Законна ли передача банком личных данных третьим лицам?
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.
Для распространения данных нужно получить новое согласие
Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.
Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).
Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):
- например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
- через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).
Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).
Содержание согласия на распространение персональных данных
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.
Из текста проекта следует, что новое согласие на распространение персданных должно содержать:
- Ф. И. О. субъекта персональных данных;
- контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
- наименование или Ф. И. О. и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
- условия разрешения и запрета обработки персональных данных;
- срок, в течение которого действует согласие;
- сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).
Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.
Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.
Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).
Нельзя распространять общедоступные персональные данные без согласия
Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.
Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных
Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).
Субъект может отозвать согласие на распространение персональных данных
Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):
- Ф. И. О.;
- контакты (номер телефона, адрес электронной почты или почтовый адрес);
- перечень персональных данных, обработка которых должна быть прекращена.
Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).
Работодателям придется соблюдать новые правила в полном объеме
Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.
Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:
- когда договор заключается непосредственно между банком и работником;
- когда у работодателя есть доверенность на представление интересов работника в банке;
- когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.
Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?
В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.
Не пропускайте последние новости — подпишитесь
на бесплатную рассылку сайта:
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы 1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
- если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Как происходит утечка персональных данных?
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
Какими могут быть последствия утечки данных?
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Что делать, если в распространении личной информации виноват банк?
Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
- подтверждение факта обработки персональных данных оператором;
- правовые основания обработки данных;
- цели и применяемые оператором способы обработки данных;
- наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
- обрабатываемые персональные данные и источник их получения;
- сроки обработки данных, в том числе сроки их хранения;
- информация об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).
Передача персональных данных третьим лицам
Н е все твердо знают, разрешает ли отечественное законодательство передачу персональных данных третьим лицам и в каких ситуациях это возможно. Есть строго установленный перечень случаев, когда это возможно с точки зрения закона. Если конкретная ситуация не попадает в этот перечень, она будет нарушать права владельцев сведений.
Трудовое право и вопрос передачи данных
Работодатель обязан хранить сведения, предоставленные работником. Трудовой кодекс РФ в ст. 88 предусматривает ситуацию, в которой персональные данные работника могли бы быть переданы третьим лицам. Применяются следующие правила, при которых этот тип правоотношений становится возможным:
- любая ситуация сознательной передачи персональных данных работника третьим лицам становится допустимой только тогда, когда конкретный сотрудник предварительно дает на это разрешение. Немного по-другому такая ситуация трактуется при заполнении анкеты при поступлении на работу. Если при этом согласие не было запрошено или получено, передача данных будущего сотрудника для проверки может быть расценена как нарушение требований кодекса;
- если согласие не было получено или не соответствует установленной форме, передача данных возможна только тогда, когда она поможет предотвратить угрозу жизни или самочувствию конкретного человека или в иных ситуациях, прямо оговоренных в законодательстве;
- любая передача данных с целью получения за это каких-то преференций или прибыли (например, для включения в базу данных клиентов партнерской организации) в принципе невозможна без оформления согласия;
- все сотрудники компании, которым поручено осуществление обработки этих сведений, должны быть поставлены в известность о том, что они обязаны сохранять в их отношении режим конфиденциальности. От них необходимо получить достоверное понимание того, что правило соблюдается и они несут ответственность;
- если обмен персональными данными прямо предусмотрен требованиями закона, то режим максимальной защиты информации не применяется, обмен происходит по стандартным протоколам;
- даже если передача персональных данных происходит в пределах одной компании, например от отдела кадров к отделу, который занимается охраной труда или добровольным медицинским страхованием, такая передача должна происходить в полном соответствии с локальным нормативным актом, ранее принятым в компании на уровне руководства в соответствии с законом о персональных данных;
- доступ к информации надо оформлять ограниченному количеству лиц, при этом объем доступных сведений должен полностью соответствовать требованиям трудовой функции конкретного специалиста;
- компания не может запрашивать любые данные о состоянии здоровья работников, кроме тех случаев, когда такие сведения необходимы для осуществления ими их обязанностей (например, о зрении при допуске работника к выполнению высотных работ) и порядок их получения предусмотрен законодательством;
- если информация затребована представителем, сведения также могут быть переданы только в установленных случаях и в ограниченном объеме.
