right of an individual to protect his personal data is not absolute, since the corresponding norm in this case will be art. 10 Civil Code, prohibiting the abuse of civil rights. The absolute absence of third party access to the subject’s personal data would constitute just such an abuse, since it would limit other participants in the civil turnover in concluding, for example, the same agency agreements. The Supreme Court of the Russian Federation also pointed out the existence of a special restriction in the field of personal data protection. So, in one of the cases, the court came to the conclusion that the right to revoke the consent of the personal data subject to the processing of personal data is unconditional, the specifics of the processing of personal data can be established by federal law (determination of the Supreme Court of the Russian Federation of March 27, 2012 No. 82-B11-6) .
However, there is an opposite judicial practice, when the courts conclude that it is inadmissible for credit organizations to transfer personal data to third parties without the express will of the individual, even if the latter did not fulfill the loan agreement (ruling of the Ninth Arbitration Court of Appeal dated December 26, 2012 in case No. A40- 109454/2012, Federal Antimonopoly Service of the West Siberian District dated 03/20/2013 in case No. A27-13226 / 2012).
At the same time, it remains unclear where the border passes, allowing the law enforcer to refer to established exceptions to the general rule, and in which cases such a link becomes impossible. Therefore, the scope and subject of evidence in cases of contesting the administrative liability of personal data operators may differ in each individual dispute.
Do not forget that often individuals or authorized organizations apply to the prosecutor's office to investigate actions committed by personal data operators. In this case, when an official of the prosecutor's office makes a presentation to a credit organization, it will be advisable to appeal against it in a judicial proceeding. In this case, it is necessary to bring similar arguments about the admissibility of the transfer of personal data without the consent of the subject for the execution of the contract to which he is a party, as well as to protect the legitimate interests of the operator.
Holding administrative responsibility in this case is not the only danger for a credit institution. In the event that her actions to transfer personal data are recognized unlawful, the execution of a signed agency or assignment agreement becomes extremely difficult. And this carries civil risks for a credit institution related to the payment of fines or other negative consequences.
The client’s consent to the processing of data under the contract does not give the right to use them for marketing purposes
Quite often, credit organizations, when using the personal data of individuals for marketing purposes, violate the requirements of the legislation on the protection of personal data. However, the subjects of such offenses are not only credit organizations, but also mobile operators, retail stores and other business entities.
The requirements of the law when regulating this sphere of public relations are definite and unambiguous. So, the processing of personal data in order to promote goods, works, services on the market by making direct contacts with a potential consumer using communication means is allowed only with the prior consent of the subject of personal data (Article 15 of Law No. 152-FZ). The processing of personal data is recognized to be carried out without the prior consent of the subject of personal data only if the operator (business entity) does not prove that such consent was obtained in the prescribed manner.
As already mentioned above, obtaining the consent of the subject to the processing of personal data is not required if such processing is directly related to the execution and (or) conclusion of the contract. Obviously, the achievement of the marketing goals of a legal entity is not related to the fulfillment of obligations under a contract.
Thus, the situation seems quite straightforward: the business entity is not entitled to use the personal data of an individual for marketing purposes to promote their product without the prior consent of this person.
However, in practice, the law enforcer often faces a dilemma related to the fact that an individual has previously provided the operator with his personal data, and the operator refers to this fact as a confirmation of the legitimacy of his actions.
To resolve this situation, it should be borne in mind that the subsequent use of personal data for marketing purposes is in no way connected with the execution of the contract, the party or beneficiary of which is an individual. After all, initially it provided the operator with its personal data for completely different purposes. Therefore, in order to use personal data to advertise a new product, the operator must again obtain the consent of the individual to the processing of his data. Otherwise, bringing the operator to administrative responsibility seems reasonable.
It is also worth mentioning about the occurrence of conflict relations in a situation where the personal data operator is faced with the requirement of an authorized body or official to provide personal data about individuals. As a rule, persons requiring such information are bailiffs who, within the framework of the authority granted to them, carry out the functions of tracing debtors.
