Сбор данных должников: аппетиты коллекторов незаконны

11:26, 25 сентября 2012
Газета: 37 (155)
Владелец БПД должен вести учет фактов предоставления работникам и лишения их права доступа к персональным данным
Сбор данных должников: аппетиты коллекторов незаконны
Следите за актуальными новостями в соцсетях SUD.UA

Закон Украины «О защите персональных данных» вступил в силу вначале 2012 г., а с 1 июля за его нарушение уже может наступать административная или уголовная ответственность. Особенности применения норм законодательства в работе с персональными данными компаний финансового сектора, взаимодействие с контролирующими службами, статусы коллекторов при обработке персональных данных – этими вопросами задаются как игроки рынка, так и простые украинцы. Эксперты в этой области попытались прояснить ситуацию на заседании круглого стола на тему: «Практический опыт проверок Государственной службой по защите персональных данных», который состоялся 18 сентября 2012 г.

Главным образом заседание было посвящено анализу результатов проверки сотрудниками Государственной службы по вопросам защиты персональных данных (далее – ГСЗПД) работы коллекторских компаний. На основании этих проверок специалистами службы были сделаны обобщения относительно наиболее часто встречающихся замечаний и ошибок. Кроме того, были сформулированы рекомендации по работе с персональными данными.

На заседании был обобщен первый практический опыт применения Закона «О защите персональных данных» №2297-VI от 01.06.2010, причем непосредственно в отношении основных участников рынка – коллекторских компаний и банков. Присутствие отдела контроля за соблюдением требований законодательства в сфере защиты персональных данных ГСЗПД в полном составе позволило присутствующим из первых уст получить актуальные рекомендации по работе с персональными данными, а также подробно познакомиться с результатами и выводами, сделанными на основании проверок, проведенных ГСЗПД в 2012 г.

О типовом порядке забыли?

В ходе заседания стало известно, что игроки рынка недостаточно изучают и анализируют законодательство в сфере обработки персональных данных. Так, никто из присутствующих не смог назвать нормативный документ, который определяет порядок типичных вопросов защиты персональных данных во время их обработки в автоматизированной системе или в форме картотек.

О Типовом порядке обработки персональных данных в базах персональных данных №3659/5 от 30.12.2011 всем напомнил глава Государственной службы по вопросам защиты персональных данных Алексей Мервинский. Порядок устанавливает общие требования к организационным и технических мерам защиты персональных данных при их обработке в базах. Согласно документу, обработка данных в информационной (автоматизированной) системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа. Работники владельца БПД должны допускаться к их обработке только после авторизации. Доступ лиц, не прошедших процедуру идентификации и/или аутентификации, должен блокироваться. Владелец базы персональных данных должен вести учет фактов предоставления работникам и лишения их права доступа к персональным данным и их обработке, а также попыток и фактов несанкционированных и незаконных действий по обработке персональных данных. При этом глава ГСЗПД отметил, что в отличие от документов относительно защиты информации в информационных и телекоммуникационных системах, этот порядок более либеральный. «Мы настоятельно рекомендуем изучить этот документ, поскольку усилия работников ГСЗПД нацелены на то, как он будет выполняться, – подчеркнул А. Мервинский. – Этот документ должен быть основным в вашей деятельности».

Сертификат – не гарантия

Далее глава ГСЗПД поднял вопрос относительно того, в полной ли мере порядок, утвержденный в коллекторских компаниях, охватывает все процедуры, предусмотренные в процессе обработки персональных данных. По его словам, процедуры – это все вопросы по обработке персональных данных в контексте Закона №2297-VI. Сюда относятся все манипуляции с персональными данными: сбор, регистрация, накопление, сохранность, адаптация, изменения, обновления, использование, распространение, обезличивание и уничтожение. Данный набор процедур требует тщательной разработки в условиях каждой конкретной компании, потому что везде есть своя специфика.