Следующая по порядку статья кодекса, ст. 89 ТК РФ, определяет права работников-субъектов персональных данных в целях защиты их персональных данных. Она говорит о праве назначить представителя для защиты информации, в любой момент получить все сведения о месте хранения данных, о том, кто может их изучить или распространить, и дает право требовать исключить или уничтожить недостоверные сведения.
Передача информации для обработки
Закон предусматривает ситуации передачи данных для их обработки. Законодательство под термином «обработка» подразумевает любые действия с информацией, в том числе ее копирование, использование, распространение, передачу доступа к ней третьим лицам. При этом оператор обязан получить разрешение обладателей этих сведений. Процедура обязательно основывается на заключении отдельного договора поручения, четко описывающего все особенности правоотношений, или она может происходить в рамках заключенного государственного или муниципального контракта.
Передача сведений оператором третьим лицам должна иметь под собой определенные цели, понятные субъекту персональных данных. Примером может быть предоставление доступа к информационному массиву для статистической обработки или в случае, когда оператор не может самостоятельно обеспечить надлежащую защиту персональных данных.
Может такая передача происходить и на основании определенного акта органа государственной власти. Все лица, которые получают право на обработку персональных данных на основании такого соглашения или акта, обязаны в полной мере выполнять все нормы, установленные законодательством о защите персональных данных, ответствовать его принципам и духу. Поручение, содержащееся в отдельном договоре, должно включать в себя обязательные пункты:
- перечень манипуляций, которые лицо, действующее на основании поручения, может выполнять с передаваемой информацией;
- цели обработки персональных данных, соответствующие законодательству и известные субъекту персональных данных заведомо;
- обязанность агента соблюдать в отношении передаваемых сведений режим строгой конфиденциальности;
- обязанность агента принимать все меры к защите персональных данных при совершении любых операций с ними;
- также в соглашении должны быть указаны все требования к техническим и организационным мерам обеспечения целостности и сохранности информации.
При соблюдении этих условий действия оператора будут полностью соответствовать федеральному закону. При оформлении письменного согласия его рекомендованную форму можно найти на сайте Роскомнадзора. Подписывая согласие, лицо должно быть информировано, в каких именно целях осуществляется обработка данных и какие именно действия с ними предполагается совершать. Согласие должно отвечать трем критериям – оно должно быть сознательным, конкретным и информированным. В противном случае оно может быть признано недействительным. Форма согласия может быть любой, но если оно оформляется от имени субъекта его представителем, Роскомнадзор вправе проверить, действительно ли такое согласие было дано.
Иные случаи передачи данных
Кроме передачи информационных массивов для обработки законодательство предусматривает и некоторые другие случаи, в которых передача сведений третьим лицам станет допустимой. Так, статья 6 закона указывает на ситуации, при которых:
- предоставление доступа к сведениям оператором третьим лицам для обработки становится возможным при наличии согласия на это (примером может быть заполнение анкеты на оформление дисконтной карты);
- передача данных происходит в целях заключения коммерческих договоров, стороной которых или выгодоприобретателем по ним становится субъект персональных данных (примером может стать передача банком сведений заемщика страховой компании для оформления полиса страхования жизни и здоровья заемщика). Исходя из этой же нормы, данные могут быть переданы для выполнения обязательств по таким договорам или же по соглашениям, в которых субъект стал поручителем.
Количество случаев законной передачи данных строго ограничено. Часто возникает необходимость передачи информации при заключении контрактов на площадках электронных торгов. Если у субъекта есть усиленная электронная подпись, необходимая для участия в торгах, оформление согласия производится простым подтверждением – нажатием кнопки на сайте.
Любая ситуация, выходящая за рамки перечисленных, дает возможность гражданину направить обращение в Роскомнадзор с целью проведения проверки и принятия надлежащих мер реагирования.
Новые правила обработки и распространения персональных данных с 1 марта 2021 года
Изменения в законе о персональных данных с 1 марта 2021 года
Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.
Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.
2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.
3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.
5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.
6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.
7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.
Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.
Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.
Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.
Согласие на обработку данных, разрешенных к распространению
Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.
Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.
Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).
В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.
Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.
Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):
- ФИО заявителя;
- контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
- перечень персональных данных, обработка которых подлежит прекращению.
Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.
Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Как отозвать персональные данные у коллекторов
Для взаимодействия с должником коллекторы могут получать, хранить и обрабатывать его персональные данные. Такое право возникает после заключения договора цессии с банком или МФО. Особенности работы с личной информацией о гражданах указаны в федеральном законе № 152-ФЗ.
В частности, закон описывает порядок отзыва разрешения на работу с персональными данными. Чтобы отозвать разрешение, гражданину нужно обратиться с письменным бумажным или электронным заявлением. О том, возможен ли отзыв персональных данных у коллекторов и какие последствия влечет подача заявления, читайте в нашем материале.
Можно ли отозвать свои персональные данные у коллекторов
Банки и МФО получают согласие заемщика на обработку персональных данных при заключении договора на кредит или займ. В отношении коллекторов такой порядок неприменим. Правоотношения между коллекторским агентством и должником возникают не на основании договора между ними.
Коллекторы выкупают задолженность у банка или МФО по договору цессии. Должник не является непосредственной стороной этого договора, поэтому изначально не может давать согласие или выражать запрет на работу со своими персональными данными .
Особенности получения, хранения и обработки персональной информации коллекторскими фирмами заключаются в следующем:
- правовое регулирование вопроса осуществляется в соответствии с законом № 152-ФЗ;
- коллекторская компания становится оператором персональных данных в отношении должника-гражданина сразу после заключения договора цессии и получения документов на задолженность;
- коллекторы могут не запрашивать согласие должника на работу с его личными данными, так как это допускается в силу норм закона № 152-ФЗ;
- для обработки и использования личных данных на иных лиц (кроме должника) коллекторам всегда нужно запрашивать письменное согласие-разрешение.
Закон позволяет обходиться без получения согласия на обработку персональных данных, если это нужно для исполнения договора, стороной которого является гражданин. С коллекторами должник не заключает договоров, кроме как в процессе взыскания. Но и без заключения договора коллекторская фирма может работать с личными сведения о должнике. Это прямо разрешено пунктом 7 ч. 1 ст. 6 закона № 152-ФЗ.
Если от должника не требуется согласие на работу с персональными данными, можно ли его вообще отозвать? Да, можно, но от долга такое заявление не спасает. Многое зависит от стадии взаимодействия с коллекторами, от целей подачи заявления. Коллекторы однозначно обязаны прекратить работу с личной информацией после того, как взыскание будет завершено. Также можно отозвать разрешение в части передачи данных иным лицам, которых коллекторы привлекают к взысканию. Подробнее об этом расскажем ниже.
Как часто коллекторы могут звонить
и напоминать о долге? Спросите юриста
Кто может отозвать персональные данные
Заявить запрет на работу со своими персональными данными может только сам гражданин. Соответственно, это может быть только сам должник, с которого требует деньги коллекторское агентство. Не могут обратиться с заявлением иные лица, в том числе родственники, друзья, знакомые.
По умолчанию, при взыскании выкупленной просрочки коллекторы имеют право взаимодействовать только с самим должником. Но в процессе взыскания иные лица могут давать добровольное согласие на обработку, хранение и использование их личных данных. Если такое согласие было дано, то его можно отозвать по письменному или электронному заявлению. При этом отзыв со стороны третьих лиц влечет полный и однозначный запрет на дальнейшую работу с персональными данными.
