8 февраля 2017 г.

Закон об изменениях в КоАП об административных нарушениях в области персональных данных подписан: возможные последствия

Вчера в 17:45 на сайте Президента России появилось сообщение: «Внесены изменения в КоАП. Президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
С 1 июля этого года заработает новая редакция статьи 13.11 КоАП, вводящая семь составов административных правонарушений, о которых я уже писал в блоге. Изменилось и название статьи, теперь оно звучит так: «Нарушение законодательства Российской Федерации в области персональных данных».
Давайте проанализируем, что изменилось по сути и каковы возможные последствия этих изменений.
Первое и главное – протоколы об административных правонарушениях, квалифицируемых новой редакции статьи 13.11, будут после 1 июля составлять не прокуроры, как сейчас, а должностные лица Роскомнадзора и его территориальных управлений при сохранении нормы о наложении штрафа мировыми судьями. Срок привлечения к ответственности сохранился прежний – 3 месяца, но процедура привлечения к ответственности существенно упростилась.
Ранее территориальное управление Роскомнадзора, выявившее нарушение, направляло результаты проверки в прокуратуру по месту нахождения нарушителя, в прокуратуре возбуждалось административное производство, составлялся протокол о правонарушении и направлялся в суд. В результате нередко дела не возбуждались по формальному признаку истечения сроков привлечения к ответственности.
Теперь из этой цепочки прокуратура исключается, материалы будут двигаться быстрее, а штрафов, скорее всего, станет больше.
Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 с одним составом правонарушения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф. А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает.  
Поддерживают позицию Роскомнадзора в отношении процедуры получения согласий и суды. Так, Девятый арбитражный апелляционный суд в постановлении по делу № А40-32030/2016 прямо указывает: «Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». И далее: «доводы о том, что Обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям статьи 9 Закона о персональных данных».
Написал выше «каждое из выявленных нарушений можно квалифицировать отдельно» и был не точен. У новой редакции статьи 13.11 появилась еще одна особенность: теперь по ней можно привлечь к ответственности далеко не за каждое выявленное нарушение. Так, нет ответственности за невыполнение нашумевшего закона 242-ФЗ о территориальности персональных данных россиян, которым в статью 18 закона «О персональных данных» была добавлена новая часть 5.
Не предусмотрен штраф и за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687, а оно было одним из наиболее часто выявляемых при проверках в 2016 году. Нельзя в новой редакции статьи 13.11 наказать за отсутствие в поручении обработки персональных данных существенных условий, предусмотренных частью 3 статьи 6, которое тоже выявлялось при проверках в 2016 году очень часто.
Но все это предположения. Как будут применяться новые нормы, станет известно только после реализации их Роскомнадзором на практике. 31 января на дне открытых дверей представители надзорного ведомства отказались комментировать, как будет применяться закон, сославшись на то, что он пока не принят.
Так что наберемся терпения. Но готовиться к новым правилам надо уже сегодня, чтобы завтра не столкнуться с невиданными ранее штрафами.

26 января 2017 г.