«Недавно проверка была во Львове, – рассказал г-н Мервинский. – У них свой программный продукт с собственным набором функций, и там есть четкие возможности по обработке персональных данных. В качестве подтверждения качества этого продукта Укрпатент был выдан соответствующий сертификат. Но хочу акцентировать внимание на том, что такие сертификаты не подтверждают, что выполняются все требования по обеспечению режима доступа, вопросам идентификации, аутентификации и пр. Они подтверждают, что продукт создан для того, чтобы обеспечить такие условия, но процедуры, которые осуществляются с использованием этого ПО, должны быть прописаны и понятны как для вас, так и для людей, которые в случае необходимости должны иметь возможность оценить уровень реализации тех или иных требований, которые реализует указанный продукт в соответствии со сферой защиты персональных данных».

Со статусами определились

Самым актуальным вопросом на сегодня является деятельность коллекторских компаний как субъекта правоотношений, связанная с защитой персональных данных. В частности, в каком статусе в сфере защиты персональных данных находится коллекторская компания, когда она предоставляет услуги банкам? Обязательно ли финансовые учреждения при передаче персональных данных должны предоставлять коллекторам статус распорядителя, или они остаются в статусе третьего лица?

По словам юристов ГСЗПД, коллекторская компания может выступать в качестве третьего лица только в том случае, если в кредитном договоре с лицом, которое в дальнейшем становится должником, предусмотрено, что банк имеет право передавать персональные данные клиента третьим лицам. Если такой пункт не предусмотрен, банковские учреждения могут выдавать коллекторам доверенность на представительство интересов банка или составлять договора-поручения, договора комиссии, договора отступления права требования по кредитному договору (операция по переуступке кредитором прав требования долга третьего лица новому кредитору). Тогда, согласно ст. 514 Гражданского кодекса Украины, к новому кредитору переходят права первоначального кредитора в объеме и на условиях, которые существовали на момент перехода этих прав, если иное не установлено договором или законом. Таким образом, в случае, если банк передает коллекторской компании персональные данные клиента по договору выкупа права требования, коллекторская компания будет выступать уже как владелец этих данных.

Но при этом есть один нюанс, который коллекторы должны учитывать. Согласно законодательству, они не обязаны оповещать должника о том, что им было уступлено право требования. Однако они ведут обработку данных должника в тех рамках, на которые он дал согласие банку. Если же коллекторской компании по каким-то обстоятельствам необходимо обрабатывать большее количество данных, чем те, на обработку которых банк имел согласие должника (т. е. придется дополнительно их собирать), коллекторы обязаны составить отдельный договор с должником и взять у него согласие на обработку этих данных.

Как правило, коллекторские компании работают на основании договоров поручения, но нередко осуществляют свою деятельность и лично от себя, по договору о предоставлении услуг. Возникает закономерный вопрос, имеет ли коллектор в таком случае статус третьего лица? По мнению экспертов, если есть факт обработки персональных данных, то одна сторона выступает их субъектом, а другая – распорядителем или владельцем. И если коллекторская компания действует от собственного лица, она является владельцем базы персональных данных, а не третьим лицом.

Таким образом, коллекторская компания самостоятельно определяет свой статус как субъекта, связанного с персональными данными, т. е. сама решает, является ли она владельцем, распорядителем или третьим лицом по отношению к предоставленным ей данным. Однако глава ГСЗПД подчеркнул, что в случае проверки коллекторы должны будут аргументировать, на каком основании определен именно такой статус, и указать правовые аспекты, которые предоставили возможность его определить.

Распорядитель или владелец?

По итогам дискуссии стало очевидно, что многие игроки рынка путаются в отношениях «распорядитель-владелец», в то время как ГКУ устанавливает практически исчерпывающий список этих отношений. Банк при заключении агентского договора, договора комиссии или договора услуг является владельцем полученных персональных данных. При передаче долга коллекторской компании право требования не переходит, однако переходит право обработки и регистрации персональных данных. В этом случае коллекторская компания, как и любые другие компании, является распорядителем базы данных, пользуясь данными, которые имеет владелец. В связи с этим у распорядителя относительно защиты базы данных должны быть обязательства. Прежде всего, цель обработки данных должна соответствовать той цели, которая была заявлена владельцем, а объем данных должен оставаться таким же, как определено договором.