Что дает отзыв персональных данных для должника
Целью отзыва персональных данных всегда является запрет на дальнейшую работу с ними со стороны оператора. Также на основании заявления гражданина вся личная информация должна быть удалена из сегмента активной работы с ее правообладателем в течение 30 дней.
За нарушение этих норм оператора могут привлечь к административной и уголовной ответственности. То есть операторы имеют право и дальше хранить информацию, но не могут пользоваться ей для активной работы — рассылки сообщений, электронных писем или для звонков, например, в рекламных целях.
Понятно, что коллекторы вряд ли станут забрасывать должника сообщениями из серии «возьми еще один кредит». Но вот продать свою базу клиентов банку или МФО они могут. Да еще и с примечаниями о том, как обслуживал тот или иной должник свои долги. А для кредиторов эта информация бесценна.
Вот и гуляют по сети объявления о продаже той или иной ворованной или «взломанной хакерами» базе клиентов то банка, то МФО. Банки давно решили проблему «левого копирования» своих баз своими же сотрудниками. Все действия работника, имеющего доступ к базе, фиксируются, и за несанкционированное подключение к базе и попытку копирования человека просто уволят, да еще и «с волчьим билетом» — записи в трудовой книжке о том, что человек неблагонадежен для работы в финансовом институте.
А вот в МФО, как правило, небольших компаниях в регионе, и уже тем более — у коллекторов, этот запрет соблюдается не так свято.
Имеет ли право сотрудник банка, звонящий
с рекламным предложением, отказаться
сообщить, где он взял мои данные?
В некоторых случаях, прямо указанных в законе, подача заявления на отзыв персональных данных не повлечет никаких последствий. Это касается не только ситуации с взысканием долга коллекторами. Без согласия гражданина или после отзыва обработки с его стороны личные данные могут использовать в судебных делах, для оказания врачебной помощи, в ряде иных случаев.
До завершения взыскания
Пока должник не закроет все обязательства перед коллекторской фирмой, то есть не вернет всю сумму долга вместе с процентами, или не договорится о погашении долга с дисконтом, его отзыв персональных данных не повлечет никаких последствий. Закон № 152-ФЗ позволяет продолжить работу с личной информацией, если осуществляется возврат просроченной задолженности .
Поэтому даже после получения отзыва коллекторы смогут:
- использовать личные данные должника для взаимодействия с ним, для направления запросов в государственные, муниципальные и иные ведомства; в бюро кредитных историй;
- собирать персональные данные из законных источников;
- хранить личные сведения о гражданине, обеспечивая защиту от неправомерного доступа третьих лиц.
Коллекторам, как оператору персональных данных, запрещено разглашать их третьим лицам, использовать в иных противоправных целях. Например, закон запрещает раскрывать личные сведения о должнике в открытом доступе через интернет или в СМИ.
Несмотря на указанные правила, коллекторское агентство будет обязано отреагировать на заявление должника. В ответе будет указано, что запрет на отзыв данных не распространяется на возврат просроченной задолженности.
После завершения взыскания
Ситуация в корне изменится, если должник выплатит всю требуемую сумму. В этом случае коллекторская фирма обязана после получения отзыва:
- указать в ответе, что отзыв гражданина удовлетворен, а дальнейшая работа с персональными данными прекращена;
- в течение 30 дней удалить всю личную информацию о гражданине. Да, по сути, после погашения долга эта информация коллектору уже больше и не нужна;
- прекратить ее сбор и обработку, передачу по запросам иных лиц.
На ответ по заявлению коллекторам дается 30 дней. За нарушение этого срока, равно как и за отсутствие ответа или неправомерный отказ по заявлению, коллекторской организации грозит крупный штраф.
Как отозвать свои персональные данные у коллекторов
Порядок отзыва своих персональных данных прописан в законе № 152-ФЗ. Основанием для этого будет являться личное заявление гражданина. Основным вариантом является подача заявления в письменном виде. Направить электронный отзыв можно, если это позволяет функционал сайта коллекторского агентства. Подпись на электронном заявлении заверяется ЭЦП или учетной записью госуслуг (ЕСИА).
