воскресенье, 27 августа 2017 г.

Судебная практика: Передача банком персональных данных третьим лицам


Вопрос о правомерности передачи персональных данных третьим лицам возникает достаточно часто, особенно часто предъявляются претензии банкам, которые используют услуги коллекторских агентств для возврата просроченных долгов.

Судебная коллегия по гражданским делам Московского городского суда в ноябре 2016 года рассмотрела дело № 33-46283, в котором гражданка просила суд обязать АО Банк «Русский стандарт» прекратить передачу и обработку ее персональных данных  (ПДн), уничтожить их и взыскать компенсацию морального вреда, а также расходов по оплате услуг представителя

Суть спора

Между банком и гражданкой был заключен договор потребительского кредита, но полностью возвратить суммы долга по кредиту, процентам по кредиту и пеням гражданка не смогла.

По ее мнению, банк, в нарушение норм действующего законодательства, без ее согласия, передал ее персональные данные другому лицу - ООО «Эверест», чем нарушил положения ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» и причинил ей нравственные и моральные страдания.

Позиция Симоновского районного суда г. Москвы

Симоновский районный суд г. Москвы в июле 2016 года установил, что при заключении договора гражданка сообщила банку свои персональные данные (фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессию, доходы, контактные телефоны, другую информацию), предъявила паспорт гражданина РФ, а также действуя по своей волей и в своем интересе, дала согласие на их обработку (в том числе, на сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение, распространение, передачу (включая трансграничную передачу), обезличивание, блокирование и уничтожение).

В соответствии с условиями договора (п. 12.10), такое согласие дается:
  • В отношении любой информации, относящейся к клиенту, полученной как от самого клиента, так и от третьих лиц включая: фамилию, имя, отчество, данные документа, удостоверяющего личность, гражданство, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, исполнение обязательств клиента по договору, договору залога, равно как и по иным договорам, заключенным между банком и клиентом;

  • Для целей исполнения договора и/или договора залога, осуществления обслуживания кредита и сбора задолженности (в том числе в случае передачи функций и/или полномочий по обслуживанию кредита и сбору задолженности любым третьим лицам), уступки, продажи, передачи в залог любым третьим лицам или обременения иным образом полностью или частично прав требования по договору и/или договору залога;

  • Для целей продвижения продуктов (услуг) банка на рынке, равно как продвижения совместных продуктов банка и/или продуктов (товаров, работ, услуг) третьих лиц - партнеров банка;

  • На срок жизни клиента;

  • Как банку, так и любым третьим лицам, которые в результате обработки ПДн клиента, уступки, продажи, передачи в залог или обременения иным образом полностью или частично прав требования по договору и/или договору залога получили ПДн клиента, стали правообладателями (в качестве цессионария, покупателя, залогодержателя или бенефициара обременения) в отношении указанных прав, а также агентам и уполномоченным лицам банка и указанных третьих лиц.
Суд отметил, что в своем заявлении гражданка также выразила согласие на «обработку всех своих персональных данных банком любыми способами, в том числе третьими лицами, включая осуществление сбора, систематизацию, накопления, хранение, обновление, уточнение (проверка), изменение, использование и распространение (включая передачу), в том числе воспроизведение, электронное копирование и трансграничную передачу с целью выпуска, обслуживания кредитных карт, для создания информационных систем ПДнбанка, а также в целях предоставления информации третьим лицам, которые по договору с банком осуществляют деятельность по обеспечению погашения должниками просроченной задолженности».

Банк заключил договор с ООО «Эверест», согласно которому агентство оказывает ему услуги по взысканию задолженности, а банк предоставляет исполнителю по специальному запросу формы кредитных договоров, используемые заказчиком при предоставлении заемщикам различных видов кредитов, в отношении которых оказываются услуги (п. 3.1 данного договора).

По мнению суда, учитывая, что гражданка в своем заявлении дала банку разрешение на использование ПДн, предоставленных в целях заключения договора, и согласилась на их обработку банком различными способами, при этом информация по кредиту была доведена до нее при заключении кредитного договора надлежащим образом, то оснований для удовлетворения заявленных ею требований у суда не имелось.

Кроме того, судом первой инстанции не было установлено нарушение банком неприкосновенности частной жизни истца в нарушение положений ФЗ РФ от 27.07.2006 № 152-ФЗ «О персональных данных», а также не представлено доказательств, подтверждающих факт передачи ответчиком ПДн об истце каким-либо иным третьим лицам.

Симоновский районный суд г. Москвы отказал в удовлетворении требований гражданина к АО Банк «Русский стандарт», ООО «Эверест» о обязании прекратить передачу персональных данных, взыскании морального вреда и судебных расходов.

Позиция Судебной коллегии по гражданским делам Московского городского суда

Судебная коллегия согласилась с выводами суда первой инстанции, отметив, что довод апелляционной жалобы гражданки о том, что 7 апреля 2015 года она направила в адрес банка заявление об отзыве своего разрешения на использование ПДн, которое было оставлено им без рассмотрения, не влечет отмену решения суда, так как согласия субъекта персональных данных на их обработку не требуется в случае, если обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн.

Судебная коллегия оставил без изменения решение Симоновского районного суда г. Москвы, а апелляционную жалобу гражданки без удовлетворения.

Мой комментарий: Меня впечатлил перечень «на все случаи жизни», которые банк получает от граждан, желающих взять кредит, особенно пункт «на срок жизни клиента». Как мне кажется, обработка персональных данных в таких случаях должна заканчиваться после погашения кредита, т.к. именно в этом случае достигается цель обработки ПДн и они, согласно требования закона, должны быть уничтожены.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=RAMSMARB;n=1175403

4 комментария:

  1. "обработка персональных данных в таких случаях должна заканчиваться после погашения кредита"
    тогда уж + срок исковой давности.
    А вообще, плохо, что действующий закон не предусматривает возможности частичного отзыва персональных данных - как отдельных персональных данных, которые не влияют на достижение целей обработки (например, номер телефона, эл.почты), так и неиспользование всех персональных данных в конкретных целях (например, как в вышеприведенном примере для целей продвижения продуктов (услуг), что явно далеко от кредитного договора).

    ОтветитьУдалить
    Ответы
    1. Можно вычеркнуть ненужное ) из согласия на обработку - Банк против не будет, клиенты дороже...

      Удалить
    2. "Банк против не будет, клиенты дороже..."
      Это вы ошибаетесь )) Говорю Вам как человек, имеющий судебный и административный опыт воздействия на банки.
      Типовые формы никто под одного человека менять не будет, особенно если они утверждены руководством банка. Общаетесь то Вы с менеджером, максимум руководителем отделения банка.
      Недаром даже ВС РФ признал клиента банка экономически более слабой стороной, требующей особой защиты.

      Удалить
  2. С моей точки зрения, чем сложнее будет устроено законодательство о персональных данных, тем хуже будет всем заинтересованным сторонам: одни не смогут эффективно работать, а другие всё равно не добьются реальной защиты их ПДн, - а получат лишь очень формальное «соответствие» требованиям.

    Помимо «накручивания» законодательно-нормативных требований, которые в какой-то момент становится нереально исполнить, есть и иной путь – очень жёстко наказывать (в пользу пострадавшего) за реально нанесённый утечкой или некорректным использованием ПДн ущерб, но при этом не мешать добросовестному использованию организациями персональных данных. Заодно, думаю, стоило бы сразу и надолго послать подальше новомодные европейские идеи типа «права быть забытым» :)

    ОтветитьУдалить