Реклама как фактор риска для банка. Практика правоприменения

В сегодняшнем посте мы рассмотрим, как на практике реализуются требования законодательства о рекламе, о персональных данных и защите прав потребителей, о которых я писал вчера, при выявлении случаев распространения банками рекламы с нарушением закона.
Практически все случаи связаны с жалобами конкретных граждан на ненадлежащую рекламу. На семинаре, который мы проводили для наших клиентов, был задан вопрос: «А получают ли пожаловавшиеся граждане какую-то выгоду от своей инициативы и бдительности?». Ответ простой – нет, это проявление гражданской позиции или выпуск пара из-за раздражения бесконечным спамом. И никаких меркантильных интересов.
Самый распространенный и легко доказываемый случай – рассылка незапрашиваемых смс-сообщений, то есть спама.
Таких примеров очень много, вот один, довольно показательный: управление ФАС по Свердловской области оштрафовало Альфа-Банк за смс-сообщение: «Управляйте Вашими финансами разумно! Откройте пакет услуг Оптимум для ежедневного банковского обслуживания, который включает в себя наиболее необходимые услуги. Подробности по телефону…» от «Alfa-Bank».
Очень тонкий момент – разница между рекламой (в законе написано, что это «информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке», и слова про неопределенный круг лиц представляются здесь ключевыми) и адресным обращением к субъекту персональных данных. Как мы помним, в стоимостном выражении разница между штрафами по соответствующим статьям – на порядок и более. По ст.14.3 КоАП (нарушение законодательства о рекламе) – от 100 до 500 тыс. рублей штрафа на юрлицо, а по ст.13.11 (нарушение законодательства о персональных данных) – от 5 до 10 тыс. рублей. Как говорится, почувствуйте разницу.
Однако ФАС придерживается мнения, что все, что направляется потребителю с целью продвижения услуг, – реклама, независимо от формы обращения. Пример? Пожалуйста: «Максим Андреевич, напоминаем, только до 31.01.2016 Вы можете воспользоваться нашим предложением по вкладу «Счастливый год!». Успейте оформить вклад под 9% годовых в любом нашем отделении. Ваш Сбербанк». Максим Андреевич обиделся, видимо, на столь низкий процент, и обратился в тот же ФАС Свердловской области, а Сбербанк получил штраф в 100 тыс.рублей.
А вот «Совкомбанк» пострадал серьезнее. Тюменский пенсионер взял в нем кредит и уже дома, изучая договор, обнаружил, что во взятую им сумму кредита входит оплата программы страхования и оплата электронной пластиковой карты, о которых в рекламе продукта не было ни слова. Территориальное управление ФАС увидело там сразу два нарушения, и за страховку, и за эмиссию пластиковой карты выписало два штрафа по 300 тысяч рублей каждый.
Еще одна уловка, на которую часто идут банковские маркетологи, – разный шрифт в рекламе в зависимости от привлекательности условий для клиента: большой, если это выглядит заманчиво, и мелкий, если это может отпугнуть. Ну совсем мелкий. Нечитаемый.
АО КБ «РУБЛЕВ» разместил рекламу вклада на специальной конструкции с изменяющимися панелями – призматроне. Про 22% годовых было написано очень крупно и видно издалека, а вот про остальные условия мелко, да так, что из-за разрезки текста панелями прочитать его было нельзя. Ставропольское управление ФАС оценило изобретательность рекламодателя в 101 тысячу рублей – чуть больше минимального возможного наказания.
Не менее, чем спам, распространенное нарушение – невыполнение требований части 3 статьи 28 закона «О рекламе», требующей давать полную информацию о кредите и условиях, влияющих на его стоимость.
«Мастер-Банк» распространял на территории г. Москвы листовки, рекламирующие услуги кредитования малого и среднего бизнеса, в которых не сообщалось о критериях получения рекламируемых кредитов и процентной ставке по ним. По мнению московского управления ФАС, это могло привести к неверному восприятию информации потенциальными заемщиками. Итог стандартный – те же 100 тысяч рублей штрафа.
Очень точно надо подходить к указанию в рекламе наименование кредитора (помните часть 1 ст.28 закона «О рекламе»: Реклама банковских и иных финансовых услуг должна содержать наименование или имя лица, оказывающего эти услуги»?). Банк разместил на местной радиостанции рекламное сообщение, которое две недели транслировалось в эфире: ««Каждой семье комфортное жильё * новые квартиры от группы строительных компаний ОФЦ * это реально * Вам поможет ипотека от Костромаселькомбанка * Костромаселькомбанк к стабильности и благополучию вместе * тел. … * группа строительных компаний ОФЦ тел. …». Что же в нем не так? Оказывается, не указана форма собственности банка – общество с ограниченной ответственностью! Итог стандартный – 101 тысяча рублей штрафа. Спор дошел до кассации в Федеральном арбитражном суде Волго-Вятского округа, который костромскому банку не помог и оставил решение о привлечении к ответственности в силе.
Страдают от санкций за ненадлежащую рекламу не только банки, но и их партнеры. ООО «Реалит» в Череповце решило продвинуть свои услуги по установке пластиковых окон в кредит в местной газете «Бизнес-Информ», разместив на первой странице объявление: «ОКНА ДВЕРИ ЛОДЖИИ_скидка рассрочка кредит». Кредит? А кредитор кто? А где сведения об условиях предоставления кредита (товарный, коммерческий, отсрочка, рассрочка платежа)? Не указано? Ага, нарушение требований части 7 статьи 5 закона «О рекламе». Штраф - стандартные 100 тысяч. И снова жалоба в суд, апелляция, кассация, и опять отказ, последний – в Федеральном арбитражном суде Северо-Западного округа.
И попытка уклониться от указания стоимости услуги, заменив ее процентной ставкой (часть 7.1 статьи 5 закона «О рекламе»), тоже карается. Банк «Траст» установил при предоставлении потребительского кредита возможность подключения дополнительного пакета услуг «Добровольное страхование жизни и здоровья заемщиков по кредитам на неотложные нужды», указав плату за него в процентах. По мнению надзорного органа, это нарушает право потребителя на получение необходимой и достоверной информации о реализуемой услуге. Банк привлечен к административной ответственности по ч. 1 ст. 14.8 КоАП (нарушение иных прав потребителя) в виде штрафа 5 000 рублей.
Есть и экзотические случаи привлечения к ответственности. Рассмотрим пару таких.
УФАС Красноярского края оштрафовало банк «Кедр» на…, конечно, 100 тысяч рублей, за рекламу с изображением процесса курения. А это запрещено пунктом 3 части 5 статьи 5 закона «О рекламе». Обращение в суд и апелляция банку не помогли.
Ну, и напоследок, – совсем веселое. «Очкуешь, товарищ? С наличкой тревожно? Сделай же вклад в банке надежном!». С таким заманчивым предложением обратился в период финансового кризиса 2008 года к потенциальным клиентам «СКБ-банк», Территориальное управление ФАС креатив не оценило и квалифицировало его как нарушение части 6 статьи 5 закона «О рекламе»: использование бранных слов, непристойных и оскорбительных образов, сравнений и выражений.
По традиции рецепт напоследок: каждое рекламное объявление и правомерность его распространения необходимо оценивать с точки зрения соответствия закону, прежде чем направлять потребителям, согласовывать с юристами, комплайенс-специалистами, а иногда – и с подразделением безопасности тоже. Ну, и сдерживать свой креатив. Не только в банках.

