Уж если власти и пекутся о защите информации о наших согражданах, особенно когда речь идет об «отказниках», то, наверное, в первую очередь свой взор следует устремить не на банковскую или иную профессиональную тайну, а на Федеральный закон «Об информации, информатизации и защите информации» (далее для краткости будем называть его законом «Об информации»). Представляется, что именно исходя из этого закона, а не опираясь на банковскую тайну, «отказники» смогут защитить свое конституционное право «на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени».
К сожалению, еще не вступил в силу принятый в июле 2006 года закон «О персональных данных», но его мы также будем иметь в виду в дальнейшем, поскольку он «заработает» довольно скоро – в третьей декаде января 2007 года. Не вступивший в силу закон «О персональных данных» следующим образом определяет понятие «персональных данных»:
«персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Принимая во внимание приведенное определение, нетрудно сделать вывод, что многое из перечисленного банку приходится собирать, в том числе в процессе рассмотрения кредитной заявки гражданина. Другими словами, можно констатировать, что банк занимается сбором персональных данных лиц, желающих получить в данном банке кредит. Обратим также внимание, что перечень персональных данных не является исчерпывающим – об этом говорит выражение «другая информация».
В законе «Об информации» основные нормы о персональных данных собраны в статье 11:
«Статья 11. Информация о гражданах (персональные данные)
1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.
Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 настоящего Федерального закона и законодательства о персональных данных».
Прежде всего хотелось бы обратить внимание читателя на тот факт, что банки осуществляют сбор персональных данных лица, обратившегося за получением кредита, фактически с его согласия, выраженного, как минимум, конклюдентным образом. Для не юристов поясним, что конклюдентные действия – это действия, выражающие волю лица, но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о его намерении. Если потенциальный заемщик откажется предоставить банку информацию о себе или представит заведомо ложную информацию, то никакого конструктивного диалога, а, тем более, подписания кредитного договора не последует.
Однако конклюдентная форма согласия банк не устраивает по той простой причине, что согласно статьи 161 Гражданского кодекса Российской Федерации (ГК РФ) сделки юридических лиц между собой и с гражданами должны совершаться в простой письменной форме, за исключением сделок, требующих нотариального удостоверения. Поскольку статья 820 ГК РФ требует, чтобы кредитный договор заключался в письменной форме, то альтернатива письменному оформлению отношений не предусматривается. Хотя автору могут возразить, что само заключение кредитного договора – это одно, а предоставление персональных данных – это другое. Тем не менее, автор считает, чтобы не усложнять себе жизни, банк должен все оформить в письменном виде.
Вопрос только в том, каким образом кредитная организация оформляет письменное согласие гражданина, предоставляющего банку данные о своей частной жизни. Например, гражданин может просто подписать анкету или кредитную заявку, в которой будут отражены все те моменты, которые представляют значимый интерес для банка с точки зрения принятия решения о выдаче кредита и, в то же время, являются персональными данными. Такая анкета могла бы одновременно решать и вопрос идентификации потенциального заемщика в соответствии с требованиями закона 115-ФЗ («О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).
Согласие может быть выражено и отдельным документом, по крайней мере, автор встречался и с такой практикой.
Если же на документах, отражающих персональные данные лица, отсутствует его подпись, свидетельствующая о добровольности предоставления информации, или согласие гражданина на передачу банку персональной информации не оформлено соответствующим образом отдельным документом, то банк подвергает себя определенному риску. Впоследствии могут возникнуть сложности с доказательством согласия данного лица на предоставление банку своих персональных данных. Без такого согласия сбор персональных данных может расцениваться, как нарушение банком не только статьи 11 (пункт 1 абзац 2) закона «Об информации», но и части 1 статьи 24 Конституции Российской Федерации.
* * *
Особое внимание следует обратить на то, что количество данных, собираемых для рассмотрения кредитной заявки, как правило, превышает объем информации, необходимой для идентификации физического лица, согласно требованиям закона 115-ФЗ.
В этой связи возникает довольно интересный нюанс. Абзац первый пункта 1 статьи 11 закона «Об информации» устанавливает норму, согласно которой перечни персональных данных, получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона, причем персональные данные относятся к категории конфиденциальной информации. Федеральные законы «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и «О кредитных историях» определяют каждый свое подмножество персональных данных физических лиц, которое должна собирать кредитная организация.
