Как микрофинансисты могут собирать и использовать персональные данные клиентов.
Александра Новицкая, директор по правовым и корпоративным вопросам группы компаний Eqvanta
Персональные данные клиентов – это одновременно и важнейший ресурс, и большая проблема микрофинансовой организации (МФО). Чем больше база данных о клиентах, тем качественнее МФО может проводить их оценку, принимая взвешенные решения о предоставлении займов и о выборе стратегии взыскания задолженности.
Основной закон, который регулирует порядок работы с персональными данными, – федеральный закон «О персональных данных» 27.07.2006 N 152-ФЗ. Данный нормативный акт устанавливает одинаковые требования в части обработки персональных данных для всех субъектов. То есть базовые требования в этой части для банков, МФО, органов власти одинаковые. Давайте разберемся в логике регулирования персональных данных.
Начнем с понятия
На практике часто смешиваются понятия персональных данных и различных видов тайн (конфиденциальной информации особого типа). Для МФО специальным видом тайны является тайна операций, также как для банков такой режим распространяется на информацию, относящуюся к банковской тайне.
К тайне операций относится информация о наличии и условиях договора займа, о наличии и размере долга клиента. Такая информация, как и персональные данные клиента, является конфиденциальной, то есть МФО обязана обеспечивать ее охрану и, по общему правилу, не в праве передавать ее третьим лицам. Однако за разглашение тайны операций МФО может быть исключена из реестра, так как такое действие является нарушением закона «О микрофинансовой деятельности и микрофинансовых организациях». Сведения, составляющие тайну операций, могут быть переданы МФО третьим лицам (родственникам должника, например) только в рамках взыскания просроченной задолженности и только при наличии письменного согласия должника, а также с крайней осторожностью до осуществления взыскания – при наличии доверенности должника. Поэтому крайне важно обеспечить качественную проверку личности клиента при осуществлении дистанционного консультирования клиента по статусу его договора займа, платежей по ним и подобной информации.
Обработка персональных данных возможна только с согласия физического лица, чьи данные обрабатываются
Закон содержит закрытый перечень оснований, когда согласие лица не требуется. Например, к таким случаям относится заключение договора. Если физическое лицо заключает договор займа, то данные, которые оно предоставляет кредитору – банку, МФО, ломбарду и т.п. – могут храниться и использоваться таким кредитором без оформления отдельного согласия заемщика. И это разумно: заключение и исполнение договора невозможно при отсутствии у сторон договора данных друг о друге. При этом если кредитор в рассматриваемом случае решит использовать полученные данные не для исполнения договора, например, захочет продать эти данные магазину, который будет рассылать рекламные смс, то такая обработка данных будет уже незаконной – физическое лицо может привлечь такого кредитора к ответственности.
Согласие на обработку персональных данных может быть устным, если закон не предусматривает письменную форму
То есть в абсолютном большинстве случаев достаточно того, что физическое лицо озвучило свое согласие, а оператор персональных данных может подтвердить факт получения такого согласия (например, располагает записью соответствующего разговора с субъектом). Поэтому совершенно законно получить как персональные данные, так и согласие на работу с ними по телефону. А письменная форма согласия нужна, например, при обработке биометрических данных или данных о здоровье. Чтобы база персональных данных была максимально монетизируема, в текст согласия кредитор сразу включает право на рекламную рассылку своих услуг и услуг третьих лиц, а также право на передачу информации третьим лицам для целей рекламы. А для обеспечения возможности использования ресурсов третьих лиц по оценке поведения клиентов, подключения платежных сервисов и т.п. важно в согласии учесть право на передачу персональных данных третьим лицам для выполнения обязанностей оператора по заключенным договорам, предоставляющим клиентам различные сервисы.
Персональные данные могут собираться и использоваться только для достижения конкретных целей, после чего они подлежат уничтожению
При этом цели обработки персональных данных должны быть указаны в согласии физического лица или соответствовать тем целям, для достижения которых обработка разрешена законом без согласия. То есть если клиент не оформлял согласие, так как целью сбора его данных было только заключение и исполнение договора займа, то после погашения заемщиком соответствующего займа кредитор вправе сохранить и обрабатывать только те данные клиента, которые необходимы кредитору для выполнения своих законных обязанностей, например, для составления обязательной отчетности в уполномоченные органы. Излишние данные кредитору необходимо удалить. Конечно, в такой ситуации рассылать клиенту рекламные сообщения такой кредитор не сможет ни до, ни после погашения займа, так как для целей рекламы клиент согласия не давал.
