Законна ли передача банком личных данных третьим лицам?

Порядок отзыва согласия на обработку персональных данных

Законна ли передача банком личных данных третьим лицам?

Скачать бланк отзыва согласия на обработку персональных данных

Скачать заполненное заявление на отзыв согласия на обработку персональных данных

Скачать образец заявления на отзыв персональных данных из банка в 2019 г.

Скачать образец запрета на обработку персональных данных

Когда требуется отзыв данных

Как правило, необходимость отменить согласие на использование личных сведений возникает, когда речь идет о передаче их третьим лицам. Например, сотрудник по каким-либо причинам больше не желает, чтобы информация о нем размещалась на сайте компании или употреблялась в рекламных материалах.

В другом случае соискатель на вакантную должность может передумать участвовать в конкурсе и запретить передачу данных в службу безопасности. Нередко клиент какой-либо организации хочет отказаться от получения рассылки смс или электронных писем. Наиболее злободневной ситуацией является предоставление коллекторам личных сведений о заемщике банка.

Один из способов, которым можно попытаться себя обезопасить, — отозвать разрешение на обработку персональных данных.

Что говорит закон

Возможность и порядок отзыва согласия на обработку персональных данных описаны в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». Рассмотрим, какие наступают последствия отзыва согласия на обработку персональных данных.

После получения заявления о запрете использования личных сведений оператор обязан прекратить работу с данными и, если это возможно, обеспечить их уничтожение. Срок, в который оператор должен выполнить настоящее обязательство, в соответствии с п. 5 ст.

21 закона № 152-ФЗ, не превышает тридцати дней. Но Федеральный закон накладывает определенные ограничения на отзыв разрешения на обработку информации.

Например, оператор, невзирая на получение отзыва разрешения, обрабатывает и передает данные, если это необходимо для свершения правосудия (п. 2 ч. 2 ст. 11 152-ФЗ) или защиты жизни (здоровья) субъекта (п. 6 ч. 2 ст. 11 152-ФЗ).

Кроме того, работа с информацией продолжается независимо от отмены разрешения для обеспечения пенсионных выплат, уплаты налогов, обязательного медицинского и социального страхования.

Как написать заявление об отзыве персональных данных

Для того чтобы отозвать разрешение на использование персональных данных, достаточно направить оператору соответствующее заявление – это единственный способ, как отозвать персональные данные, предусмотренный законом. Заявление пишется в свободной форме, рекомендуется указать в нем следующие моменты:

  • полное наименование организации;
  • юридический адрес, а также фактический адрес отделения, если речь идет о банке;
  • данные заявителя: ФИО, паспортные данные, адрес регистрации;
  • ссылка на законодательные акты.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя. Если заявление направляется в банк, к нему следует приложить ксерокопию паспорта и кредитного договора.

Как организовать уничтожение персональных данных

После того, как оператору от владельца поступит отзыв согласия на обработку, у него есть определенное время для того чтобы организоваться и уничтожить сведения об их владельце.

Уничтожение персональных данных – это такие действия оператора, в результате которых материальные носители с этими сведениями либо полностью уничтожаются (бумага) либо, если сведения хранятся на машинах, они стираются чтобы было невозможно восстановить исходники (см. подпункты 3, 8 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ).

Срок уничтожения

Время для исполнения Основание для ликвидации Ссылка на норму Федерального закона от 27.07.2006 № 152-ФЗ
7 рабочих днейПри представлении субъектом ПД или его представителем сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработкичасть 1 стать 14, часть 3 статьи 20
10 рабочих днейПри выявлении незаконной обработки ПД, если невозможно обеспечить ее правомерностьчасть 3 статьи 21
30 рабочих днейПри достижении цели обработки ПДчасть 4 статьи 21
30 рабочих днейПри отзыве субъектом ПД согласия, если их сохранение более не требуется для целей обработкичасть 5 статьи 21

Нюансы

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного таблице выше, оператор обязан заблокировать эти сведения и в срок не превышающий 6 месяцев уничтожить их, если иной срок не установлен иным законом (см. часть 6 стать 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Последние инициативы

1 августа 2019 года Минкомсвязи подготовило проект изменений в Федеральный закон от 27.07.2006 № 152-ФЗ. Нововведения касаются порядка уточнения требований к уничтожению персональных данных.