Например, первый из названных законов требует в процессе идентификации собирать в отношении физических лиц следующую информацию: фамилию, имя, а также отчество (если иное не вытекает из закона или национального обычая), гражданство, реквизиты документа, удостоверяющего личность, данные миграционной карты, документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места жительства (регистрации) или места пребывания, идентификационный номер налогоплательщика (при его наличии).
Статья 4 закона о «Кредитных историях» предполагает сбор следующей информации о физическом лице:
● для титульной части кредитной истории:
1) фамилия, имя, отчество (если последнее имеется) на русском языке (для иностранных граждан и лиц без гражданства - написанные буквами латинского алфавита на основании сведений, содержащихся в документе, удостоверяющем личность в соответствии с законодательством Российской Федерации), дата и место рождения;
2) данные паспорта гражданина Российской Федерации или при его отсутствии иного документа, удостоверяющего личность в соответствии с законодательством Российской Федерации (серия, номер, дата и место выдачи, наименование и код органа, выдавшего паспорт или иной документ, удостоверяющий личность);
3) идентификационный номер налогоплательщика (если лицо его указало);
4) страховой номер индивидуального лицевого счета, указанный в страховом свидетельстве обязательного пенсионного страхования (если лицо его указало);
● для основной части кредитной истории:
1) в отношении субъекта кредитной истории:
а) указание места регистрации и фактического места жительства;
б) сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя;
2) в отношении обязательства заемщика (для каждой записи кредитной истории):
а) указание суммы обязательства заемщика на дату заключения договора займа (кредита);б) указание срока исполнения обязательства заемщика в полном размере в соответствии с договором займа (кредита);
в) указание срока уплаты процентов в соответствии с договором займа (кредита);
г) о внесении изменений и (или) дополнений к договору займа (кредита), в том числе касающихся сроков исполнения обязательств;
д) о дате и сумме фактического исполнения обязательств заемщика в полном и (или) неполном размерах;
е) о погашении займа (кредита) за счет обеспечения в случае неисполнения заемщиком своих обязательств по договору;
ж) о фактах рассмотрения судом, арбитражным и (или) третейским судом споров по договору займа (кредита) и содержании резолютивных частей судебных актов, вступивших в законную силу, за исключением информации, входящей в состав дополнительной (закрытой) части кредитной истории;
з) иная информация, официально полученная из государственных органов.
Как видим, закон «О кредитных историях» предусматривает спектр данных значительно более широкий и, тем не менее, он не исчерпывает всей собираемой банком информации. Например, в приведенных перечнях отсутствует информация о доходах физического лица, месте работы, семейном положении и т.д.
В этой связи возникает следующий деликатный вопрос: на уровне какого федерального закона закреплен перечень персональных данных, которые может собирать кредитная организация, хотя бы и с согласия самого физического лица, с целью принятия решения по кредитной заявке (в частности, имеются в виду данные о доходах, семейном положении, образовании, профессии, месте работы и т.п.)?
Могут ли банки в этой связи ссылаться на статью 821 Гражданского кодекса Российской Федерации (ГК РФ)? Дескать, кредитные организации вправе собирать любые персональные данные, которые необходимы для выяснения «обстоятельств, очевидно свидетельствующих о том, что предоставленная заемщику сумма не будет возвращена в срок». Напомним читателю, что именно наличие таких обстоятельств дает банку право отказать в выдаче кредита.
По мнению автора, это единственная зацепка, позволяющая кредитным организациям обосновать законность сбора персональной информации в объеме, превышающем требования Федеральных законов 115-ФЗ и «О кредитных историях», хотя и страдающая крайним субъективизмом.
В этой связи небезынтересен также вопрос о том, как соотносятся понятие «персональные данные» и понятие «сведения о клиенте», с которым мы встречались в статье 857 ГК РФ? Ясно, что понятие «сведения о клиенте» более емкое по сравнению с понятием «персональные данные», хотя бы потому, что охватывает данные не только по физическим, но и по юридическим лицам тоже. Выражаясь языком теории множеств, вопрос заключается в том, каково пересечение этих двух множеств, применительно к физическим лицам?