25 января 2017 г.

Реклама как фактор риска для банка. Теория вопроса

Коллеги, в том числе работающие в сфере ИБ, часто и много пишут, особенно в социальных сетях, про навязчивую рекламу банков по телефону и с помощью смс, неизвестные источники получения банками этих самых номеров телефонов и невозможность реального воздействия на банк за этот полный произвол.
А мы как раз для наших клиентов проводили анализ факторов риска, возникающих при продвижении банковских продуктов на рынке и искали пути минимизации возможного ущерба при размещении рекламы столь деликатной области деятельности.
Оказалось, что для потенциальных потребителей услуг банков на самом деле все не так грустно, и, как говорил великий советский сатирик, «есть путя», но надо проявлять настойчивость, то есть отрывать одно место от другого, для получения реального эффекта и воспитания продавцов из банков. Законы дают для этого массу возможностей, а ФАС активно помогает реализовать их требования и наказывает банки сотнями тысяч рублей. Так что это, скорее, зона особого риска для банков, которая, по понятным причинам, чаще всего остается без кураторства служб безопасности и правового обеспечения, что нередко ведет к имиджевым и финансовым потерям для кредитно-финансовых организаций.
Обычно, получив очередную смс стандартного содержания «Василий Петрович, золотая кредитная карта – это всегда доступные деньги. Для Вас – предварительно одобренный лимит 3000 рублей…», возмущенный скупостью банка потенциальный клиент вспоминает статью 15 закона «О персональных данных» («Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, … допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено»). А зря. Как мы помним, максимальный штраф за невыполнение закона 152-ФЗ – 10 тысяч рублей (ст.13.11 КоАП).
Посмотрим другой закон – «О рекламе». Там тоже есть аналогичная статья 18 («Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено»). От статьи 15 152-ФЗ ее отличают возможные последствия нарушений часть 1 статьи 14.3 КоАП «Нарушение законодательства о рекламе» предусматривает штраф на юрлиц от 100 до 500 тысяч, причем если смс пришло много, и пожаловался в УФАС десяток человек – штрафов тоже будет 10, каждый на сумму из этого диапазона. А для банков в этой статье КоАП есть специальная часть 6: «Распространение кредитной организацией рекламы услуг, связанных с предоставлением кредита или займа, пользованием им и погашением кредита или займа, содержащей хотя бы одно условие, влияющее на его стоимость, без указания всех остальных условий, определяющих полную стоимость кредита (займа) для заемщика и влияющих на нее» с диапазоном штрафов от 300 до 800 тысяч и аналогичным отношением к количеству жалоб.
При этом закон «О рекламе» создает широкое поле для правоприменения этих норм и квалификации административных правонарушений по ним. Помимо упомянутой выше статьи 18, здесь и части 7 и 7.1 статьи 5 «Общие требования к рекламе», соответственно:
«7. Не допускается реклама, в которой отсутствует часть существенной информации о рекламируемом товаре, об условиях его приобретения или использования, если при этом искажается смысл информации и вводятся в заблуждение потребители рекламы»;
«7.1. В рекламе товаров и иных объектов рекламирования стоимостные показатели должны быть указаны в рублях, а в случае необходимости дополнительно могут быть указаны в иностранной валюте».
Есть и специально для этих случаев предназначенная статья 28 «Реклама финансовых услуг», три части которых дают возможности «пострадавшему» размахнуться широко:
«1. Реклама банковских … и иных финансовых услуг должна содержать наименование или имя лица, оказывающего эти услуги»;
«2. Реклама банковских … и иных финансовых услуг не должна…» с подробным перечислением того, чего делать нельзя;
«3. Если реклама услуг, связанных с предоставлением кредита, пользованием им и погашением кредита, содержит хотя бы одно условие, влияющее на его стоимость, такая реклама должна содержать все остальные условия, определяющие фактическую стоимость кредита для заемщика и влияющие на нее».
А есть еще в статье 5 и «некорректные сравнения рекламируемого товара с находящимися в обороте товарами, которые произведены другими изготовителям», и недопустимость использования «бранных слов, непристойных и оскорбительных образов, сравнений и выражений», и использование в рекламе изображения процесса курения, и много еще чего.
Букв получилось уже много. В следующем посте перейдем от теории к практике – примерам привлечения банков к ответственности за нарушения перечисленных требований закона во всем их многообразии. Завтра, надеюсь, успею. 

24 января 2017 г.

Облака Oracle, безопасность и законодательство о персональных данных

2 февраля в «Swiss отель Красные холмы» пройдет мероприятие «Oracle Cloud Security Day: технологии на страже бизнеса», посвященное новой стратегии компании Oracle Cloud и выводу соответствующих ей решений на российский рынок. А какое может быть обсуждение облачных вычислений без темы персональных данных? Конечно, никакое!
Меня пригласили рассказать про использование облачных технологий и защиту персональных данных в свете требований российского законодательства. Андрей Дроздов из KPMG раскроет требования нового европейского регламента по защите данных. Тему почему-то слабо обсуждаемую у нас, хотя новые нормы коснутся многих российских компаний, не только работающих на территории Евросоюза, но и обрабатывающих сведения о гражданах ЕС на российских вычислительных мощностях.
Как следует из темы мероприятия, будет много всего про безопасность при использовании облачных технологий, от специалистов Oracle и Accenture.
Участие бесплатное. Зарегистрироваться пока еще можно здесь

11 января 2017 г.

