При перепечатке материалов просим публиковать ссылку на портал Finversia.ru с указанием гиперссылки.
Как микрофинансисты могут собирать и использовать персональные данные клиентов.
Персональные данные клиентов – это одновременно и важнейший ресурс, и большая проблема микрофинансовой организации (МФО). Чем больше база данных о клиентах, тем качественнее МФО может проводить их оценку, принимая взвешенные решения о предоставлении займов и о выборе стратегии взыскания задолженности.
Основной закон, который регулирует порядок работы с персональными данными, – федеральный закон «О персональных данных» 27.07.2006 N 152-ФЗ. Данный нормативный акт устанавливает одинаковые требования в части обработки персональных данных для всех субъектов. То есть базовые требования в этой части для банков, МФО, органов власти одинаковые. Давайте разберемся в логике регулирования персональных данных.
Начнем с понятия
На практике часто смешиваются понятия персональных данных и различных видов тайн (конфиденциальной информации особого типа). Для МФО специальным видом тайны является тайна операций, также как для банков такой режим распространяется на информацию, относящуюся к банковской тайне.
К тайне операций относится информация о наличии и условиях договора займа, о наличии и размере долга клиента. Такая информация, как и персональные данные клиента, является конфиденциальной, то есть МФО обязана обеспечивать ее охрану и, по общему правилу, не в праве передавать ее третьим лицам. Однако за разглашение тайны операций МФО может быть исключена из реестра, так как такое действие является нарушением закона «О микрофинансовой деятельности и микрофинансовых организациях». Сведения, составляющие тайну операций, могут быть переданы МФО третьим лицам (родственникам должника, например) только в рамках взыскания просроченной задолженности и только при наличии письменного согласия должника, а также с крайней осторожностью до осуществления взыскания – при наличии доверенности должника. Поэтому крайне важно обеспечить качественную проверку личности клиента при осуществлении дистанционного консультирования клиента по статусу его договора займа, платежей по ним и подобной информации.
Обработка персональных данных возможна только с согласия физического лица, чьи данные обрабатываются
Закон содержит закрытый перечень оснований, когда согласие лица не требуется. Например, к таким случаям относится заключение договора. Если физическое лицо заключает договор займа, то данные, которые оно предоставляет кредитору – банку, МФО, ломбарду и т.п. – могут храниться и использоваться таким кредитором без оформления отдельного согласия заемщика. И это разумно: заключение и исполнение договора невозможно при отсутствии у сторон договора данных друг о друге. При этом если кредитор в рассматриваемом случае решит использовать полученные данные не для исполнения договора, например, захочет продать эти данные магазину, который будет рассылать рекламные смс, то такая обработка данных будет уже незаконной – физическое лицо может привлечь такого кредитора к ответственности.
Согласие на обработку персональных данных может быть устным, если закон не предусматривает письменную форму
То есть в абсолютном большинстве случаев достаточно того, что физическое лицо озвучило свое согласие, а оператор персональных данных может подтвердить факт получения такого согласия (например, располагает записью соответствующего разговора с субъектом). Поэтому совершенно законно получить как персональные данные, так и согласие на работу с ними по телефону. А письменная форма согласия нужна, например, при обработке биометрических данных или данных о здоровье. Чтобы база персональных данных была максимально монетизируема, в текст согласия кредитор сразу включает право на рекламную рассылку своих услуг и услуг третьих лиц, а также право на передачу информации третьим лицам для целей рекламы. А для обеспечения возможности использования ресурсов третьих лиц по оценке поведения клиентов, подключения платежных сервисов и т.п. важно в согласии учесть право на передачу персональных данных третьим лицам для выполнения обязанностей оператора по заключенным договорам, предоставляющим клиентам различные сервисы.
Персональные данные могут собираться и использоваться только для достижения конкретных целей, после чего они подлежат уничтожению
При этом цели обработки персональных данных должны быть указаны в согласии физического лица или соответствовать тем целям, для достижения которых обработка разрешена законом без согласия. То есть если клиент не оформлял согласие, так как целью сбора его данных было только заключение и исполнение договора займа, то после погашения заемщиком соответствующего займа кредитор вправе сохранить и обрабатывать только те данные клиента, которые необходимы кредитору для выполнения своих законных обязанностей, например, для составления обязательной отчетности в уполномоченные органы. Излишние данные кредитору необходимо удалить. Конечно, в такой ситуации рассылать клиенту рекламные сообщения такой кредитор не сможет ни до, ни после погашения займа, так как для целей рекламы клиент согласия не давал.