В случае, когда уступаются права требования по договору (договор цессии), новый владелец долга является и новым владельцем персональных данных, и он должен либо зарегистрировать базу персональных данных, либо включить существующую базу данных в Государственный реестр баз персональных данных, если совпадают ее объемы и цель. Кроме того, в этом случае необходимо внести изменения в свидетельство о государственной регистрации или получить новое свидетельство.

При этом было отмечено, что согласно ст. 627 ГКУ, стороны являются свободными в заключении договора, выборе контрагента и определении условий договора с учетом требований этого Кодекса, других актов гражданского законодательства, обычаев делового оборота, требований разумности и справедливости. Таким образом, стороны могут на свое усмотрение предусмотреть, кто кем является.

«Свободен» ли договор?

Однако, обсуждая тему свободы договора, не все представители общественного совета при госслужбе по вопросам персональных данных были согласны с подобными доводами. В частности, руководитель секретариата общественного совета Дмитрий Йовдий отмечает, что в соответствии с гражданским законодательством, свобода договора ограничивается императивными предписаниями Закона №2297-VI. Исходя из этого, определять коллекторскую компанию при передаче ей данных как третье лицо-получателя этих данных, по его мнению, нецелесообразно. «Условия передачи персональных данных и статус сторон, которым передаются персональные данные, определяются не только условиями договора, но и императивными предписаниями Закона №2297-VI. Там есть четкое определение, кто такой владелец, распорядитель и третье лицо. Исходя из этого, когда персональные данные передаются коллекторской компании для осуществления определенных действий, которые предусматривают обработку этих данных по агентскому договору, договору поручения и пр., которые предусматривают действия владельца персональных данных, коллектор становится исключительно распорядителем базы персональных данных, но никак не третьим лицом», – уверен г-н Йовдий. По его словам, в данной ситуации лицо-получатель, которое общается с должниками, действует от имени владельца базы персональных данных.

Кроме того, эксперт отметил, что уже принят в первом чтении проект изменений в закон о защите персональных данных, который в частности, конкретизирует, кто такой распорядитель базы персональных данных. Согласно документу, им является лицо, которое действует от имени владельца базы персональных данных, и третье лицо в данной ситуации законопроектом не предусмотрено. Третье лицо обрабатывает базы персональных данных автономно и не действует по поручению и от имени владельца. А когда передаются персональные данные с правом требования, коллекторская компания имеет статус владельца со всеми вытекающими обстоятельствами.

Не согласен!

Коснулся эксперт и вопроса получения согласия при передаче данных, если это не предусмотрено условиями договора с должником. По его словам, в соответствии с разделом ГКУ «Обязательственное право», сторонами этого права являются должник и кредитор. Соответственно, обязательства сторон имеют личностный характер. Поэтому для того, чтобы одна сторона имела возможность требовать от другой выполнения этого обязательства, необходимо использовать все предусмотренные для этого законом средства. И если право требования перешло к другому кредитору, очевидно, что для того, чтобы требовать от должника выполнения обязательства, он должен иметь право использовать его персональные данные, даже если первично согласие на это не было предоставлено. По словам эксперта, данный вопрос также будет урегулирован новым законом о внесении изменений в закон о персональных данных. В частности, в законопроекте отмечено, что отдельным основанием для обработки персональных данных является необходимость выполнения сделки стороной или выгодоприобретателем, который является субъектом персональных данных. Т. е. здесь речь идет не о согласии, а о необходимости заключения сделки. Данная норма будет полностью охватывать отношения относительно получения согласия на обработку и защиты персональных данных.