Так, статья 21 Федерального закона от 27.07.2006 N 152-ФЗ устанавливает обязательство оператора по устранению нарушений закона, допущенных при обработке ПД, в том числе, по уничтожению ПД.

Однако, указанная норма не содержит требований к уничтожению самих данных.

В целях устранения указанной коллизии Минкомсвязи предложило дополнить стать 21 частью 7 следующего содержания:

“Уничтожение персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.”.

По мнению чиновников, изменение направлено на устранение коллизии в отношении уничтожения персональных данных, и на исключение возможности разносторонней трактовки понимания действий, подтверждающих со стороны оператора факт уничтожения персональных данных.

Как организовать работу с персональными данными на предприятии, видео

Источник: https://clubtk.ru/poryadok-otzyva-soglasiya-na-obrabotku-personalnykh-dannykh

Не единым фронтом — PRAVO.UA

Законна ли передача банком личных данных третьим лицам?
Существует достаточное количество уникальных комбинаций имени и фамилии граждан, при знании которых можно безошибочно идентифицировать человека

Юристы должников банков придумали оригинальный способ противодействия коллекторам — иск о признании недействительным договора между банком и коллектором на том основании, что банк без разрешения должника передал коллекторам его персональные данные.

Реестр судебных решений Украины содержит множество решений судов первой и апелляционной инстанций в подобных спорах, но на уровне Высшего специализированного суда Украины по рассмотрению гражданских и уголовных дел (ВССУ) их можно пересчитать на пальцах одной руки.

Передай дальше

Начало практике положило определение ВССУ от 19 апреля 2013 года по делу № 6-6758св13.

Гражданин обратился в суд с требованием признать неправомерными действия банка по передаче его персональных данных третьим лицам (коллекторам), Суды первой и апелляционной инстанций согласились с истцом и удовлетворили иск.

ВССУ отклонил кассационную жалобу коллекторской фирмы, указав, что часть 2 статьи 14 Закона Украины «О защите персональных данных» содержит исчерпывающий перечень оснований, позволяющих обрабатывать персональные данные без согласия их субъекта, потому действия банка были незаконными.

К сожалению, коллеги по Судебной палате по гражданским делам ВССУ не обратили внимания на столь прогрессивную позицию и при рассмотрении аналогичного дела через полтора года заняли абсолютно противоположную позицию.

Две судебные инстанции отказали в удовлетворении иска по делу № 757/1478/14-ц, а ВССУ своим определением от 1 октября 2014 года поставил точку в деле, тоже отказав истцу.

По обыкновению банк заключил с коллекторами договор поручения и передал им персональные данные должника — своего клиента. Истец требовал признать договор поручения частично недействительным, а действия банка по передаче его персональных данных — незаконными, добиваясь запрета на их совершение.

ВССУ внимательно рассмотрел кредитный договор и обнаружил в нем условие, в соответствии с которым должник дал согласие на сбор, хранение, использование и распространение информации о заемщике через конкретное бюро кредитных историй для формирования кредитной истории заемщика.

Примечательно, что суды обратили внимание на норму части 1 статьи 16 Закона Украины «О защите персональных данных», согласно которой порядок доступа третьих лиц к персональным данным определяется условиями согласия субъекта этих данных, которая предоставлена владельцу базы данных.

Следовательно, принимая во внимание указанную норму, суды не должны были толковать согласие заемщика на предоставление своих данных в бюро кредитных историй таким образом, что это согласие распространяется на любых третьих лиц, которым банк захочет предоставить данные о должнике.

Но ВССУ решил, что оспариваемый договор поручения не нарушает права истца, поскольку не может рассматриваться как предоставление и распространение конфиденциальной информации без согласия истца в понимании абзаца 8 статьи 2 Закона Украины «О защите персональных данных». Суды решили, что раз стороны договора поручения согласовали условия о конфиденциальности, которая якобы направлена на защиту персональных данных должника, то условия согласия соблюдены.

Спустя две недели в аналогичном деле ВССУ определением от 16 октября 2014 года отказал в открытии кассационного производства по жалобе на решения низших инстанций, тем самым подтвердив незаконность передачи персональных данных клиента банка третьим лицам.

Банк заключил договор с гражданином-заемщиком, в котором не было условия о согласии клиента на передачу персональных данных третьим лицам. Очевидно, заемщик не возвращал кредит, потому банк по традиции привлек два коллекторских агентства и передал им персональные данные гражданина-должника.