Операторы персональных данных
Это лица, осуществляющие сбор и иную обработку персональных данных для своих целей. Они должны быть включены в специальный реестр, который ведет Роскомнадзор. При этом на операторах персональных данных лежит огромное число обязанностей, связанных с обеспечением конфиденциальности информации. Сюда относится использование определенных информационных систем, регулярный аудит мест и систем хранения данных, назначение специального должностного лица, ответственного за обработку персональных данных, и т.п. Выполнение требований законодательства о персональных данных для операторов масштабных баз влечет регулярное выделение значительных финансовых ресурсов, а штрафы за нарушение этих требований являются одними из самых больших в КоАП, измеряясь в сотнях тысяч рублей. Любая МФО является оператором персональных данных, так как даже если клиентами МФО являются только юридические лица, то организация в обязательном порядке оперирует персональными данными представителей этих лиц и данными своих сотрудников.
Оператор персональных данных может поручить их обработку третьему лицу
И это лицо должно выполнять все требования, предъявляемые к операторам. Отличие между операторами и привлеченными к обработке данных лицами в том, что вторые работают с персональными данными для целей оператора, а не для себя. Например, МФО может привлечь лидогенератора для поиска потенциальных клиентов. В такой ситуации лидогенератор должен получить согласие физических лиц на обработку их персональных данных такой МФО. Сам лидогенератор полученные данные использовать не в праве. Однако на практике лидогенератор не получает никаких согласий от клиентов и передает данные последних сразу нескольким МФО. В этих случаях МФО не имеет права обрабатывать такие данные и должна самостоятельно получить согласия на обработку персональных данных. Другой сложностью работы с лидогенераторами является то, что они, как правило, не осуществляют проверку того, кто именно оставил на их сайте персональные данные, которые лидогенератор передал дальше в МФО. А при отсутствии подтверждения такой проверки даже полученное лидогенератором согласие является недействительным. К ответственности будет привлечет тот, на кого пожалуется соответствующее физическое лицо, чьи данные незаконно используются (например, за получение рекламной смс, на которую лицо согласия не давало).
Доступность информации
Субъект персональных данных вправе получать информацию о наличии/актуальности своих персональных данных у оператора, требовать изменения/удаления данных в установленных законом случаях. Поэтому в любой МФО должна быть налажена работа с обращениями клиентов/сотрудников/третьих лиц, касающихся обработки их персональных данных.
Взаимодействие с коллекторскими агентствами
В случае заключения договоров с коллекторскими агентствами передача им персональных данных должников может осуществляться без согласия соответствующих физических лиц в силу прямого указания закона о персональных данных. Однако для того, чтобы общаться с родственниками или соседями должника, обращаться в детективные агентства по розыску должника и передавать таким лицам сведения о должнике необходимо получить его письменное согласие на это (2 разных согласия: на передачу данных третьим лицам и на взаимодействие с третьими лицами).
Формат согласий
Все вышеуказанные письменные согласия могут быть оформлены не только в бумажной форме, но и в электронной. При этом электронная форма может предусматривать использование простой электронной подписи (например, одноразовый код, помещаемый в документ клиентом) или проставление простой «галочки». В первом случае согласие на обработку персональных данных будет признаваться письменным (а это обязательно, например, при трансграничной передаче данных или при использовании биометрии), а во втором случае согласие не будет письменным – такое согласие можно приравнять к согласию, данному по телефону с записью телефонного разговора (и это вполне допустимо для абсолютного большинства согласий, как указано в п.2 выше).
Другие важные особенности
1. При необходимости передачи персональных данных клиентов за границу (например, если хранение данных осуществляется на сервере, расположенном на территории иностранного государства, даже если собственником этого сервера является сам оператор) нужно определиться, относится ли такая страна к территориям, «не обеспечивающим адекватной защиты прав субъектов персональных данных». Если относится, то обработка данных возможна только при наличии письменного согласия субъекта. При этом не зависимо от того, какое иностранное государство используется для резервного хранения базы данных граждан РФ, их первоначальный сбор, а также систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение должны производиться в Российской Федерации.
2. Если МФО осуществляет исключительно автоматизированное принятие решения об оказании финансовой услуги, то согласие на обработку персональных данных должно быть обязательно письменное и включать в себя полномочие оператора принимать решение в отношении физического лица исключительно на основании автоматизированной обработки. На практике удобнее отказаться от такого способа принятия решения, дополнив его неавтоматизированными элементами.
3. Для обеспечения возможности осуществлять взаимодействие с клиентами в целях рекламы необходимо получить предварительное согласие на это. Как уже было сказано выше, письменная форма при этом не обязательна. Но при этом отдельное требование устанавливает закон «О рекламе»: «не допускается использование сетей электросвязи для распространения рекламы с применением средств выбора и (или) набора абонентского номера без участия человека (автоматического дозванивания, автоматической рассылки)».
обсуждение