Два законопроекта о самом главном в персональных данных: о контроле и надзоре и о штрафах

11 января Госдума во втором чтении приняла два долгожданных законопроекта: «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в части уточнения порядка осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных) и «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных).
Тексты законопроектов по сравнению с рассмотренными в первом чтении претерпели по объему незначительные, но весьма важные, даже принципиальные изменения.
В соответствии с первым из рассматриваемых законопроектов, уполномоченным органом по защите прав субъектов персональных данных теперь будет не федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, т.е. Роскомнадзор, а федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. Это вовсе не означает передачи этих функций от Роскомнадзора другому органу, но такая конструкция закона делает это вполне допустимым.
Что же это за орган контроля и надзора? Закон на этот вопрос не отвечает, но зато прямо и недвусмысленно возлагает на Правительство РФ обязанность установить порядок организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами.
Последствия и смысл разделения контрольных функций на две части: (1) организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями и (2) организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами пока не ясны, но как обычно, это неспроста.
Обратите внимание, что за 10 лет действия закона в нем впервые в качестве субъекта правоотношений появляется индивидуальный предприниматель. До принятия нового закона регулировались отношения с юридическими и физическими лицами, но не с ИП.
Незаметно, но радикально изменилась область контроля и надзора. Если ранее это было соответствие «обработки персональных данных требованиям настоящего Федерального закона», т.е. 152-ФЗ «О персональных данных», то теперь – соответствие «обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Чувствуете разницу? Законодательству в целом, а не конкретному закону.
Это должно положить конец ведущимся давно спорам о правомерности проверки Роскомнадзором, например, требований статей 86 и 88 Трудового кодекса, но вступает в коллизию с нормой Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: недопустимостью проведения в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. Но мы же помним, что с 1 сентября 2015 года 294-ФЗ не применяется при осуществлении контроля и надзора за обработкой персональных данных. Кстати, эта норма тоже уточнена законопроектом и дополнена словом «государственного».
Правда, в новой части 1.1 статьи 23 152-ФЗ далее указывается, что уполномоченный орган «обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием содержания обработки персональных данных и способов их обработки требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных)». Как это должно соотноситься с соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, совершенно непонятно.
К сожалению, как это часто бывает, тексты законов с каждой новой поправкой становятся не прозрачнее и понятнее, а запутаннее и сложнее.
Из новой редакции статьи 13.11 КоАП РФ, получающей новое название «Нарушение законодательства Российской Федерации в области персональных данных», ко второму чтению исчезла часть 3, предусматривавшая самое суровое наказание, штраф до 300 тысяч рублей для юрлиц, за «обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных». Теперь такого самостоятельного состава административных правонарушений нет совсем. Почему – для меня загадка, но, наверное, законодатели что-то знают неизвестное остальным.
Сравнивать тесты статьи 13.11, подготовленные к первому и второму чтению, смысла не вижу, а то, что принято во втором чтении – коротко в таблице ниже.
№ части статьи
Состав административного правонарушения
Штраф для юрлиц
1
Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи
30 - 50 тысяч рублей
2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных
15 - 75 тысяч рублей
3
Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных
15 - 30 тысяч рублей
4
Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
20 - 40 тысяч рублей
5
Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
25 - 45 тысяч рублей
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
25 - 50 тысяч рублей
7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ обязанности по обезличиванию персональных данных, либо несоблюдение установленных требований или методов по обезличиванию персональных данных
3 - 6 тысяч рублей – только для должностных лиц
В целом все вполне ожидаемо после первого чтения, кроме упомянутого выше исключения ответственности за неправомерную обработку спецкатегорий и, наоборот, сохранение ответственности для чиновников за невыполнение требований по обезличиванию – на мой взгляд, совершенно не рабочий состав.
Из особенностей – наличие негативных последствий для субъекта как основание для привлечения к ответственности нарушителя предусмотрено только частью 6 статьи, в остальных случаях их наступление значения не имеет.
Новая конструкция статьи 13.11 с семью составами правонарушений может привести к принципиальному изменению надзорной практики. Теперь, если у оператора будет выявлено 50 нарушений, каждое из них может быть квалифицировано отдельно, по каждому – составлен протокол и наложен штраф, суммарно весьма внушительный и фактически неограниченный. Наличие в действующей статье одной общей нормы: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» таких действий не предусматривает.  
И ожидаемое – статья 13.11 переходит в ведение Роскомнадзора, включая возбуждение административных дел по составам правонарушений, предусмотренным этой статьей, и соответственно, исключение этой статьи из полномочий прокуратуры.
Законопроектами предполагается, что изменения, касающиеся контроля и надзора, вступят в силу 1 марта 2017 года, изменения в КоАП РФ – 1 июля.  
Учитывая, что в третьем чтении принципиальных изменений в законопроект внесено не может быть, готовимся. Я думаю, третье чтение пройдет в ближайшее время.

28 декабря 2016 г.

С новым 2017 годом!

Уважаемые друзья, коллеги, заказчики, партнеры!

С наступающим Новым годом! Пусть на смену сложному високосному с его проблемами, драмами и потерями придет простой 2017! Удачи, сил, здоровья, позитива и поддержки. Мы с вами - Консалтинговое агентство "Емельянников, Попова и партнеры"

23 ноября 2016 г.

Новый закон о коллекторах. Часть 2. Про проблемы

Продолжаем разбираться с коллекторским или антиколлекторским законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности…» (начало см. здесь и здесь).
Бо́льшая часть положений нового закона должна заработать 1 января 2017 года. Но что-то мне подсказывает, что этого скорее всего не произойдет, и перед новым годом Думе придется срочно вносить в закон поправки по срокам.
Что подсказывает? Самая главная подсказка – это отсутствие сегодня, 23 ноября, чуть более чем за месяц до вступления закона в силу, федерального органа исполнительной власти, уполномоченного Правительством Российской Федерации осуществлять ведение государственного реестра коллекторов, контроль (надзор) за деятельностью коллекторов, включенных в государственный реестр.
Проект постановления Правительства был разработан еще в июле и предполагал, что соответствующие функции будут возложены на Федеральную службу служебных приставов в связи с тем, что «цели осуществления деятельности по возврату просроченной задолженности корреспондируют с целями исполнительного производства», как сказано в пояснительной записке. Однако документ до сих пор не принят, судя по всему – из-за расхождения мнений Правительства и Службы относительно размера финансирования, необходимого для исполнения новой функции. В пояснительной записке к законопроекту, как обычно в последнее время, было указано, что его исполнение не требует дополнительного финансирования, а ФССП считает, что для реализации новых полномочий ей необходимо примерно 650 млн рублей, из них более 150 – на развитие ИТ-инфраструктуры, необходимой для ведения реестра коллекторов.
На реестр коллекторов завязаны многие нормы закона, но есть и другие проблемы, пути решения которых не очевидны. Вместе с нашими заказчиками – банками и профессиональными взыскателями, мы в агентстве ищем и находим пути их решения. Вот некоторые из возможных проблем.
1.       Что делать банкам, которые до конца годы планировали заключить новые договоры агентирования и цессии, если реестра коллекторов еще нет? И что им делать, если после принятия решения о порядке ведения реестра коллекторы, с которыми заключены договоры, в реестр не попадут?
2.       Аналогичный вопрос возникнет и в ситуации, когда по каким-то причинам коллекторское агентство будет исключено из реестра.
3.       Статья 17 нового закона возлагает на профессионального взыскателя обязанность фиксировать в доказываемой форме все контакты с должником:
  • вести аудиозапись всех случаев непосредственного взаимодействия, предупреждать должника и иных лиц о такой записи в начале взаимодействия, а также обеспечивать хранение на электронных носителях аудиозаписей до истечения 3 лет с момента осуществления записи;
  • обеспечивать запись всех текстовых, голосовых и иных сообщений, передаваемых при осуществлении взаимодействия, направленного на возврат просроченной задолженности, по сетям электросвязи, в том числе подвижной радиотелефонной связи, и их хранение до истечения 3 лет со дня их осуществления;
  • обеспечивать хранение всех бумажных документов, составленных и полученных им в ходе осуществления деятельности по возврату просроченной задолженности, в бумажном и электронном виде до истечения 3 лет со дня их отправления или получения.

При этом статьи 4 и 7 весьма жестко ограничивают как способы взаимодействия, так и их количество. Например, допускается не более одной личной встречи с должником в неделю, а телефонных звонков – не более двух, да еще в строго определенное время (в рабочие дни с 8 до 22 часов, в нерабочие с 9 до 20).
В связи с этим возникает вопрос: а что это за средства фиксации контактов и отправлений, выдвигаются ли к ним какие-либо требования, если да – какие и кем? Как доказать, что зафиксированы все контакты и что делать, если должник настаивает, что их было значительно больше, но часть их них коллекторы не зафиксировали?
И, наконец, что делать, если должник решит разыграть следующий сценарий с целью привлечь коллектора к ответственности: купит пяток симок у вокзала, оформленных неизвестно на кого, попросит знакомых звонить по телефону и писать смс от имени коллекторов, и с этим пойдет в надзор жаловаться? 
Вопрос не праздный. С 1 января существенно изменяется статья 14.57 КоАП, предусматривающая наказание для коллекторов за нарушение требований закона № 230-ФЗ в виде штрафа до 500 тысяч рублей или административной приостановке деятельности на срок до 90 суток. 
4.       Еще одна проблема. Что делать банкам, если привлеченное по агентской схеме коллекторское агентство прекращает свое существование? Действует оно от имени, по поручению и за счет банка, т.е. в терминах части 3 статьи 6 закона «О персональных данных» является лицом, осуществляющим обработку персональных данных по поручению оператора-банка. Ответственность перед субъектом персональных данных за действия коллекторов в этом случае несет банк, как определено частью 5 той же статьи. И вот субъект обращается с жалобой или иском к банку по поводу действий коллекторов. Коллекторов уже нет, нет и записей контактов и отправлений должнику. Как банку доказывать свою добросовестность?
Есть другие вопросы и проблемы, которые надо решить заранее, до вступления в силу закона, такие, как действия банка и коллектора при отказе должника от взаимодействия, ограничения на количество привлекаемых взыскателей, оповещение должника о привлечении коллекторов к взысканию и цессии и др. Закон при детальном рассмотрении оказался еще более сложным и непроработанным, чем казалось при его первом прочтении и изучении.
Но мы с нашими клиентами работаем и следим за практикой и изменениями.

