Персональные данные VS коллекторы

Автор: Олег Ефимов

Передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима.

К такому выводу пришла судебная коллегия по гражданским делам Верховного Суда Российской Федерации в своем определении N 78-КГ17-45. от 1 августа 2017 г.

Так гражданин обратился к банку с иском о защите прав потребителя. В обоснование заявленных требований истец указал, в связи с неблагоприятной экономической ситуацией, потерей работы нарушил обязательства по уплате ежемесячных платежей, в результате чего у него возникла задолженность по кредитному договору. На предложение о реструктуризации банк ответил отказом. При этом на телефон истца стали поступать звонки и сообщения от коллекторской компании с требованием вернуть задолженность. Истец посчитал, что банк незаконно раскрыл его персональные данные коллекторской компании, чем причинил ему нравственные страдания.

Судами первой и апелляционной инстанций в удовлетворении исковых требований отказано, однако с их решением не согласилась Судебная коллегия по гражданским делам Верховного Суда Российской.

При этом судебная коллегия указала на следующее.

Согласно части 1 статьи 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (статья 24 Конституции Российской Федерации).

В соответствии с частью 3 статьи 55 Конституции Российской Федерации права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В развитие названных конституционных положений в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, принят Закон о персональных данных, регулирующий отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами (часть 1 статьи 1, статья 2 Закона о персональных данных в редакции, действовавшей на момент возникновения правоотношений сторон).

Данный Закон определяет принципы и условия обработки персональных данных, права субъекта персональных данных, права и обязанности иных участников правоотношений, регулируемых этим законом.

Согласно статье 3 Закона о персональных данных, персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (пункт 1).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (пункт 3).

По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (пункт 1 части 1 статьи 6 Закона).

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).

Статьей 7 Закона о персональных данных предусмотрено, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии со статьей 9 Закона о персональных данных согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным (часть 1).

Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (часть 3).

Согласие должно содержать перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных (пункт 7 части 4).

В соответствии со статьей 17 указанного Закона субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

Судебной коллегией было установлено, что истец не предоставлял банку согласие на предоставление его персональных данных третьим лицам: адрес проживания и номер телефона.

Доводы ответчика о том, что право на передачу персональных данных без согласия субъекта персональных данных вытекает из положений пункта 5 части 1 статьи 6 Закона о персональных данных коллегия посчитала необоснованными.

Указав на то, что Согласно п. 5 ч. 1 ст. 6 Закона о персональных данных в редакции, действовавшей на момент заключения кредитного договора между П. и банком, обработка персональных данных допускается в случае, когда она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Как установлено судом и следует из материалов дела, П. не является стороной по договору, заключенному между банком и организацией, специализирующейся на взыскании долгов, данный договор является агентским и не связан с реализацией оператором права на уступку прав (требований) по кредитному договору.