К сожалению, мы вынуждены будем признать, что пересечение этих множеств невозможно определить четко, поскольку законодатель не определил полного объема ни одного из исходных понятий. Из этого следует вывод, что поставленный вопрос будет вызывать определенные споры, по крайней мере, до тех пор, пока правоприменительная практика не определится с этим вопросом.
Хотелось бы отметить еще один момент. Отказ лица дать свое согласие на предоставление данных в бюро кредитных историй, не означает отказа предоставить свои персональные данные кредитной организации, которая будет рассматривать вопрос о предоставлении кредита. Заручаясь согласием физического лица в процессе сбора персональных данных о нем, и кредитная организация, и само физическое лицо должны отдавать себе отчет, в отношении каких действий с информацией выражается согласие. Как известно, Конституция Российской Федерации, а вслед за ней и закон «Об информации», требуют согласия лица на сбор, хранение, использование и распространение информации о его частной жизни.
Если лицо предоставляет банку свои персональные данные, соглашаясь тем самым на сбор этих данных, это не значит, что лицо выразит согласие на распространение этих данных. В этой ситуации все зависит от искушенности сторон, а именно лица, предоставляющего свои персональные данные и контактирующего с ним работника банка. Можно допустить, что некоторые банки, будут «подталкивать» неискушенных граждан к согласию на все действия с его персональными данными. При этом несведущее лицо может и не догадаться вычеркнуть, к примеру, «распространение» или ограничить его только представлением данных в бюро кредитных историй. Но это еще полбеды.
Хуже будет, если в банке примут негласное распоряжение: отказывать лицам в предоставлении кредита только на том основании, что они не согласились на все то, к чему их «подталкивал» банк.
Интерес банка к тому, что бы клиент выразил свое согласие «на все», очевиден. Во-первых, банк фактически снимает с себя ответственность за возможную утечку персональных данных лиц, обращавшихся к нему за предоставлением кредита. Во-вторых, банк «развязывает себе руки» на тот случай, если кредит будет выдан, но по нему возникнут проблемы и придется обращаться, например, в коллекторские агентства. Правда, подобная политика может обернуться против банка – сдачей позиций в конкурентной борьбе.
* * *
Итак, говорить о неправомерности деятельности банка по сбору персональных данных вряд ли уместно. Что же касается хранения, использования и распространения собранной информации, то это вопрос более тонкий и на нем придется остановиться подробнее.
Не будем забывать, что мы по большому счету ведем речь об «отказниках», то есть о лицах, которым банк в результате рассмотрения полученной от них информации в предоставлении кредита откажет. В этой связи сразу встает вопрос, раз банк отказал лицу в предоставлении кредита, то зачем банку нужны его персональные данные? Не лучше ли твердые копии вернуть клиенту, а записи на магнитных или иных носителях уничтожить? А человек в банк как будто и не обращался?
Думается, что полное уничтожение информации о конкретном лице не оправдано. Не потому, что ее нельзя уничтожить физически, а хотя бы для демонстрации надзорному органу того факта, что банк блюдет требования закона 115-ФЗ и занимается идентификацией.
Однако мы уже отмечали, что полученные в ходе рассмотрения кредитной заявки персональные данные будут явно избыточны для идентификации. Если рассуждать логично, то, казалось бы, банк должен оставить у себя документы в твердых копиях и информацию на магнитных носителях, если они служат целям идентификации определенного лица, а иную информацию удалить и все остальные документы вернуть «отказнику», чтобы он имел возможность «попытать счастья» в другом банке. Но не получится ли тогда так, что «отказник», дождавшись, ухода в отпуск (или увольнения), обслуживавшего его кредитного инспектора, снова, как ни в чем не бывало, придет в банк просить кредит, а банк не сможет установить, по какой причине данному лицу было отказано в предоставлении кредита? Такое положение дел для банка недопустимо, хотя, что касается таких документов, как, например, справки о доходах, то их, безусловно, нужно возвращать, если банк отказал лицу в выдаче кредита. Тем не менее, мы вынуждены признать, что банк заинтересован в хранении, если не всей, то хотя бы части информации, связанной с лицом, обратившимся за предоставлением кредита. Эта информация может быть использована в случае повторного обращения данного лица в банк.
Теперь о распространении собранной информации. Федеральные законы не только предусматривают возможность предоставления собранной информации третьим лицам, например, бюро кредитных историй, но и возлагают на банки обязанность такого предоставления (закон 115-ФЗ), например, если выяснилось, что лицо, обратившееся в банк за кредитом, оказалось экстремистом. В этих случаях банк не несет ответственности за нарушение режима защиты, обработки и порядка использования собранной информации, даже если согласие лица не было получено. Только закон «О кредитных историях» требует письменного или иным способом документально зафиксированного согласия заемщика.
* * *
Теперь обратим внимание на пункт 3 статьи 11 Федерального закона «Об информации, информатизации и защите информации», который, кстати сказать, подходит не только для кредитных организаций, но и для любых юридических и физических лиц, которые владеют информацией о гражданах. И это правильно, поскольку здесь обеспечивается общность подхода, которой не достичь, если ограничить дело только внесением изменений в статью 26 Федерального закона «О банках и банковской деятельности» или ГК РФ. Вопрос только в том, какую же ответственность несут юридические и физические лица в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования информации о гражданах?
Согласно пункту 3 статьи 24 закона «Об информации» руководители, другие служащие органов государственной власти, организаций, виновные в нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.
В то же время еще не вступивший в законную силу Федеральный закон «О персональных данных» устанавливает гораздо более широкую ответственность:
«Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
Если раскрывать более подробно, что из себя представляет каждый вид ответственности, то получится следующая картина.
Гражданская ответственность предполагает право субъекта персональных данных на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Статья 137 «Нарушение неприкосновенности частной жизни» Уголовного кодекса Российской Федерации за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации предусматривает наказание в виде штрафа в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Кодекс Российской Федерации об административных правонарушениях предусматривает достаточно большой спектр правонарушений в сферах, связанных с обработкой информации, но мы здесь остановимся только на одной статье:
«Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда».
Наконец, что касается ответственности дисциплинарной, то здесь мы имеем хорошо всем знакомые из Трудового кодекса Российской Федерации замечания, выговоры и увольнения по соответствующим основаниям.
Думается, что граждане, персональные данные о которых подверглись утечке, предпочтут, скорее всего, возмещение убытков и (или) компенсацию морального вреда.
* * *
Подводя итоги, мы можем сделать вывод, что «отказники», то есть лица, которым было отказано в предоставлении кредита, в случае утечки персональных данных о них, смогут защитить свое конституционное право «на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени», не прибегая к банковской тайне, а опираясь на действующее законодательство Российской Федерации о персональных данных.
К сожалению, еще не вступил в силу принятый в июле 2006 года закон «О персональных данных», но его мы также будем иметь в виду в дальнейшем, поскольку он «заработает» довольно скоро – в третьей декаде января 2007 года. Не вступивший в силу закон «О персональных данных» следующим образом определяет понятие «персональных данных»:
«персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Принимая во внимание приведенное определение, нетрудно сделать вывод, что многое из перечисленного банку приходится собирать, в том числе в процессе рассмотрения кредитной заявки гражданина. Другими словами, можно констатировать, что банк занимается сбором персональных данных лиц, желающих получить в данном банке кредит. Обратим также внимание, что перечень персональных данных не является исчерпывающим – об этом говорит выражение «другая информация».
В законе «Об информации» основные нормы о персональных данных собраны в статье 11:
«Статья 11. Информация о гражданах (персональные данные)
1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.
Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 настоящего Федерального закона и законодательства о персональных данных».
Прежде всего хотелось бы обратить внимание читателя на тот факт, что банки осуществляют сбор персональных данных лица, обратившегося за получением кредита, фактически с его согласия, выраженного, как минимум, конклюдентным образом. Для не юристов поясним, что конклюдентные действия – это действия, выражающие волю лица, но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о его намерении. Если потенциальный заемщик откажется предоставить банку информацию о себе или представит заведомо ложную информацию, то никакого конструктивного диалога, а, тем более, подписания кредитного договора не последует.
Однако конклюдентная форма согласия банк не устраивает по той простой причине, что согласно статьи 161 Гражданского кодекса Российской Федерации (ГК РФ) сделки юридических лиц между собой и с гражданами должны совершаться в простой письменной форме, за исключением сделок, требующих нотариального удостоверения. Поскольку статья 820 ГК РФ требует, чтобы кредитный договор заключался в письменной форме, то альтернатива письменному оформлению отношений не предусматривается. Хотя автору могут возразить, что само заключение кредитного договора – это одно, а предоставление персональных данных – это другое. Тем не менее, автор считает, чтобы не усложнять себе жизни, банк должен все оформить в письменном виде.