Until a certain point, the arbitration courts accepted the arguments of the personal data operators brought to administrative responsibility that the bailiffs are not entitled to request (and the operators, accordingly, are not entitled to provide) information about the personal data of individuals without their consent (resolution of the FAS Volgo-Vyatsky of the district dated 01.12.2010 in the case No. A39-2063 / 2010, of the North Caucasus District on 01/18/2012 in the case No. A53-4649 / 2010).
The courts, repealing the decision on bringing the operators to administrative responsibility for the failure to provide data, proceeded from the inadmissibility of the substitution by the bailiff of the functions of law enforcement agencies.
However, the situation radically changed when several such disputes reached the Supreme Arbitration Court of the Russian Federation. So, in one of the cases, the SAC of the Russian Federation indicated that the request for personal data is the responsibility of the bailiff, and therefore the refusal to provide him with such data is unlawful (resolution of the Presidium of the SAC of 02.02.2012 in case No. A12-23512 / 2010).
A similar position was reflected in other matters. Thus, in one dispute with a telecom operator, the court indicated that the bailiff, acting in the framework of the instituted enforcement proceedings, has the right to request information directly related to the execution of judicial acts, in particular, about the registered subscriber numbers of the debtor (decision of the Eighteenth Arbitration Appeal court dated 01.06.2011 in case No. A07-770 / 2011).
Given the above, a number of conclusions can be drawn. Firstly, even a direct reference in the legislation to the possibility of processing personal data without the consent of the subject in practice in some cases turns out to be unviable and often leads to bringing the communication operator to administrative responsibility.
Secondly, a single provision by a subject of his personal data does not mean the possibility of further use of this data for marketing purposes for the conclusion of new contracts.
+
And thirdly, requests from authorized bodies for the provision of information constituting the personal data of individuals are legitimate and subject to execution, since in this case they do not replace the functions of law enforcement agencies.
[DLMURL="https://www.arbitr-praktika.ru/article/1807-obrabotka-personalnyh-dannyh-komu-mojno-peredat-personalnye-dannye-klienta"] https://www.arbitr-praktika.ru / article / 1807-obr ... ye-klienta [/ DLMURL]
Original message
Обработка персональных данных. Кому можно передать персональные данные клиента.
Существует много требований к получению согласия клиента и обработке полученных данных. Многие из них закреплены не в законе о персональных данных, а в подзаконных актах, изменения в которых сложно отслеживать. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности. В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива. Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.
Для передачи персональных данных клиента нужно его прямое письменное согласие
Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ. Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельств дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении. То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и собрать полный объем доказательств, который позволил бы установить виновность именно данного лица в совершении административного правонарушения.
Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства. С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица. При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.
Защита персональных данных физических лиц регулируется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача. Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае их несоблюдения нарушитель может быть привлечен к административной ответственности.
Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми они выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.
Первая группа нарушений включает использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми коллекторами. При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами. В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.
При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства.
Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональных данных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и оператором персональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.
Передать данные клиента без его согласия можно для защиты интересов оператора
При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия. Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика. В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо). Также исключением являются случаи, когда обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. п. 5, 7 ст. 6, п. 2 ст. 9 Закона № 152-ФЗ). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.
Таким образом, поскольку обработка (передача) персональных данных заемщика производится для исполнения кредитного договора, стороной которого является заемщик, и для осуществления прав и законных интересов кредитной организации, то такая обработка может быть произведена и без согласия субъекта персональных данных (определения Московского городского судаот 06.10.2011 по делу № 33–32111, от 06.04.2012 по делу № 33–8687).
И действительно, логика законодателя, допустившего исключения из общего правила для соблюдения интересов кредитора при просрочках исполнения заемщиками своих обязательств, должна быть продолжена и в правоприменительной практике. Ведь в данном случае передача персональных данных является следствием неисполнения физическим лицом своих обязательств по возврату кредита и претерпевания кредитором негативных последствий нарушения договора.