Операторы персональных данных
Это лица, осуществляющие сбор и иную обработку персональных данных для своих целей. Они должны быть включены в специальный реестр, который ведет Роскомнадзор. При этом на операторах персональных данных лежит огромное число обязанностей, связанных с обеспечением конфиденциальности информации. Сюда относится использование определенных информационных систем, регулярный аудит мест и систем хранения данных, назначение специального должностного лица, ответственного за обработку персональных данных, и т.п. Выполнение требований законодательства о персональных данных для операторов масштабных баз влечет регулярное выделение значительных финансовых ресурсов, а штрафы за нарушение этих требований являются одними из самых больших в КоАП, измеряясь в сотнях тысяч рублей. Любая МФО является оператором персональных данных, так как даже если клиентами МФО являются только юридические лица, то организация в обязательном порядке оперирует персональными данными представителей этих лиц и данными своих сотрудников.
Оператор персональных данных может поручить их обработку третьему лицу
И это лицо должно выполнять все требования, предъявляемые к операторам. Отличие между операторами и привлеченными к обработке данных лицами в том, что вторые работают с персональными данными для целей оператора, а не для себя. Например, МФО может привлечь лидогенератора для поиска потенциальных клиентов. В такой ситуации лидогенератор должен получить согласие физических лиц на обработку их персональных данных такой МФО. Сам лидогенератор полученные данные использовать не в праве. Однако на практике лидогенератор не получает никаких согласий от клиентов и передает данные последних сразу нескольким МФО. В этих случаях МФО не имеет права обрабатывать такие данные и должна самостоятельно получить согласия на обработку персональных данных. Другой сложностью работы с лидогенераторами является то, что они, как правило, не осуществляют проверку того, кто именно оставил на их сайте персональные данные, которые лидогенератор передал дальше в МФО. А при отсутствии подтверждения такой проверки даже полученное лидогенератором согласие является недействительным. К ответственности будет привлечет тот, на кого пожалуется соответствующее физическое лицо, чьи данные незаконно используются (например, за получение рекламной смс, на которую лицо согласия не давало).
Доступность информации
Субъект персональных данных вправе получать информацию о наличии/актуальности своих персональных данных у оператора, требовать изменения/удаления данных в установленных законом случаях. Поэтому в любой МФО должна быть налажена работа с обращениями клиентов/сотрудников/третьих лиц, касающихся обработки их персональных данных.
Взаимодействие с коллекторскими агентствами
В случае заключения договоров с коллекторскими агентствами передача им персональных данных должников может осуществляться без согласия соответствующих физических лиц в силу прямого указания закона о персональных данных. Однако для того, чтобы общаться с родственниками или соседями должника, обращаться в детективные агентства по розыску должника и передавать таким лицам сведения о должнике необходимо получить его письменное согласие на это (2 разных согласия: на передачу данных третьим лицам и на взаимодействие с третьими лицами).
Формат согласий
Все вышеуказанные письменные согласия могут быть оформлены не только в бумажной форме, но и в электронной. При этом электронная форма может предусматривать использование простой электронной подписи (например, одноразовый код, помещаемый в документ клиентом) или проставление простой «галочки». В первом случае согласие на обработку персональных данных будет признаваться письменным (а это обязательно, например, при трансграничной передаче данных или при использовании биометрии), а во втором случае согласие не будет письменным – такое согласие можно приравнять к согласию, данному по телефону с записью телефонного разговора (и это вполне допустимо для абсолютного большинства согласий, как указано в п.2 выше).
Другие важные особенности
1. При необходимости передачи персональных данных клиентов за границу (например, если хранение данных осуществляется на сервере, расположенном на территории иностранного государства, даже если собственником этого сервера является сам оператор) нужно определиться, относится ли такая страна к территориям, «не обеспечивающим адекватной защиты прав субъектов персональных данных». Если относится, то обработка данных возможна только при наличии письменного согласия субъекта. При этом не зависимо от того, какое иностранное государство используется для резервного хранения базы данных граждан РФ, их первоначальный сбор, а также систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение должны производиться в Российской Федерации.
2. Если МФО осуществляет исключительно автоматизированное принятие решения об оказании финансовой услуги, то согласие на обработку персональных данных должно быть обязательно письменное и включать в себя полномочие оператора принимать решение в отношении физического лица исключительно на основании автоматизированной обработки. На практике удобнее отказаться от такого способа принятия решения, дополнив его неавтоматизированными элементами.
3. Для обеспечения возможности осуществлять взаимодействие с клиентами в целях рекламы необходимо получить предварительное согласие на это. Как уже было сказано выше, письменная форма при этом не обязательна. Но при этом отдельное требование устанавливает закон «О рекламе»: «не допускается использование сетей электросвязи для распространения рекламы с применением средств выбора и (или) набора абонентского номера без участия человека (автоматического дозванивания, автоматической рассылки)».
Перейти на сайт Finversia.ru
Смотреть канал Finversia YouTube
Источник
Главная » Кредиты » Банковская тайна при кредите: когда банк может сообщать детали третьим лицам
Автор ПапаБанкир.ру На чтение 9 мин. Опубликовано 24 октября, 2019
Все финансовые учреждения, владеющие персональной информацией клиентов, обязаны хранить ее в секрете, а также защищать от передачи третьим лицам. Если данные о денежных потоках попали в руки злоумышленников или последние имеют доступ к электронным платежам держателей счетов, то все это можно использовать в мошеннических целях. Как охраняется банковская тайна при кредите, рассмотрим далее в этой статье.
Что такое банковская тайна
По действующему законодательству к банковской тайне относят любую конфиденциальную информацию обслуживаемых клиентов. Это данные паспорта, оказанные услуги, проведенные операции – все это кредитные учреждения (сознательно или случайно) не вправе раскрывать для посторонних лиц без официального запроса государственных структур или предписания судебных органов.
Для совершения противозаконных действий финансовым мошенникам необходимы персональные данные (ПД) граждан и сведения об их банковских счетах. Поэтому должные условия защиты и хранения банковской тайны значительно снижают вероятность проведения афер и махинаций с денежными средствами клиентов.
Если произошла утечка информации и банковская тайна стала достоянием третьих лиц, возможны следующие негативные последствия:
- Мошенники используют личные данные клиентов для материального обогащения.
- Раскрытие данных о состоянии расчетных счетов и денежных потоках.
- Шантаж клиентов банка.
- Утрата вкладов и займов.
- Хищение сумм, которые хранятся на платежных картах.
Риски возможного разглашения банковской тайны строго контролируются на юридическом уровне. Выдача конфиденциальной информации осуществляется только по официальной процедуре, а преступления расследуются. Финансовые учреждения обязаны не просто закрывать доступ к личным данным клиентов для третьих лиц, но и обеспечивать безопасность, создавая неуязвимые системы защиты данных.
С юридической точки зрения банковская тайна содержит весь перечень конфиденциальной информации, передаваемой клиентом для получения кредита или других услуг в финансовой организации.
Банкам запрещено разглашать сведения, которые указаны в анкетах, бланках и заявках на кредиты. Имеются в виду оригиналы договоров, нотариально заверенные копии документов, справки о состоянии банковских счетов (выписки), паспортные данные клиентов и их контакты. Полный список тайной информации с ограниченным доступом приведен в Федеральном законе о деятельности российских банков.
Банковская тайна при кредите предполагает следующие сведения:
- реквизиты предприятий и организаций;
- паспортные данные граждан и их контакты;
- доходы, получаемые клиентом (вкладчиком, заемщиком);
- номера и сроки действия банковских карт, реквизиты расчетных счетов;
- данные о праве собственности на залоговое имущество и средствах, полученных в кредит;
- открытые (закрытые) расчетные счета – номер, тип, валюта, дата подписания договора и срок действия;
- общий объем операций, совершенные транзакции, движение средств.
Официальный список персональной и прочей информации, которая трактуется как банковская тайна при кредите, необходим финансовым организациям для операционной деятельности и бухгалтерских отчетов по балансу предприятия.