Вопрос только в том, каким образом кредитная организация оформляет письменное согласие гражданина, предоставляющего банку данные о своей частной жизни. Например, гражданин может просто подписать анкету или кредитную заявку, в которой будут отражены все те моменты, которые представляют значимый интерес для банка с точки зрения принятия решения о выдаче кредита и, в то же время, являются персональными данными. Такая анкета могла бы одновременно решать и вопрос идентификации потенциального заемщика в соответствии с требованиями закона 115-ФЗ («О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).
Согласие может быть выражено и отдельным документом, по крайней мере, автор встречался и с такой практикой.
Если же на документах, отражающих персональные данные лица, отсутствует его подпись, свидетельствующая о добровольности предоставления информации, или согласие гражданина на передачу банку персональной информации не оформлено соответствующим образом отдельным документом, то банк подвергает себя определенному риску. Впоследствии могут возникнуть сложности с доказательством согласия данного лица на предоставление банку своих персональных данных. Без такого согласия сбор персональных данных может расцениваться, как нарушение банком не только статьи 11 (пункт 1 абзац 2) закона «Об информации», но и части 1 статьи 24 Конституции Российской Федерации.
* * *
Особое внимание следует обратить на то, что количество данных, собираемых для рассмотрения кредитной заявки, как правило, превышает объем информации, необходимой для идентификации физического лица, согласно требованиям закона 115-ФЗ.
В этой связи возникает довольно интересный нюанс. Абзац первый пункта 1 статьи 11 закона «Об информации» устанавливает норму, согласно которой перечни персональных данных, получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона, причем персональные данные относятся к категории конфиденциальной информации. Федеральные законы «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и «О кредитных историях» определяют каждый свое подмножество персональных данных физических лиц, которое должна собирать кредитная организация.
Например, первый из названных законов требует в процессе идентификации собирать в отношении физических лиц следующую информацию: фамилию, имя, а также отчество (если иное не вытекает из закона или национального обычая), гражданство, реквизиты документа, удостоверяющего личность, данные миграционной карты, документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места жительства (регистрации) или места пребывания, идентификационный номер налогоплательщика (при его наличии).
Статья 4 закона о «Кредитных историях» предполагает сбор следующей информации о физическом лице:
● для титульной части кредитной истории:
1) фамилия, имя, отчество (если последнее имеется) на русском языке (для иностранных граждан и лиц без гражданства - написанные буквами латинского алфавита на основании сведений, содержащихся в документе, удостоверяющем личность в соответствии с законодательством Российской Федерации), дата и место рождения;
2) данные паспорта гражданина Российской Федерации или при его отсутствии иного документа, удостоверяющего личность в соответствии с законодательством Российской Федерации (серия, номер, дата и место выдачи, наименование и код органа, выдавшего паспорт или иной документ, удостоверяющий личность);
3) идентификационный номер налогоплательщика (если лицо его указало);
4) страховой номер индивидуального лицевого счета, указанный в страховом свидетельстве обязательного пенсионного страхования (если лицо его указало);
● для основной части кредитной истории:
1) в отношении субъекта кредитной истории:
а) указание места регистрации и фактического места жительства;
б) сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя;
2) в отношении обязательства заемщика (для каждой записи кредитной истории):
а) указание суммы обязательства заемщика на дату заключения договора займа (кредита);б) указание срока исполнения обязательства заемщика в полном размере в соответствии с договором займа (кредита);
в) указание срока уплаты процентов в соответствии с договором займа (кредита);
г) о внесении изменений и (или) дополнений к договору займа (кредита), в том числе касающихся сроков исполнения обязательств;
д) о дате и сумме фактического исполнения обязательств заемщика в полном и (или) неполном размерах;
е) о погашении займа (кредита) за счет обеспечения в случае неисполнения заемщиком своих обязательств по договору;
ж) о фактах рассмотрения судом, арбитражным и (или) третейским судом споров по договору займа (кредита) и содержании резолютивных частей судебных актов, вступивших в законную силу, за исключением информации, входящей в состав дополнительной (закрытой) части кредитной истории;
з) иная информация, официально полученная из государственных органов.