При этом необходимо отметить, что право физического лица на защиту своих персональных данных не является абсолютным, поскольку корреспондирующей нормой в данном случае будет являться ст. 10 ГК РФ, запрещающая злоупотребление гражданскими правами. Абсолютное отсутствие доступа третьих лиц к персональным данным субъекта являлось бы именно таким злоупотреблением, поскольку ограничило бы иных участников гражданского оборота в заключении, например, тех же агентских договоров. На наличие специального ограничения в области защиты персональных данных указывал и Верховный суд РФ. Так, в одном из дел суд пришел к выводу, что право на отзыв субъектом персональных данных согласия на обработку персональных данных не является безусловным, особенности обработки персональных данных могут устанавливаться федеральным законом (определение ВС РФ от 27.03.2012 № 82-В11-6).
Впрочем, есть и противоположная судебная практика, когда суды приходят к выводу о недопустимости передачи персональных данных кредитными организациями третьим лицам без прямого волеизъявления физического лица, даже в случае неисполнения последним кредитного договора (постановления Девятого арбитражного апелляционного суда от 26.12.2012 по делу № А40-109454/2012, ФАС Западно-Сибирского округа от 20.03.2013 по делу № А27-13226/2012).
При этом остается неясным, где проходит граница, позволяющая правоприменителю ссылаться на установленные исключения из общего правила, а в каких случаях такая ссылка становится невозможной. Поэтому объем и предмет доказывания по делам об оспаривании привлечения к административной ответственности операторов персональных данных может в каждом отдельном споре отличаться.
Не стоит забывать и о том, что нередко физические лица или уполномоченные на то организации обращаются в органы прокуратуры для расследования действий, совершенных операторами персональных данных. В этом случае при вынесении должностным лицом прокуратуры представления кредитной организации будет целесообразно обжаловать его в судебном порядке. При этом необходимо привести аналогичные доводы о допустимости передачи персональных данных без согласия субъекта для исполнения договора, стороной которого он является, а также для защиты законных интересов оператора.
Привлечение к административной ответственности в данном случае является не единственной опасностью для кредитной организации. В случае признания ее действий по передаче персональных данных незаконными исполнение заключенного агентского договора или договора цессии становится крайне затруднительным. А это несет для кредитной организации гражданско-правовые риски, связанные с выплатой штрафов или иными негативными последствиями.
Согласие клиента на обработку данных в рамках договора не дает права использовать их в маркетинговых целях
Достаточно часто кредитные организации при использовании персональных данных физических лиц в маркетинговых целях допускают нарушения требований законодательства о защите персональных данных. Впрочем, субъектами таких правонарушений выступают не только кредитные организации, но и операторы сотовой связи, магазины розничной торговли и иные хозяйствующие субъекты.
Требования законодательства при регулировании данной сферы общественных отношений являются определенными и однозначными. Так, обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного получения согласия субъекта персональных данных (ст. 15 Закона № 152-ФЗ). Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных лишь в том случае, если оператор (хозяйствующий субъект) не докажет, что такое согласие было им получено в установленном порядке.
Как уже было сказано выше, получение согласия субъекта на обработку персональных данных не требуется, если такая обработка непосредственно связана с исполнением и (или) заключением договора. Очевидно, что достижение маркетинговых целей юридического лица не связано с исполнением обязательств по заключенному договору.
Таким образом, ситуация представляется достаточно однозначной: хозяйствующий субъект не вправе использовать персональные данные физического лица в маркетинговых целях для продвижения своего продукта без предварительного согласия этого дица.
Однако на практике перед правоприменителем нередко возникает дилемма, связанная с тем, что физическое лицо ранее уже предоставило оператору свои персональные данные, и оператор ссылается на это обстоятельство как на подтверждение правомерности своих действий.
