26 февраля 2016 г.

Персональные данные на уральском банковском форуме

16-19 февраля в Магнитогорске прошел традиционный Уральский форум «Информационная безопасность финансовой сферы». Из множества традиционных тем, поднятых на форуме, остановлюсь только на одной. Тема персональных данных звучала неоднократно – в выступлении заместителя руководителя Роскомнадзора А.А. Приезжевой, на Круглом столе с регуляторами, который организаторы мероприятия пригласили меня модерировать, и, совершенно неожиданно – в ходе очень интересной презентации первого зампреда Банка России С.А. Швецова. Затронута она была и в выступлении сенатора Л.Н. Боковой, депутата И.Е. Костунова, который говорил о законодательном противодействии фишинговым сайтам.
Я уже отмечал в своем «прямом репортаже» в первый день форума, что выступление А.А. Приезжевой мне показалось весьма интересным и с точки зрения его оформления, и, самое главное, по существу поднятых в нем вопросов. Редко чиновники на таких мероприятиях, да еще в ходе официально-приветственной части, говорят по существу, прямо и с четкими оценками. Полностью презентацию можно посмотреть в блоге А. Лукацкого.
В выступлении, как обычно, было две новости для банков: плохая – о том, что на долю кредитных организаций (подозреваю, что сюда попали и коллекторы, но прямо это не услышал) устойчиво приходится 40-45% жалоб субъектов о нарушении их прав в сфере персональных данных. И хорошая – о том, что лишь 6-9% изложенного в жалобах подтверждается при их рассмотрении. Все-таки научились банки решать «бумажные проблемы» соответствия требованиям и правильно писать документы.
Значительная часть жалоб касается передачи персональных данных третьим лицам (в основном это, конечно, коллекторы), действий банков после отзыва согласия субъекта на обработку и, при исполнении условий договора или его расторжении. От себя: никак вкладчики-заемщики не могут уяснить, что банк не будет и не может уничтожать их данные после завершения действия договора и даже при отзыве согласия. Часть 4 ст. 7 «антиотмывочного закона» 115-ФЗ не разрешает: «Документы, содержащие сведения, указанные в настоящей статье, и сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет. Указанный срок исчисляется со дня прекращения отношений с клиентом». Более того, нарушение работником банка этого требования при определенных обстоятельствах может стать основанием для привлечения его к уголовной ответственности.
В отношении коллекторов. Из выступления я понял, что Роскомнадзор, в отличие от Роспотребнадзора, не ставит под сомнение возможность передачи персональных данных должника от банка коллектору без согласия заемщика в рамках цессии – уступки права требования долга. При привлечении же коллекторов в качестве агентов по взысканию просроченной задолженности наличие согласия на это субъекта в кредитном договоре должно быть обязательно, причем, по мнению Роскомнадзора, это согласие должник может отозвать, и тогда банк должен прекратить привлекать агента для взыскания долга именно этого субъекта.
К сожалению, задать вопросы Антонине Аркадьевне не удалось, поэтому приходится свое мнение высказывать в посте, поскольку я с этой позицией надзорного органа не согласен. Во-первых, здесь есть, на мой взгляд, прямой конфликт норм права законодательства о персональных данных и Гражданского кодекса РФ в части агентирования. Глава 52 Гражданского кодекса, которая так и называется – «Агентирование» (как и глава 49 «Поручение», кстати), не вводит обязанности принципала получать согласие на привлечение агентов у кого бы то ни было, в том числе – у физических лиц. А статья 15 закона «О потребительском кредите (займе)» прямо предусматривает возможность привлечения агента при взыскании долга и устанавливает его обязанности, однако стыдливо умалчивает о требованиях при заключении агентского договора и его существенных условиях. Кстати, появилась судебная практика, говорящая о том, что согласие должника на передачу его данных агенту не нужно, если при этом агентом не нарушается конфиденциальность персональных данных, а такие действия кредитора расцениваются как выполняемые для осуществления прав и законных интересов оператора - см., например, здесь и здесь.