Как видим, закон «О кредитных историях» предусматривает спектр данных значительно более широкий и, тем не менее, он не исчерпывает всей собираемой банком информации. Например, в приведенных перечнях отсутствует информация о доходах физического лица, месте работы, семейном положении и т.д.
В этой связи возникает следующий деликатный вопрос: на уровне какого федерального закона закреплен перечень персональных данных, которые может собирать кредитная организация, хотя бы и с согласия самого физического лица, с целью принятия решения по кредитной заявке (в частности, имеются в виду данные о доходах, семейном положении, образовании, профессии, месте работы и т.п.)?
Могут ли банки в этой связи ссылаться на статью 821 Гражданского кодекса Российской Федерации (ГК РФ)? Дескать, кредитные организации вправе собирать любые персональные данные, которые необходимы для выяснения «обстоятельств, очевидно свидетельствующих о том, что предоставленная заемщику сумма не будет возвращена в срок». Напомним читателю, что именно наличие таких обстоятельств дает банку право отказать в выдаче кредита.
По мнению автора, это единственная зацепка, позволяющая кредитным организациям обосновать законность сбора персональной информации в объеме, превышающем требования Федеральных законов 115-ФЗ и «О кредитных историях», хотя и страдающая крайним субъективизмом.
В этой связи небезынтересен также вопрос о том, как соотносятся понятие «персональные данные» и понятие «сведения о клиенте», с которым мы встречались в статье 857 ГК РФ? Ясно, что понятие «сведения о клиенте» более емкое по сравнению с понятием «персональные данные», хотя бы потому, что охватывает данные не только по физическим, но и по юридическим лицам тоже. Выражаясь языком теории множеств, вопрос заключается в том, каково пересечение этих двух множеств, применительно к физическим лицам?
К сожалению, мы вынуждены будем признать, что пересечение этих множеств невозможно определить четко, поскольку законодатель не определил полного объема ни одного из исходных понятий. Из этого следует вывод, что поставленный вопрос будет вызывать определенные споры, по крайней мере, до тех пор, пока правоприменительная практика не определится с этим вопросом.
Хотелось бы отметить еще один момент. Отказ лица дать свое согласие на предоставление данных в бюро кредитных историй, не означает отказа предоставить свои персональные данные кредитной организации, которая будет рассматривать вопрос о предоставлении кредита. Заручаясь согласием физического лица в процессе сбора персональных данных о нем, и кредитная организация, и само физическое лицо должны отдавать себе отчет, в отношении каких действий с информацией выражается согласие. Как известно, Конституция Российской Федерации, а вслед за ней и закон «Об информации», требуют согласия лица на сбор, хранение, использование и распространение информации о его частной жизни.
Если лицо предоставляет банку свои персональные данные, соглашаясь тем самым на сбор этих данных, это не значит, что лицо выразит согласие на распространение этих данных. В этой ситуации все зависит от искушенности сторон, а именно лица, предоставляющего свои персональные данные и контактирующего с ним работника банка. Можно допустить, что некоторые банки, будут «подталкивать» неискушенных граждан к согласию на все действия с его персональными данными. При этом несведущее лицо может и не догадаться вычеркнуть, к примеру, «распространение» или ограничить его только представлением данных в бюро кредитных историй. Но это еще полбеды.
Хуже будет, если в банке примут негласное распоряжение: отказывать лицам в предоставлении кредита только на том основании, что они не согласились на все то, к чему их «подталкивал» банк.
Интерес банка к тому, что бы клиент выразил свое согласие «на все», очевиден. Во-первых, банк фактически снимает с себя ответственность за возможную утечку персональных данных лиц, обращавшихся к нему за предоставлением кредита. Во-вторых, банк «развязывает себе руки» на тот случай, если кредит будет выдан, но по нему возникнут проблемы и придется обращаться, например, в коллекторские агентства. Правда, подобная политика может обернуться против банка – сдачей позиций в конкурентной борьбе.
* * *
Итак, говорить о неправомерности деятельности банка по сбору персональных данных вряд ли уместно. Что же касается хранения, использования и распространения собранной информации, то это вопрос более тонкий и на нем придется остановиться подробнее.