11 ноября 2016 г.

О Больших пользовательских данных и блокировке LinkedIn – без эмоций

На прошедшей неделе произошли два очень важных события: 8 ноября прошла 7-я международная конференция «Защита персональных данных», которая традиционно патронируется Роскомнадзором, а 10 ноября Мосгорсуд отказал в удовлетворении апелляционной жалобы LinkedIn на решение Таганского районного суда о блокировке ресурса на территории Российской Федерации, принятое по иску Роскомнадзора в защиту неопределенного круга лиц-субъектов персональных данных.
Прежде, чем говорить о значении этих событий и последствиях того, что на них было озвучено, хотел бы отметить, что и в этом году пленарное заседание конференции «Защита персональных данных», на котором выступали представители госорганов, оказалось гораздо интереснее остальных двух его панелей, больше походивших на уютную домашнюю дискуссию очень хороших людей, согласных со всеми предыдущими выступающими, и рассказывающих об очень милых ситуациях, разрешенных или решаемых в их странах силами уполномоченных органов по защите прав субъектов персональных данных. На мой взгляд, это очень нетипичная ситуация для российских конференций, когда зачитывание формальных приветствий высоких должностных лиц и выражение спонсорами благодарности поучаствовать в мероприятии за их же деньги съедает полтора-два часа рабочего времени конференций.    
А теперь по делу. Не хочу и не буду рассуждать на тему, хорошо или плохо, правильно или неправильно, законно или нет то, что мы услышали в эти два дня. В этом никакого смысла нет. Просто обозначу ту систему координат для сферы обработки персональных данных, в которой нам всем, как работающим в России, так и в России не присутствующим, но желающим работать с россиянами, предстоит жить в ближайшее время (как долго? до изменения системы координат – читай законодательство и следи за правоприменением) и тот набор констант, который определяет эту систему координат.
1.       Государство в лице своих уполномоченных органов и специально созданных под эту проблему институтов заявило, что под контроль надо поставить не только персональные данные всех живущих в России (данные, с помощью которых можно непосредственно идентифицировать, то есть установить личность), но и данные, которые сами по себе, без дополнительной информации, не могут быть соотнесены с конкретным субъектом (то есть обезличены – сведения об активности анонимного пользователя в сети, IP- и МАС- адреса, файлы-куки, особенности поведения в интернете, сведения о геолокации и т.п.), но путем сопоставления полученных из различных источников сведений позволяют их обладателю личность установить (Игорь Ашманов утверждал, что достаточно четырех разнородных источников).
2.       Эти сведения, названные коллективным разумом участников Большими пользовательскими данными, должны быть поставлены под контроль государства или уполномоченного им лица (оператора больших данных), для чего нужно принятие новых или корректировка уже принятых законов, поскольку существующих для реализации этих планов мало.
3.       Гражданин России не имеет права на распоряжение своими персональными данными. Он безответственен и неразумен, не читает грабительских и рабских пользовательских соглашений, не понимает своей выгоды и нарушения своих прав, поэтому его персональные данные – достояние государства, нефть новой экономики (Игорь Ашманов оценил их в 20 американских долларов за единицу реализуемого товара), и государство или уполномоченное им лицо будет этими данными распоряжаться – собирать, систематизировать, использовать и т.д. – см. пункт 2. Маленькая ремарка. Можно предположить, что, если бы россияне узнали, где за их сведения об активности в интернете можно получить 20 USD, очередь к покупателю выстроилась бы побольше очереди за бесплатными бумажными пакетами мировых брендов. И московская непогода, снегопады и ледяные дожди их бы не остановили. Но этот адрес нам пока не известен, так как в выступлении не был раскрыт.