Для разрешения этой ситуации следует иметь в виду, что последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Ведь изначально оно предоставило оператору свои персональные данные для совершенно иных целей. Следовательно, для использования персональных данных в целях рекламы нового продукта оператору необходимо вновь получить согласие физического лица на обработку его данных. В противном случае привлечение оператора к административной ответственности представляется обоснованным.
Также стоит сказать и о возникновении коллизионных отношений в ситуации, когда оператор персональных данных сталкивается с требованием уполномоченного органа или должностного лица предоставить персональные данные о физических лицах. Как правило, лицами, требующими такую информацию, являются судебные приставы-исполнители, которые в рамках предоставленных им полномочий осуществляют функции по розыску должников.
До определенного момента арбитражные суды принимали доводы привлеченных к административной ответственности операторов персональных данных о том, что судебные приставы-исполнители не вправе запрашивать (а операторы, соответственно, не вправе предоставлять) информацию о персональных данных физических лиц без их согласия (постановления ФАС Волго-Вятского округа от 01.12.2010 по делу № А39-2063/2010, Северо-Кавказского округа от 18.01.2012 по делу № А53-4649/2010).
Суды, отменяя постановление о привлечении операторов к административной ответственности за непредставление данных, исходили из недопустимости подмены судебным приставом функций правоохранительных органов.
Однако ситуация коренным образом изменилась, когда несколько таких споров дошли до Высшего арбитражного суда РФ. Так, в одном из дел ВАС РФ указал, что запрос персональных данных входит в полномочия судебного пристава-исполнителя, а потому отказ в предоставлении ему таких данных неправомерен (постановление Президиума ВАС РФ от 28.02.2012 по делу № А12-23512/2010).
Схожая позиция была отражена и в других делах. Так, в одном споре с оператором связи суд указал, что судебный пристав-исполнитель, действуя в рамках возбужденного исполнительного производства, имеет право запрашивать информацию, имеющую непосредственное отношение к исполнению судебных актов, в частности, о зарегистрированных абонентских номерах должника (постановление Восемнадцатого арбитражного апелляционного суда от 01.06.2011 по делу № А07-770/2011).
Учитывая изложенное, можно сделать ряд выводов. Во-первых, даже прямое указание в законодательстве на возможность обработки персональных данных без согласия субъекта на практике в ряде случаев оказывается нежизнеспособным и зачастую ведет к привлечению оператора связи к административной ответственности.
Во-вторых, однократное предоставление субъектом своих персональных данных не означает возможность дальнейшего использования этих данных в маркетинговых целях для заключения новых договоров.
+
И в-третьих, запросы уполномоченных органов о предоставлении им сведений, составляющих персональные данные физических лиц, правомерны и подлежат исполнению, поскольку в этом случае не происходит подмены ими функций правоохранительных органов.
[DLMURL="https://www.arbitr-praktika.ru/article/1807-obrabotka-personalnyh-dannyh-komu-mojno-peredat-personalnye-dannye-klienta"]https://www.arbitr-praktika.ru/article/1807-obr ... ye-klienta[/DLMURL]
Существует много требований к получению согласия клиента и обработке полученных данных. Многие из них закреплены не в законе о персональных данных, а в подзаконных актах, изменения в которых сложно отслеживать. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности. В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива. Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.
Для передачи персональных данных клиента нужно его прямое письменное согласие
Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ. Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельств дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении. То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и собрать полный объем доказательств, который позволил бы установить виновность именно данного лица в совершении административного правонарушения.
Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства. С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица. При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.
Защита персональных данных физических лиц регулируется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача. Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае их несоблюдения нарушитель может быть привлечен к административной ответственности.
Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми они выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.
Первая группа нарушений включает использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми коллекторами. При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами. В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.
При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства.
Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональных данных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и оператором персональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.
Передать данные клиента без его согласия можно для защиты интересов оператора
При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия. Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика. В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо). Также исключением являются случаи, когда обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. п. 5, 7 ст. 6, п. 2 ст. 9 Закона № 152-ФЗ). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.
Таким образом, поскольку обработка (передача) персональных данных заемщика производится для исполнения кредитного договора, стороной которого является заемщик, и для осуществления прав и законных интересов кредитной организации, то такая обработка может быть произведена и без согласия субъекта персональных данных (определения Московского городского судаот 06.10.2011 по делу № 33–32111, от 06.04.2012 по делу № 33–8687).
И действительно, логика законодателя, допустившего исключения из общего правила для соблюдения интересов кредитора при просрочках исполнения заемщиками своих обязательств, должна быть продолжена и в правоприменительной практике. Ведь в данном случае передача персональных данных является следствием неисполнения физическим лицом своих обязательств по возврату кредита и претерпевания кредитором негативных последствий нарушения договора.
При этом необходимо отметить, что право физического лица на защиту своих персональных данных не является абсолютным, поскольку корреспондирующей нормой в данном случае будет являться ст. 10 ГК РФ, запрещающая злоупотребление гражданскими правами. Абсолютное отсутствие доступа третьих лиц к персональным данным субъекта являлось бы именно таким злоупотреблением, поскольку ограничило бы иных участников гражданского оборота в заключении, например, тех же агентских договоров. На наличие специального ограничения в области защиты персональных данных указывал и Верховный суд РФ. Так, в одном из дел суд пришел к выводу, что право на отзыв субъектом персональных данных согласия на обработку персональных данных не является безусловным, особенности обработки персональных данных могут устанавливаться федеральным законом (определение ВС РФ от 27.03.2012 № 82-В11-6).
Впрочем, есть и противоположная судебная практика, когда суды приходят к выводу о недопустимости передачи персональных данных кредитными организациями третьим лицам без прямого волеизъявления физического лица, даже в случае неисполнения последним кредитного договора (постановления Девятого арбитражного апелляционного суда от 26.12.2012 по делу № А40-109454/2012, ФАС Западно-Сибирского округа от 20.03.2013 по делу № А27-13226/2012).
При этом остается неясным, где проходит граница, позволяющая правоприменителю ссылаться на установленные исключения из общего правила, а в каких случаях такая ссылка становится невозможной. Поэтому объем и предмет доказывания по делам об оспаривании привлечения к административной ответственности операторов персональных данных может в каждом отдельном споре отличаться.
Не стоит забывать и о том, что нередко физические лица или уполномоченные на то организации обращаются в органы прокуратуры для расследования действий, совершенных операторами персональных данных. В этом случае при вынесении должностным лицом прокуратуры представления кредитной организации будет целесообразно обжаловать его в судебном порядке. При этом необходимо привести аналогичные доводы о допустимости передачи персональных данных без согласия субъекта для исполнения договора, стороной которого он является, а также для защиты законных интересов оператора.
Привлечение к административной ответственности в данном случае является не единственной опасностью для кредитной организации. В случае признания ее действий по передаче персональных данных незаконными исполнение заключенного агентского договора или договора цессии становится крайне затруднительным. А это несет для кредитной организации гражданско-правовые риски, связанные с выплатой штрафов или иными негативными последствиями.
Согласие клиента на обработку данных в рамках договора не дает права использовать их в маркетинговых целях
Достаточно часто кредитные организации при использовании персональных данных физических лиц в маркетинговых целях допускают нарушения требований законодательства о защите персональных данных. Впрочем, субъектами таких правонарушений выступают не только кредитные организации, но и операторы сотовой связи, магазины розничной торговли и иные хозяйствующие субъекты.
Требования законодательства при регулировании данной сферы общественных отношений являются определенными и однозначными. Так, обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного получения согласия субъекта персональных данных (ст. 15 Закона № 152-ФЗ). Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных лишь в том случае, если оператор (хозяйствующий субъект) не докажет, что такое согласие было им получено в установленном порядке.