Не будем забывать, что мы по большому счету ведем речь об «отказниках», то есть о лицах, которым банк в результате рассмотрения полученной от них информации в предоставлении кредита откажет. В этой связи сразу встает вопрос, раз банк отказал лицу в предоставлении кредита, то зачем банку нужны его персональные данные? Не лучше ли твердые копии вернуть клиенту, а записи на магнитных или иных носителях уничтожить? А человек в банк как будто и не обращался?
Думается, что полное уничтожение информации о конкретном лице не оправдано. Не потому, что ее нельзя уничтожить физически, а хотя бы для демонстрации надзорному органу того факта, что банк блюдет требования закона 115-ФЗ и занимается идентификацией.
Однако мы уже отмечали, что полученные в ходе рассмотрения кредитной заявки персональные данные будут явно избыточны для идентификации. Если рассуждать логично, то, казалось бы, банк должен оставить у себя документы в твердых копиях и информацию на магнитных носителях, если они служат целям идентификации определенного лица, а иную информацию удалить и все остальные документы вернуть «отказнику», чтобы он имел возможность «попытать счастья» в другом банке. Но не получится ли тогда так, что «отказник», дождавшись, ухода в отпуск (или увольнения), обслуживавшего его кредитного инспектора, снова, как ни в чем не бывало, придет в банк просить кредит, а банк не сможет установить, по какой причине данному лицу было отказано в предоставлении кредита? Такое положение дел для банка недопустимо, хотя, что касается таких документов, как, например, справки о доходах, то их, безусловно, нужно возвращать, если банк отказал лицу в выдаче кредита. Тем не менее, мы вынуждены признать, что банк заинтересован в хранении, если не всей, то хотя бы части информации, связанной с лицом, обратившимся за предоставлением кредита. Эта информация может быть использована в случае повторного обращения данного лица в банк.
Теперь о распространении собранной информации. Федеральные законы не только предусматривают возможность предоставления собранной информации третьим лицам, например, бюро кредитных историй, но и возлагают на банки обязанность такого предоставления (закон 115-ФЗ), например, если выяснилось, что лицо, обратившееся в банк за кредитом, оказалось экстремистом. В этих случаях банк не несет ответственности за нарушение режима защиты, обработки и порядка использования собранной информации, даже если согласие лица не было получено. Только закон «О кредитных историях» требует письменного или иным способом документально зафиксированного согласия заемщика.
* * *
Теперь обратим внимание на пункт 3 статьи 11 Федерального закона «Об информации, информатизации и защите информации», который, кстати сказать, подходит не только для кредитных организаций, но и для любых юридических и физических лиц, которые владеют информацией о гражданах. И это правильно, поскольку здесь обеспечивается общность подхода, которой не достичь, если ограничить дело только внесением изменений в статью 26 Федерального закона «О банках и банковской деятельности» или ГК РФ. Вопрос только в том, какую же ответственность несут юридические и физические лица в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования информации о гражданах?
Согласно пункту 3 статьи 24 закона «Об информации» руководители, другие служащие органов государственной власти, организаций, виновные в нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.
В то же время еще не вступивший в законную силу Федеральный закон «О персональных данных» устанавливает гораздо более широкую ответственность:
«Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
Если раскрывать более подробно, что из себя представляет каждый вид ответственности, то получится следующая картина.
Гражданская ответственность предполагает право субъекта персональных данных на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Статья 137 «Нарушение неприкосновенности частной жизни» Уголовного кодекса Российской Федерации за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации предусматривает наказание в виде штрафа в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Кодекс Российской Федерации об административных правонарушениях предусматривает достаточно большой спектр правонарушений в сферах, связанных с обработкой информации, но мы здесь остановимся только на одной статье:
«Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда».
Наконец, что касается ответственности дисциплинарной, то здесь мы имеем хорошо всем знакомые из Трудового кодекса Российской Федерации замечания, выговоры и увольнения по соответствующим основаниям.
Думается, что граждане, персональные данные о которых подверглись утечке, предпочтут, скорее всего, возмещение убытков и (или) компенсацию морального вреда.
* * *
Подводя итоги, мы можем сделать вывод, что «отказники», то есть лица, которым было отказано в предоставлении кредита, в случае утечки персональных данных о них, смогут защитить свое конституционное право «на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени», не прибегая к банковской тайне, а опираясь на действующее законодательство Российской Федерации о персональных данных.