4.       Исходя из изложенного в пункт 3, две ветви российской власти – исполнительная, в лице Роскомнадзора, и судебная, в лице районных и вышестоящих судов общей юрисдикции, будут и впредь блокировать доступ к ресурсам, где есть персональные данные россиян, и которые не перенесены на территорию Россию в соответствии с горячо и активно обсуждавшимися поправками, внесенными 242-ФЗ в статью 18 закона «О персональных данных». Исследовать вопрос, чьи конкретно права нарушены, в чем заключается нарушение, как использование сведений о посещении интернет-ресурса нарушает право на неприкосновенность частной жизни, и в чем оно заключалось, в ходе судебных разбирательств вовсе не обязательно. Достаточно того, что на такой позиции стоит уполномоченный законом орган по защите прав субъектов персональных данных. То, что субъект посещал ресурс свободно, по собственной воле и в собственном интересе (часть 1 статьи 9 закона «О персональных данных»), значения не имеет – субъект неразумен по определению – см. пункт 3.
5.       Такие походы государства и уполномоченных им лиц имеют определенную поддержку бизнеса, надеющегося получить свою долю пирога. Это, примерно, как с ЦОДами для размещения баз персональных данных россиян, импортозамещением и т.п. Кому война, а кому мать родна, что русскому здорово, то немцу смерть, ну и т.д.
6.       По всем этим поводам массовых протестов и одиночных пикетов не будет. Все ограничится соплями, слезами и виртуальными прощальными обнимашками в закрываемых соцсетях. В отличие от торрентов, искать способы обхода блокировок массово тоже не будут. Вся прелесть их использования для тотального общения после блокировки будет сведена на нет. Мне, например, ресурс, где сейчас хостится мой блог, Facebook или Twitter, после блокировки доступа с территории России будут абсолютно неинтересны. Как и я владельцам этих ресурсов.
7.        Жить по-старому иностранным компаниям в России точно не получится. Как и тем, кто хочет работать с россиянами (продавать что-то, распространять рекламу и т.п.). Тем более, что выступавшая на конференции Наталья Касперская сказала, что закон о территориальности исполняется плохо (ей, наверное, видней. Роскомнадзор недавно говорил совсем другое). Надо все-таки будет привести обработку персональных данных в соответствие российскому законодательству, разработать предусмотренные законом документы и принять предусмотренные им же меры обеспечения безопасности персональных данных, перенести первичные базы персональных данных (да-да, я знаю про отсутствие этого понятия в законах, но оно тем не менее есть), в которые собираются и в которых актуализируются персональные данные россиян, на территорию России. В заблокированной соцсети LinkedIn, похоже, после решения Мосгорсуда это быстро поняли: «Мы по-прежнему заинтересованы во встрече с Роскомнадзором, чтобы обсудить их запрос локализации данных».
8.       К защите прав субъектов все описанное выше никакого отношения не имеет. От слова «совсем». После выполнения описанного в пункте 7 все персональные данные можно вполне законно сливать передавать в информационные системы за рубежом, в том числе, и для продажи их по 20 долларов за штуку. Особенно подробно про это написано на сайте уполномоченного органа по выработке государственной политики в сфере персональных данных здесь  http://www.minsvyaz.ru/ru/personaldata/ и на сайте-общественной инициативы здесь http://pd-info.ru/, где особо подчеркивается «роль Роскомнадзора в данном проекте – как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями».
Вот так, примерно, все это видится.
Жаль, что за решением таких глобальных проблем на международной конференции «Защита персональных данных» не нашли отражения такие животрепещущие вопросы, волнующие, по нашим наблюдениям, очень многих операторов персональных данных, как использование веб-форм для сбора персональных данных и обеспечение при таком использовании соответствия закону, размещение информационных систем в облаках и коммерческих ЦОДах, необходимость на это согласия субъектов, способы его законного получения, обеспечение защиты данных, обрабатываемых в ЦОДах и облаках и распределение полномочий провайдера и оператора, использование международными и иностранными компаниями баз персональных данных материнских компаний за рубежом, в том числе тех, куда российские пользователи сами вносят свои данные, и многие другие.
Но, видимо, сейчас время для других вопросов – глобальных и стратегических.