Как уже было сказано выше, получение согласия субъекта на обработку персональных данных не требуется, если такая обработка непосредственно связана с исполнением и (или) заключением договора. Очевидно, что достижение маркетинговых целей юридического лица не связано с исполнением обязательств по заключенному договору.
Таким образом, ситуация представляется достаточно однозначной: хозяйствующий субъект не вправе использовать персональные данные физического лица в маркетинговых целях для продвижения своего продукта без предварительного согласия этого дица.
Однако на практике перед правоприменителем нередко возникает дилемма, связанная с тем, что физическое лицо ранее уже предоставило оператору свои персональные данные, и оператор ссылается на это обстоятельство как на подтверждение правомерности своих действий.
Для разрешения этой ситуации следует иметь в виду, что последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Ведь изначально оно предоставило оператору свои персональные данные для совершенно иных целей. Следовательно, для использования персональных данных в целях рекламы нового продукта оператору необходимо вновь получить согласие физического лица на обработку его данных. В противном случае привлечение оператора к административной ответственности представляется обоснованным.
Также стоит сказать и о возникновении коллизионных отношений в ситуации, когда оператор персональных данных сталкивается с требованием уполномоченного органа или должностного лица предоставить персональные данные о физических лицах. Как правило, лицами, требующими такую информацию, являются судебные приставы-исполнители, которые в рамках предоставленных им полномочий осуществляют функции по розыску должников.
До определенного момента арбитражные суды принимали доводы привлеченных к административной ответственности операторов персональных данных о том, что судебные приставы-исполнители не вправе запрашивать (а операторы, соответственно, не вправе предоставлять) информацию о персональных данных физических лиц без их согласия (постановления ФАС Волго-Вятского округа от 01.12.2010 по делу № А39-2063/2010, Северо-Кавказского округа от 18.01.2012 по делу № А53-4649/2010).
Суды, отменяя постановление о привлечении операторов к административной ответственности за непредставление данных, исходили из недопустимости подмены судебным приставом функций правоохранительных органов.
Однако ситуация коренным образом изменилась, когда несколько таких споров дошли до Высшего арбитражного суда РФ. Так, в одном из дел ВАС РФ указал, что запрос персональных данных входит в полномочия судебного пристава-исполнителя, а потому отказ в предоставлении ему таких данных неправомерен (постановление Президиума ВАС РФ от 28.02.2012 по делу № А12-23512/2010).
Схожая позиция была отражена и в других делах. Так, в одном споре с оператором связи суд указал, что судебный пристав-исполнитель, действуя в рамках возбужденного исполнительного производства, имеет право запрашивать информацию, имеющую непосредственное отношение к исполнению судебных актов, в частности, о зарегистрированных абонентских номерах должника (постановление Восемнадцатого арбитражного апелляционного суда от 01.06.2011 по делу № А07-770/2011).
Учитывая изложенное, можно сделать ряд выводов. Во-первых, даже прямое указание в законодательстве на возможность обработки персональных данных без согласия субъекта на практике в ряде случаев оказывается нежизнеспособным и зачастую ведет к привлечению оператора связи к административной ответственности.
Во-вторых, однократное предоставление субъектом своих персональных данных не означает возможность дальнейшего использования этих данных в маркетинговых целях для заключения новых договоров.
+
И в-третьих, запросы уполномоченных органов о предоставлении им сведений, составляющих персональные данные физических лиц, правомерны и подлежат исполнению, поскольку в этом случае не происходит подмены ими функций правоохранительных органов.
[DLMURL="https://www.arbitr-praktika.ru/article/1807-obrabotka-personalnyh-dannyh-komu-mojno-peredat-personalnye-dannye-klienta"]https://www.arbitr-praktika.ru/article/1807-obr ... ye-klienta[/DLMURL]