Как получить информацию о коллекторском агентстве
Чтобы направить заявление на отзыв, нужно сначала уточнить данные о коллекторской компании, которая занимается взысканием. Проще всего это сделать из документов, которые коллекторы направляют должнику — уведомление о выкупе задолженности, претензии, требования, письма. Если таких документов нет, то можно уточнить информацию через банк, который продавал задолженность. Полученные сведения можно сверить с реестром ФССП, где есть информация о каждой легальной коллекторской организации.
Форма и содержание заявления на отзыв персональных данных
Специальных требований к содержанию заявления на отзыв нет. Учитывая цель обращения, в документе нужно указать:
- название и регистрационные данные коллекторского агентства (ИНН, ОГРН, адрес и т.д.);
- сведения о заявителе, который просит прекратить обработку персональных данных;
- просьба о прекращении всех действий, связанных с получением (сбором), хранением, обработкой и использованием персональной информации;
- дата, подпись.
В заявлении можно описать нарушения режима защиты персональных данных, если они допущены в работе коллекторской фирмы. Такие нарушения должны быть незамедлительно устранены, иначе виновных лиц привлекут к ответственности.
Коллекторы обещают сообщить о долге
моему руководителю на работе, законно
ли это? Спросите юриста
У нас на сайте можно скачать примерный образец заявления на отзыв персональных данных у коллекторов. Если у вас возникнут сложности с заполнением и подачей документа, помощь окажут наши юристы.
Срок рассмотрения
После получения заявления от должника коллекторское агентство обязано дать ответ в течение 30 дней. Ответ направляется тем же способом, что и подавалось заявление на отзыв персональных данных. Если в этот срок ответ не дан, либо коллекторы незаконно отказываются прекратить работу с персональной информацией, на них можно подать жалобу.
Куда жаловать на нарушение закона о персональных данных
Контроль за защитой персональных сведений о граждан возложен на Роскомнадзор. Именно в это ведомство можно обратиться с жалобой по следующим вопросам:
- если коллекторы отказываются принять заявление на отзыв персональных данных;
- если на заявление незаконно вынесен отказ, либо коллекторская организация не прекратила обработку персональных сведений;
- если в течение 30 дней не получен ответ на отзыв.
Электронная приемная Роскомнадзора
Самый простой способ подать жалобу — воспользоваться онлайн-сервисом на сайте Роскомнадзора. Ответ на жалобу будет направлен в течение 30 дней.
Жалобу на коллекторов в Роскомнадзор можно написать и на бумаге. Отправить ее лучше всего заказным письмом через отделение Почты России.
Чем заявления на отзыв персональных данных отличается от отказа от взаимодействия с коллекторами?
Заявление на отзыв персональных данных и заявление об отказе от взаимодействия с коллектором (как и с кредитором) — разные документы, но суть у них очень близкая. По сути, практически одинаковая. Оба документа вводят запрет на контакты должника и взыскателя. Если должник откажется общаться с банком, МФО, коллекторской компанией, то взыскатель утратит возможность звонить человеку, слать смски и электронные письма, встречаться с ним.
Но это не значит, что вам простят долг или спишут его. Списать долги можно только через процедуру банкротства. У кредитора остается право общаться с должником через обычную почту — Почту России, то есть бумажными письмами .
И, конечно же, никто не отнимет у кредитора право подать на должника в суд, чтобы получить исполнительный лист или судебный приказ. А затем передать его судебным приставам и ждать возврата задолженности законным путем — через арест и продажу имущества, через арест зарплатной карты и списание с нее до 70% доходов, через блокировку счетов в банке и далее по списку из обширного арсенала приставов по взысканию денег с «непокорных» должников, доведших ситуацию по возврату своего кредита или займа до судебной системы.
Если у вас остались вопросы, связанные с отзывом персональных данных у коллекторов, можно задать их нашим юристам. Мы поможем в любой ситуации, связанной с защитой прав при взыскании долгов.