Возможность отзыва субъектом согласия только на передачу его персональных данных третьим лицам – коллекторам и требования при получении такого согласия к банку обеспечить прекращение обработки коллекторами персональных данных должника, также не основано на законе и нарушает права банка. Отношения банка с должником являются длящимися, условия договора одной из сторон (должником) не выполнены, и должник вдруг в одностороннем порядке хочет изменить условия договора – возможность привлечения третьей стороны для взыскания долга, при этом долг не возвращает. Если бы он согласия на привлечения коллекторов не давал, то и кредит бы ему, скорее всего, не дали, так что это условие договора вполне может рассматриваться как существенное. Некоторые «добросовестные» заемщики идут еще дальше – они отзывают согласие на использование банком любых контактных данных, кроме почтового адреса. Мы с нашими клиентами постоянно эти ситуации разруливаем.
Во второй день на Круглом столе с регуляторами я задал крайне интересовавший меня (надеюсь, не только меня) вопрос, касающийся исполнения поручений Президента России по итогам первого российского форума «Интернет экономика» о представлении предложений в законодательство по регулированию обработки данных граждан Российской Федерации в сети интернет и внедрению единых подходов к проверке сведений, предоставляемых при банковском обслуживании, в том числе в сети интернет: «Какие дополнительные регуляторные меры нужны, что они должны затрагивать и регламентировать?».
Вторая часть вопроса особенно интересна в свете того, что в упоминавшуюся выше статью 7 115-ФЗ, определяющую порядок идентификации клиентов, только совсем недавно, в 2014 и 2015 годах, внесены изменения восемью Федеральными законами №№ 110-ФЗ, 149-ФЗ, 218-ФЗ, 484-ФЗ, 140-ФЗ, 210-ФЗ, 423-ФЗ, 424-ФЗ. С 27.12.2015 вступило в силу новое «Положение об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», утвержденное Банком России 15.10.2015 № 499-П. Каждое подобное изменение требует корректировки локальных документов банка, в первую очередь – касающихся внутреннего контроля, их прохождение по инстанциям долго и сложно. Вот я пытался выяснить, чего же в супе опять не хватает. Ответы ожидаемы, но не радуют: Роскомнадзор за выработку политики не отвечает, поэтому вопросы – в Минкомсвязь, пожалуйста. За идентификацию клиентов и 499-П отвечает банковский надзор, а его представителя на круглом столе не было.
Похожий по смыслу ответ получен и на обещанный мною ранее вопрос к Роскомнадзору: «В этом году запланированы проверки целого ряда банков, являющихся дочерними организациями крупнейших зарубежных банков - Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК». Считает ли Роскомнадзор сведения о движении средств по счету персональными данными, или эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований, установленных в 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Какова будут позиция надзорного органа при проверках?». Ответ – результаты проверок покажут. Следим.
И уж совсем неожиданным оказалось мнение Сергея Анатольевича Швецова, первого зампреда Банка России, которое, как мне показалось, коротко можно сформулировать так: «Конфиденциальность персональных данных в цифровом мире и эпоху интернета? Забудьте. Да и скрывать нечего».
В общем, как обычно, ждем результатов исполнения поручений Президента и правоприменительной практики. Никто легкой жизни не обещал.

3 комментария:

  1. Я с Вами согласен и тоже обратил внимание на "крамольность" высказываний Швецова С.А. по поводу обработки персональных данных (при этом в его докладе прозвучала отсылка к европейской практике). Ужесточая требования к ПДн для вступления в ВТО, мы опять пропустили разворот Европы в сторону смягчения этих требований (или изначально не так поняли и переложили на свою почву), диктуемых потребностями ведения бизнеса.

    ОтветитьУдалить
  2. Я вообще не понимаю на каком основании банк должен хранить персональные данные клиента при окончании срока действия договора, если они необходимы для правоохранительных органов, то пусть их и хранят они, а банк ОБЯЗАН все удалить

    ОтветитьУдалить
  3. Зря Вы так :-). Часть 4 ст.7 115-ФЗ "Документы, содержащие сведения, указанные в настоящей статье, и сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет. Указанный срок исчисляется со дня прекращения отношений с клиентом". Невыполнение - соучастие в преступлении (легализации и финансирование) - ст.с. 174 и 205.1 УК РФ

    ОтветитьУдалить