Некоторые корпоративные и персональные сведения, передаваемые банкам, могут быть раскрыты только при согласии клиента с правилами их рассекречивания. Намеренная передача ПД третьим лицам для получения материальной выгоды квалифицируется как уголовное преступление, а виновные отвечают по Уголовному кодексу РФ.
Органы власти имеют доступ к персональным данным клиентов банка без их уведомления, если сведения необходимы для проведения проверок, расследования преступлений и составления аналитических отчетов.
Банковская тайна при кредите
Если заемщик не платит по кредиту и нарушает график погашения долгов, при этом уклоняясь от общения с банком, тот начинает его искать. Обычно должников расстраивает то, что их финансовые проблемы становятся предметом обсуждения общественности – сотрудников, начальства, соседей, близких и др.
Они пишут гневные письма в народный рейтинг, которые, к сожалению, необоснованны. Все дело в том, что банковская тайна при кредите действует только для вкладчиков с расчетным счетом в банке. Заемщики вообще не имеют кредитного счета. А термин «кредитная линия» не играет роли и не обязывает учреждение хранить тайны таких клиентов.
В действительности банк открывает локальный ссудный счет, принадлежащий учреждению. А погашение долга идет в адрес кредитора, а не на мнимый «кредитный счет» клиента.
ПОСТАНОВЛЕНИЕ Президиума Высшего Арбитражного Суда Российской Федерации
№ 8274/09 от 17.11.2009
г. Москва
Положение «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ» (утв. Центробанком России № 302-П от 26.03.2007) определяет, что условие для выдачи и погашения кредита (т. н. кредиторская обязанность банка) – это открытие ссудного счета и его ведение самой финансовой организацией.
Подобные счета не входят в группу банковских и показывают в их балансе создание и погашение ссудной суммы. Иными словами, операций по выдаче кредитов и возврату денег, согласно оформленным кредитным договорам.
Выходит, что действия финансового учреждения по управлению ссудными счетами нельзя расценивать как отдельную услугу банка. А ссудный счет клиента является всего лишь внутренним ресурсом банка, который вообще не связан с заемщиком. Он создан для контроля его кредиторской задолженности, которая для самого банка будет дебиторской.
Таким образом, счет заводят не для заемщика, а только для ведения учета операций. Примерно так же предприятия учитывают дебиторские долги по счету 62, 76 и др. Согласно бухучету ВСЕ клиентские счета кредитного учреждения фигурируют в ПАССИВЕ банковского баланса.
Статья 11 Налогового кодекса РФ (пункт 2) гласит, что «под счетами понимаются расчетные (текущие) и иные счета в банках, открытые на основании договора банковского счета, на которые зачисляются и с которых могут расходоваться денежные средства организаций и индивидуальных предприятий». Итак, при оформлении кредита ДЕНЬГИ ПОСТУПАЮТ на счет заемщика. Тут же ИДЕТ дебетовая ПРОВОДКА по счету ссуды. Становится очевидным, что ссудный счет не попадает под свое определение в статье 11 (пункт 2). Это – с правовой позиции.
Выходит, что банк заводит ссудный счет БЕЗ СПРОСА, НА ОСНОВАНИИ локальных документов и во исполнение своих инструкций по бухучету и предоставлению услуг.
Положение Банка России № 385-П от 16.07.2012
«О правилах ведения бухучета в кредитных организациях, расположенных на территории РФ» (последний вариант)
п. 4.56
№ 455 «Кредиты и прочие средства, предоставленные физлицам»
Активные счета, предназначенные для контроля задолженности по кредитам, другим вложенным средствам согласно графику погашения; для контроля долгов по прочим средствам, которые выданы клиентам; по кредитам, одобренным при нехватке денег на текущем счете (по «овердрафту»), и пассивные счета, где учтены ресурсы на возможные убытки.
Когда кредитные деньги попадают под банковскую тайну
С учетом внутренних инструкций каждого банка кредитные средства (кредиты), предоставляемые гражданам, могут выдавать в виде:
- наличных;
- депозита до востребования (требует оформления договора банковского вклада);
- зачисления на лицевой счет (после заключения соответствующего договора).
В первом варианте банковская тайна при кредите не всегда распространяется на информацию о получении займа физическим лицом и на данные о его погашении. Это зависит от того, насколько полно банк истолковывает понятие тайны вклада для своих клиентов.