17 октября 2016 г.

Новый закон о коллекторах. Часть 1, введение в проблемы

Провел два семинара по новому закону, регламентирующему коллекторскую деятельность – от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности…», о котором уже писал (о законе - здесь).
Готовясь ко второму мероприятию долго смеялся. Как раз накануне, 13 октября, на CyberCrimeCon/2016 был представлен отчет Group-IB, в котором была обнародована страшная цифра: общий объем хищений в российских банках в 2015 году от целевых кибератак составил 5,37 млрд рублей и вырос по отношению к прошлому периоду на 44%. Ужас-ужас.   В то же время в параллельном мире без кибератак 5 миллионов россиян бросили исполнять свои обязанности по кредитам и займам всех видов (потребительские, ипотека, авто и прочие), и заемщики, которые не платят уже более 90 дней по своим обязательствам, просрочили 780 млрд рублей из 1,3 трлн рублей общей задолженности россиян по кредитам. Что такое «не платят 90 дней и более»? Эти деньги перешли в категорию «неработающая ссуда» (NPL, Non-performing loan), то есть это те задолженности, по которым банк вряд ли увидит свои деньги. Сравните: 5,37 и 780. Это два порядка и еще полтора раза. И почувствуйте разницу.
Ситуация только усугубляется. На картинке – данные одного из крупнейших коллекторских агентств «Секвойя кредит консолидейшн» о структуре продаваемых банками долгов, опубликованные в прошлом году в «Ведомостях», перспектива возврата большинства которых безнадежна. Общий объем продаваемого портфеля такой «безнадеги» на начало 2016 года – примерно 440 млрд рублей. Дисконт при продаже – 99-99,5% номинала. Выводы делайте сами.
Есть и еще один неприятный сюрприз для всех нас. В тот же день, когда был подписан закон № 230-ФЗ, был принят и еще один закон, № 360-ФЗ, внесший изменения, в том числе, в «Основы законодательства Российской Федерации о нотариате». Теперь вместо бланкетной нормы статьи 90 «Перечень документов, по которым взыскание задолженности производится в бесспорном порядке на основании исполнительных надписей, устанавливается Правительством Российской Федерации, если иное не предусмотрено настоящими Основами для совершения исполнительных надписей по отдельным видам обязательств», появился конкретный перечень, в который попали нотариально удостоверенные сделки, устанавливающие денежные обязательства или обязательства по передаче имущества и (внимание!) кредитные договоры при наличии в них или дополнительных соглашениях к ним условия о возможности взыскания задолженности по исполнительной надписи нотариуса.
Перевожу. Если в кредитном договоре такое условие есть (а нормальные банки срочно начнут их теперь включать и склонять к заключениям доп. соглашений), а обязательства должником не исполняются, банку достаточно пойти к нотариусу, получить исполнительную надпись и с ней двигать к судебным приставам. Никакого судебного решения не нужно. Приставы обязаны начать исполнительное производство, то есть найти где-то в другом банке и списать в пользу кредитора долги заемщика или арестовать его имущество для обеспечения возврата долга.
Почему это плохо для всех нас? Я уже не раз писал и выступал на тему плохих кредитов, полученных по копии паспорта в результате сговора банковских агентов со злоумышленниками (например, здесь). Теперь ситуация становится более безнадежной.
Не надо судов. Человек, отдавший паспорт на ксерокопирование или сканирование при посещении бизнес-центра или заселении в гостиницу, узнает, что с него списали неизвестный ему долг с процентами и штрафами. По-видимому, первым делом он обращается в свой банк, в котором произошло списание, и узнает, что это сделано судебными приставами по исполнительному листу. Далее он обращается к судебным приставам, которые ему сообщают о задолженности по кредиту в неизвестном ему банке, подтвержденной исполнительной надписью нотариуса, в соответствии с которой списание денег происходит в бесспорном порядке. А затем – квест, в результате которого надо добиться признания договора кредитования поддельным и каким-то способом вернуть деньги, уже переведенные их получателем – банком-псевдокредитором на какой-то другой счет.
Еще раз вынужден написать: без принятия закона, содержащего закрытый перечень случаев допустимого копирования основного документа, удостоверяющего личность, и введения очень жестких санкций не только за его нарушение, но и за попытку нарушения (например, истребование паспорта для копирования без достаточных оснований, попытку получить в залог, как у нас часто любят делать на конференциях при выдаче прибора для приема синхроперевода и т.п.) проблему не решить. Она только разрастается.
Про сам новый закон и порождаемые им проблемы – в следующем посте. Большие тексты сегодня не в почете.

10 октября 2016 г.

14 октября: Как общаться с должником и не нарушить закон

А знаете ли вы, что:
·         Общая задолженность россиян банкам на конец 2015 года - 11 трлн рублей.
·         Количество должников – 40 млн человек.
·         В состоянии обслуживать свои долги — только 8 млн человек.
·         Просроченная задолженность по кредитам – 1,3 трлн рублей.
·         Не выполняют свои долговые обязательства – более 5 млн человек.
·         25% закредитованных заемщиков обслуживают сразу два займа, 18% — три и более.
·         Заёмщики, которые не платят банкам более 90 дней, просрочили 780 млрд из 1,3 трлн рублей.
·         В срок не обслуживается каждый пятый кредит, а каждый десятый - безнадёжен.
Статистика пугающая и выглядит еще более мрачной на фоне «расстрельных троек» банков, лишенных лицензий, которые появляются практически каждую неделю.
С долгами надо что-то делать. Но не бросать коктейли Молотова в детские кроватки и не писать о кредиторах на стенах подъездов.
Наконец-то принят Федеральный закон от 03.07.2016 № 230-ФЗ, регламентирующий коллекторскую деятельность, о котором я уже писал.
Закон – не самый простой для понимания и восприятия. Поэтому мы вместе с Учебным центром «Информзащита» 14 октября и поможем разобраться в его хитросплетениях, причем совершенно безвозмездно, то есть бесплатно J. Но при условии обязательной предварительной регистрации на сайте Учебного центра.
О чем будем рассказывать? Вот о чем:
·         Общая ситуация с просроченной дебиторской задолженностью в России.
·         Взаимодействие кредитора и взыскателя долгов с должником.
·         Передача третьим лицам сведений о должнике и согласие должника.
·         Обязанности лиц, взыскивающих долги.
·         Отказ должника от взаимодействия с кредитором и взыскателем.
·         Обращение кредитора и взыскателя к третьим лицам для взыскания задолженности и условия такого обращения.
·         Требования к коллекторам и их обязанности.
·         Ответственность за несоблюдение требований закона при взыскании задолженности.
Кому это может быть интересно? Безусловно, банкам и коллекторским агентствам (теперь они называются лицами, осуществляющими деятельность по возврату просроченной задолженности в качестве основного вида деятельности и должны быть включены в специальный реестр). Но не только им. Поскольку закон принят в целях защиты прав и законных интересов физических лиц и устанавливает правовые основы деятельности по возврату просроченной задолженности физических лиц, возникшей из денежных обязательств, то им должны руководствоваться операторы связи, предприятия ЖКХ и иные организации, взыскивающие дебиторскую задолженность с населения.
Так что милости просим на регистрацию и вебинар. Он уже совсем скоро.