Многие представители коллекторского бизнеса в Украине до сих пор не могут определиться с точным ответом, может ли коллекторская компания являться финансовым учреждением. Как было отмечено на заседании, согласно ст. 4 Закона Украины «О финансовых услугах и государственном регулировании рынков финансовых услуг», к финансовым услугам относится, среди прочего, факторинг (услуга по уступке дебиторской задолженности. – прим. ред.), в который входит и сбор просроченной задолженности с клиентов. Поскольку деятельность коллекторских компаний заключается в сборе задолженности, естественно, они могут считаться финансовыми учреждениями. В случае, если коллекторская компания декларирует себя как финансовое учреждение, она обязана предоставлять органу, осуществляющему проверку, свидетельство об этом.

Галочка в сети?

Рассматривался на заседании и вопрос о возможности уведомления об обработке персональных данных через интернет.

По словам Д. Йовдия, Министерство юстиции в своих рекомендациях указывает, что даже галочка напротив фамилии должника на соответствующих веб-ресурсах может считаться подтвержденной формой предоставления согласия на обработку персональных данных. Кроме того, законопроект, которым вносятся изменения в Закон «О защите персональных данных», содержит достаточно либеральное положение относительно формы получения согласия на обработку персональных данных – там предусмотрено, что оно осуществляется в письменной или любой другой форме, которая позволяет сделать вывод о факте ее предоставления. Фактически это переводит процедуру получения согласия в плоскость, где все риски полностью перекладываются на владельца базы персональных данных. Он может даже в устной форме получить согласие на обработку персональных данных, но в случае каких-то претензий и судебного разбирательства должен будет доказать, что это согласие действительно было получено.

В свою очередь, начальник управления юридического обеспечения Государственной службы Украины по вопросам защиты персональных данных Александр Беспалюк не согласен с такой постановкой вопроса и справедливо отмечает, что субъект персональных данных не обязан посещать те или иные сайты в поисках информации о себе. В конечном итоге эксперты сошлись во мнении, что хоть на законодательном уровне и не запрещено уведомлять и получать согласие на обработку персональных данных через интернет, целесообразнее все же это делать в письменном виде.

Сверх меры

Следует отметить, что большинство поступающих в ГСЗПД жалоб касаются чрезмерности использования персональных данных. Поэтому вопрос об объеме передаваемых данных также оказался очень актуальным: передаются только данные, которые предусмотрены договором, или надо получать от должника дополнительное согласие?

Согласно ст. 516 ГКУ, замена кредитора в обязательстве происходит без согласия должника, если иное не установлено договором или законом. Но здесь следует помнить, что если должник не был в письменной форме поставлен в известность о замене кредитора, новый кредитор несет риск наступления неблагоприятных для него последствий.

Специалисты отмечают, что существует еще и субъективный фактор, когда люди указывают не только свои персональные данные, но и других лиц, которые могут не только не давать согласия на это, но и не знать об этом. Такие данные остаются в анкетах или дополнениях к договору при получении кредита. «Возникает вопрос, может ли банк передавать эти данные коллекторской организации и может ли коллектор их использовать в своей работе? Исходя из положений закона о защите персональных данных, у этих контактных лиц необходимо получать разрешение на обработку их данных», – отметил главный специалист отдела правовой работы и международного сотрудничества ГСЗПД Вадим Красий. Но в любом случае обработка персональных данных не должна быть избыточной относительно определенной цели. Любое превышение объемов собранных данных ведет за собой административную и уголовную ответственность.

XX съезд судей Украины – онлайн-трансляция – день первый
Telegram канал Sud.ua
XX съезд судей Украины – онлайн-трансляция – день первый
Сегодня день рождения празднуют
  • Ростислав Москаль
    Ростислав Москаль
    суддя Львівського окружного адміністративного суду
  • Сергій Бурлаков
    Сергій Бурлаков
    член Вищої ради правосуддя, суддя Верховного Суду у Касаційному цивільному суді
  • Олена Петренко
    Олена Петренко
    суддя Кіровоградського окружного адміністративного суду
  • Юлія Філонова
    Юлія Філонова
    суддя Сумського апеляційного суду