В двух других случаях конфиденциальными данными является информация о существовании банковского депозита или счета и операциях, которые совершаются в его пределах. Эти сведения, несомненно, относятся к разряду «банковская тайна».
В соответствии с ФЗ-395-1 от 02.12.90 «О банках и банковской деятельности» (статья 26) указанная информация относится к финансовым операциям, поэтому всем очевидно, что это банковская тайна.
Из вышеизложенного следует вывод: на основании Гражданского кодекса РФ (ст. 857) и закона о банках (ст. 26) данные о выдаче кредита считаются банковской тайной.
Банковская тайна при кредите и коллекторы
Судебная практика последних лет показывает, что кредитные учреждения вправе передавать долги своих заемщиков в коллекторские фирмы.
Для проведения этих действий (с учетом того, что существует банковская тайна при кредите) необходимо выполнить три условия:
- Задолженность клиентов передается через заключение договора цессии (уступки прав требования) при соблюдении соответствующих статей Гражданского кодекса РФ.
- Если кредит оформлен на физическое лицо, продажа долга коллекторам без лицензии на банковскую деятельность допускается только тогда, когда последнее указано в кредитном договоре, который подписал заемщик.
- Если же долг гражданина признан судом и кредитору выдан исполнительный лист, он может быть передан любому третьему лицу, даже если должник не давал согласия на такую передачу. (Определение Верховного суда № 89-КГ15-5 от 07.07.2015).
При соблюдении этих требований передача задолженности по кредиту коллекторам с предоставлением персональных данных должника не считается противоправным действием, при котором раскрыта банковская тайна при кредите физического лица.
Тем не менее работники коллекторских агентств и специалисты банка должны хранить конфиденциальность данных о клиентах, как того требует тайна банковского вклада.
Ответственность за нарушение банковской тайны
Начнем с того, что коммерческие банки не имеют права отказать полномочным государственным структурам в предоставлении секретной информации. Часть данных службы мониторинга получают автоматически. Это снижает вероятность незаконных сделок. Контроль финансовых потоков позволяет избежать критических ошибок, которые совершают сами клиенты.
Из-за чего становится доступной банковская тайна при кредите:
- Непреднамеренное раскрывание данных путем технических ошибок или нарушений работников кредитного учреждения.
- Сознательное разглашение ПД для получения прибыли.
- Выдача сведений о клиентах коллекторским компаниям с нарушением буквы закона.
- Использование контактов граждан и организаций для массовых рассылок без согласования с клиентами.
Сознательное нарушение правил хранения банковской тайны при кредите или вкладе может повлечь за собой уголовную ответственность сотрудников финансового учреждения. Любые споры, возникающие при утечке личных данных, решаются мирным путем. Как правило, банк должен уведомить клиента об утрате информации и пригласить его в одно из отделений для корректировки договора.
К примеру, подозрительные банковские карты, выданные по кредиту, или расчетные счета подверглись блокировке. Банк предлагает оплатить моральный и финансовый ущерб клиента в обмен на мирное урегулирование проблем без обращения в суд. Если заемщик или вкладчик не согласен с компромиссом, дело о нарушении банковской тайны передается в уголовное производство.
Какие наказания ждут банк, если раскрыта банковская тайна при кредите, а ПД клиентов стали достоянием третьих лиц:
- Увольнение сотрудника, который отвечает за хранение конфиденциальных данных, с запретом на работу в этой должности на протяжении 3 лет.
- Привлечение к материальной ответственности или обязательные работы (до 5 лет).
- Лишение свободы (при уголовном рассмотрении) на срок до 7 лет.
- Штрафные санкции в размере до 1 500 000 руб.
- Конфискация постоянных доходов осужденного в течение 3 лет.
К тому же пострадавшие клиенты могут рассчитывать на стопроцентное возмещение ущерба и нанесенного морального вреда. На тяжесть наказания влияют последствия утечки ПД, поэтому пострадавший должен доказать в суде факт причинения урона.
Ответственность за преднамеренное или случайное раскрытие банковской тайны при кредите несут работники финансовых учреждений и другие лица, допущенные к личной информации клиентов, в том числе представители органов власти и некоммерческих структур, таких как БКИ.
Источник