Должник обратился в суд и три инстанции удовлетворили исковые требования, защитив право гражданина на контроль обработки своих персональных данных.

ВССУ признал, что банк неправомерно передал третьим лицам персональные данные гражданина, а также информацию, которая является банковской тайной. Более того, суд дал оценку таким действиям, признав их нечестной предпринимательской практикой, и постановил взыскать с банка 3 000 грн в качестве компенсации морального вреда.

Обоснованием таких решений судов стал факт отсутствия у банка разрешения физического лица (клиента) на распространение информации, которая касается его лично и его отношений с банком.

Один из выводов коллегии ВССУ стоит процитировать: «Тайна личной жизни и нераспространение персональных данных являются основоположными принципами прав человека, а сохранение банковской тайны должно быть одним из принципов деятельности банка».

Согласно статье 355 Гражданского процессуального кодекса Украины, наличие определений ВССУ, которые демонстрируют неодинаковое применение норм материального права, является основанием для подачи в Верховный Суд Украины заявления о пересмотре судебного решения.

Идентифицировать личность

В рамках рассмотрения дел о защите персональных данных суды задаются вопросом: какой объем персональных данных о гражданине считается достаточным, чтобы идентифицировать его?

Согласно части 1 статьи 11 Закона Украины «Об информации», информацией о физическом лице являются данные о таком лице, которое идентифицировано или может быть конкретно идентифицировано.

Следует принять во внимание, что в решении Конституционного Суда Украины от 20 января 2012 года № 2-рп/2012 к персональным отнесены такие данные о человеке: национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное состояние, адрес, дата и место рождения, место проживания и пребывания, другие данные о личных имущественных и неимущественных отношениях этого лица с другими лицами, в частности с членами семьи, а также информация о событиях и явлениях, которые происходили или происходят в бытовой, интимной, дружеской, профессиональной, деловой и других сферах жизни человека.

В рамках иска граждан к Укрзализнице о незаконной обработке персональных данных при покупке билетов ВССУ указал, что не все данные о лице его идентифицируют, поскольку партийность, религиозность, национальность, пол, профессия, любые биометрические, социальные данные и даже адрес проживания по своей природе являются родовыми признаками и могут касаться одновременно многих людей. Но в случае соединения данных о лице с его именем и фамилией они должны считаться персональными данными.

ВССУ согласился, что исключительно имя и фамилия лица не являются персональными данными, поскольку по этим данным невозможно конкретно идентифицировать человека, а для идентификации конкретного лица по фамилии и имени необходимы дополнительные данные о нем (определение Апелляционного суда г. Киева от 20 мая 2014 года по делу № 757/24796/13-ц, определение ВССУ от 16 июля 2014 года).

Позволим себе не согласиться с таким утверждением, поскольку существует достаточное количество уникальных комбинаций имени и фамилии граждан, при знании которых можно безошибочно идентифицировать человека.

Судебная практика заставляет проявлять изобретательность для достижения целей защиты прав, и вышеизложенная практика ВССУ — яркое тому подтверждение. Она демонстрирует, как защита персональных данных из цели превратилась в средство — инструмент борьбы против коллекторов.

ТОМАРОВ Илларион — старший юрист МЮГ AstapovLawyers, г. Киев

Источник: https://pravo.ua/articles/ne-edinym-frontom/

Битва за персональные данные

Законна ли передача банком личных данных третьим лицам?

Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне

Драться – плохо. Но если дерешься – побеждай!

(из х/ф «Парень-каратист»)

Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:

«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»

И так с десяток звонков ежедневно, включая выходные.

Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:

«Еще раз спрашиваю, вы – Наталья Михайловна?»

Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.

Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.

Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.

Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.

Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных.

При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано.

Без него операторы1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.

Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие.

Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях.

Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.

Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:

  • если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».

В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.

Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами.

Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см.

, к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).

(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)

Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.

В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.

Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку.

Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации.

Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.

Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.

Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.

В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными.

Как минимум это бесконечные звонки из разных организаций.

Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.

Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.

Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания обработки данных;
  • цели и применяемые оператором способы обработки данных;
  • наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
  • обрабатываемые персональные данные и источник их получения;
  • сроки обработки данных, в том числе сроки их хранения;
  • информация об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.

После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.

Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.

Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.

«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.

1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).

Источник: https://www.advgazeta.ru/ag-expert/advices/bitva-za-personalnye-dannye/

Ваши права
Добавить комментарий