На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

О рекомендациях по применению ФЗ «О персональных данных»

 

 

Владимир Кукушкин,

доцент Уральской государственной

юридической академии Bankir.Ru

18.05.2011 14:15


Участники отношений, регулируемых данным Законом, не обладают точной информацией о порядке его применения и исполнения.

Проблемам применения ФЗ «О персональных данных» (далее – Закон) было посвящено много публикаций, прошла уже не одна конференция. Вместе с тем, приходится констатировать, что проблемы не разрешены, а участники отношений, регулируемых данным Законом, не обладают точной информацией о порядке его применения и исполнения, в том числе – выполнения возложенных на них обязанностей. К числу таких участников относятся и кредитные организации, специфика деятельности которых требует большего внимания законодателя, когда речь идет о регулировании отношений, связанных с обработкой персональных данных. Хотя во многом проблематика будет актуальна и для иных субъектов, например, страховых компаний. Однако об этом, а также о существующих проектах по изменению Закона можно прочитать отдельно [1] .

Изменение Закона, причем кардинальное, необходимо. Однако в настоящее время каждый день следует исполнять этот Закон, поскольку он действует. И в этой связи принципиально важной следует признать работу по выработке общих подходов к решению существующих проблем применения Закона. Положительным примером такой деятельности следует признать организацию Ассоциацией российских банков Консультационнного центра по проблемам применения Закона [2] .

В настоящее время подготовлено и размещено на сайте АРБ уже четыре информационных письма, посвященных отдельным проблемам применения законодательства о персональных данных. Вместе с тем, по ряду вопросов трудно согласиться с авторами указанных писем.

В Информационном письме № 3 «О порядке хранения, архивирования и уничтожения информации о персональных данных в ИСПДн банков» в п. 3 указано следующее: «При уничтожении ПДн клиентов необходимо учитывать требования законодательства, в частности, сроки взаимной исковой давности, ФЗ-152 и др. До уничтожения данных, если срок их хранения будет превышать предусмотренный ФЗ-152, персональные данные могут блокироваться».

Указанное положение представляется слишком вольной трактовкой Закона. Под блокировкой понимается, согласно п. 6 ст.3 Закона, временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Между тем, необходимость хранения данных сверх срока, предусмотренного Законом, заключается в том, что данные, хранимые в силу требований иных нормативных актов, касающихся, например, архивного хранения, могут быть востребованы. Смысл же блокировки, как видно, иной. Кроме того, из тех норм Закон, где регулируется действия по блокировке, предлагаемого варианта поведения совершенно не следует [3] .

В большей степени вопросы возникают относительно Информационного письма № 4 «О частных случаях порядка применения ст. 9 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональьных данных». Данное письмо посвящено одному из наиболее спорных вопросов применения Закона - получению согласия субъекта персональных данных.

Предлагаемые рекомендации должны предоставлять какой-то однозначный, соответствующим образом мотивированный вариант поведения. Между тем, абсолютно верно указывая в п. 1 письма, что в случае заключения договора между банком и физическим лицом не требуется получать согласие последнего в силу п. 2 ч. 2 ст. 6 Закона, авторы письма далее пишут, что на практике банки все равно по ряду причин предпочитают получить такое согласие.

Банки абсолютно правы в своих действиях, поскольку неточности и недоработки Закона не позволяют пользоваться этой "льготой", но в чем же тогда ценность данной рекомендации?

Такой же характер рекомендации содержится и в п. 2 письма, где рассматривается вопрос о необходимости получения согласий от предпринимателей и должностных лиц организаций. Правильно ссылаясь на п. 3 ч. 2 ст. 1 Закона, которым установлено, что действие закона не распространяется на отношения по обработке персональных данных предпринимателей, подлежащих включению в госреестр, где также находятся и сведения о должностных лицах организаций, в связи с чем они являются общедоступными, авторы письма указывают, что банки все равно берут согласия у указанных лиц.

Банки вновь делают все правильно, поскольку не все необходимые им сведения и не все должностные лица организаций указаны в госреестре, но в чем же вновь ценность рекомендации?

Следует выразить категорическое несогласие с п. 4 письма. Здесь утверждается, что не требуется получать согласие третьих лиц при заключении договоров в их пользу, «поскольку третье лицо (выгодоприобретатель) не является стороной договора» и соответствущие права третье лицо получит в порядке, предусмотренном статьями 430 и 842 ГК РФ. Но ведь это противоречит уже рассмотренному п. 1 письма, где со ссылкой на Закон было правильно отмечено, что согласие субъекта персональных данных не требуется, в частности, в случае когда обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Третье лицо действительно не является стороной договора, и именно поэтому требуется его согласие при обработке его персональных данных. Предложенная идея о том, что в этом случае ответственность на себя берет лицо, заключающее договор с банком, во-первых, не находит подтверждения в Законе, а во-вторых – неинтересна банку, поскольку ответственность за нарушение Закона банк будет нести в любом случае, если не выполнит требования, содержащиеся в ч. 3 ст. 18 Закона, о предоставлении третьему лицу установленной информации (о себе, о целях обработки и пр.), что осуществить часто просто невозможно.

Неверное толкование п. 2 ч. 2 ст. 6 Закона привело к неточному обоснованию в целом верного ответа в п. 5 письма: «В случаях, когда по заключенному договору разовые платежи осуществляются третьими лицами в целях его исполнения, согласия третьего лица на обработку его ПДн также не требуется, что вытекает из п. 2 ч. 2 ст. 6 ФЗ-152». В данном случае ссылка на п. 2 ч. 2 ст. 6 Закона относится не к заключенному договору, во исполнение которого третье лицо производит платежи, а к самому платежу третьего лица. Указанный платеж представляет собой перевод денежных средств по поручению физического лица без открытия банковского счета. Выполнение такой операции, как известно, предусмотрено ст. 5 ФЗ «О банках и банковской деятельности», п. 1.2. Положения ЦБ РФ от 1.04.2003 № 222-П «О порядке осуществления безналичных расчетов физическими лицами в Российской Федерации». Нормы гражданского законодательства, в частности ст. 434 ГК РФ, позволяют заключать договор в любой форме, если это не противоречит закону. Таким образом, между третьим лицом и банком возникают договорные отношения, предметом которых является осуществление указанного платежа, а, следовательно, именно поэтому не требуется получать согласие третьего лица.

Полагаю, что такое критическое осмысление данной, однозначно положительной деятельности АРБ, должно принести пользу для выработки и систематизации мнений относительно разрешения проблем применения ФЗ «О персональных данных».

[1] См., напр.: Кукушкин В. Проблемы применения законодательства о персональных данных в банковской деятельности // Хозяйство и право. 2011. № 4. С. 79.

[2] http://www.arb.ru/site/action/list_news.php?id=4169 .

[3] Это можно увидеть, проанализировав п.3 и п. 6 ст. 3, п. 1 и п. 4 ст. 19, п. 3 ст. 20, п. 1 и п. 2 ст. 21, п.п. 3 п. 2 ст. 23 Закона.

 

Источник: Bankir.Ru

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru