Нарушение закона о персоналных данных

Возврат товара

Потребитель решил вернуть товар и хочет забрать свои деньги. Как известно, магазин в этом случае просит заполнить заявление, в котором необходимо указать личную информацию: Ф. И. О., паспортные данные, место жительства. Законно ли это?

В вышеописанной ситуации требование о предъявлении паспорта не является нарушением. Кассир вправе проверить документ при возврате товара. Так решил Верховный суд (постановление от 15 июня 2015 г. № 25-АД15-3). ВС отменил все акты, которые до этого были приняты по делу, и признал, что организация действовала в рамках норм.

Закон от 7 февраля 1992 года № 2300-1 «О защите прав потребителей» предусматривает, что покупатель вправе отказаться от исполнения договора купли-продажи и потребовать вернуть уплаченные деньги. Продавец же в своей работе обязан соблюдать порядок ведения кассовых операций. Согласно Указанию Банка России от 11 марта 2014 года № 3210-У, кассир выдает наличные после проведения идентификации покупателя по паспорту или другому документу, удостоверяющему личность. Стоит отметить, что документ, который существовал до Указания 3210-У (речь о Положении, утв. Банком России 12 октября 2011 г. № 373-П, именно он действовал в момент рассмотрения спора) предусматривал аналогичную норму.

Таким образом ситуация с возвратом денег покупателю на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Поэтому в таком случае отсутствуют основания привлекать организацию к административной ответственности. Компании, на сторону которой в конечном счете встал ВС, пришлось нелегко: ей потребовалось немало сил и времени, чтобы доказать свою правоту. Ведь изначально прокуратура возбудила в отношении фирмы дело по статье 13.11 КоАП РФ (по заявлению того самого покупателя, который хотел вернуть товар и не желал предъявлять паспорт кассиру), мировой судья признал ее виновной. Представители фирмы не отчаивались и шли дальше, отстаивая свои права, в итоге им это удалось.

Личные документы

Компания использует в своей документации персональные данные сотрудника. Это законно? Ознакомившись с судебной практикой, можно дать утвердительный ответ на этот вопрос. В 2011 году Невский районный суд Санкт- Петербурга рассмотрел дело. Иск подал уволившийся сотрудник к своему работодателю. Он считал, что компания неправомерно указала в конструкторской документации его фамилию. Самое интересное, что уволившийся просил восстановить его на работе. Также он требовал взыскать с организации сумму среднего заработка за время вынужденного прогула, задолженность по оплате сверхурочной работы с уплатой процентов. Ссылался истец на то обстоятельство, что при разработке конструкторской документации на ряде бумаг, которые он не подписывал, была указана его фамилия. В связи с этим в докладной записке он потребовал удалить свои Ф. И. О. со всех документов. Но, по его словам, работодатель никаких действий по защите его персональных данных не предпринял, чем нанес ему моральный вред. Так что и эти страдания сотрудник просил ему возместить. Однако суд на его сторону не встал. Служители Фемиды не увидели в действиях компании нарушений.

Арбитры пришли к выводу, что работодатель в пределах, установленных законом, вправе обрабатывать персональные данные своих сотрудников (ст. 85 ТК РФ). Информацию о нем компания получила от него самого при заключении трудового договора. А значит, закон не нарушала (определение Санкт-Петербургского городского суда от 24 января 2012 года № 33-712/2012).

По требованию суда

Суд запросил в компании персональные данные бывшей сотрудницы. Обязана ли фирма выполнять это требование?

Чтобы ответить на этот вопрос, расскажу об одном деле: апелляционном определении Верховного суда Чувашской Республики от 21 апреля 2014 года по делу № 33-1519/2014. Истица оспаривала правомерность передачи ее персональных данных. Она настаивала: бывший работодатель не имел право разглашать сведения о ней суду. Однако Служители Фемиды считали иначе. Они пришли к выводу, что персональные данные истицы компания направила в связи с имеющимся в производстве суда гражданским делом между сторонами. Обработка персональных данных для осуществления правосудия не нарушает закон – так решили арбитры.

На всеобщее обозрение

Компания разместила отзыв в интернете на всеобщее обозрение вместе с персональными данными своего клиента. Можно ли так делать?

Постановление Хабаровского краевого суда от 5 марта 2015 года по делу № 4-А-44/15 подтверждает, что так поступать нельзя. Примечательно, что виновной суд признал не какую-то рядовую компанию, а администрацию города Амурска. На ее официальном сайте без согласия заявителя в открытом доступе было размещено обращение, адресованное главе поселения, в котором содержались персональные данные: фамилия, имя, отчество, домашний адрес, номер телефона. Суд счел, что своими действиями администрация нарушила положения статей статьи 6, 7, 9 Федерального закона «О персональных данных».

Казус произошел и с Пенсионным фондом. ПФР в качестве образца заполнения заявления о выдаче дубликата страхового свидетельства использовал реальные данные человека. Последнему это, конечно, не понравилось и он подал в суд. И выиграл его (определение Приморского краевого суда от 14 июля 2014 г. по делу № 33-5960). Посетителю ПФР даже присудили компенсацию морального вреда в размере 10 000 рублей.

Незаконная рассылка

Компания использует контактные данные клиентов для почтовой рассылки информации о собственных рекламных акциях. Есть ли у нее на это право?

В этом случае организация забывает, что согласно статье 15 Закона № 152-ФЗ обработка персональных данных в целях продвижения товаров допускается только при условии предварительного согласия клиента. Если фирма собирает данные через заполнение анкет, то в ней должно быть указано, что продавец обязуется не разглашать данные клиента, либо – стоять «галочка», что потребитель согласен на обработку информации о себе. В противном случае такая рассылка незаконна.

Банки и коллекторы

Банки часто передают информацию о клиентах коллекторам. Законно ли это?

В 2011 году суд признал «Альфа-банк» виновным в нарушении законодательства о персональных данных. По данным прокуратуры, кредитное учреждение без получения в установленном законом порядке согласия гражданина передало информацию о нем коллекторскому агентству. Суд признал банк виновным в совершении административного правонарушения по статье 13.11 КоАП РФ и назначил банку наказание в виде штрафа. Такая же история была с Промсвязьбанком и некоторыми другими кредитными учреждениями.

При этом вопрос передачи данных клиента коллекторам остается все еще острым и спорным. Часто при заключении кредитного договора заемщик подписывает бумагу (или подобный пункт есть в договоре), в котором высказывает согласие, «в случае чего», на передачу данных третьим лицам. Тогда распространение личных данных будет законным и оспорить ее клиент банка не сможет.

Больной вопрос

Клиника собирает информацию о клиенте. Как она обязана ее хранить?

Чтобы ответить на этот вопрос можно обратить к другому судебному спору. Роскомнадзор проверил медцентр. В ходе мероприятия было установлено, что в клинике отсутствуют сведения о назначении ответственного за организацию обработки персональных данных, соответствующие локальные акты и многие другие бумаги. Это позволило Роскомнадзору сделать вывод, что клинка нарушила пункты 1, 2, 5, 6 части 1 статьи 181 Федерального закона от 27 июля 2006 года № 152-ФЗ, пункты 6, 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением правительства РФ от 15 сентября 2008 года № 687. Медучреждение посчитало, что его права нарушены и обратилось в суд. Однако арбитры встали на сторону контролирующего органа (постановление ФАС Поволжского округа от 23 августа 2012 г. по делу № А57-15063/2011). Это дело наглядно демонстрирует, что важно правильно хранить персональные данные клиентов, иначе ответственности не избежать.

Усиление ответственности

Статья 13.11 КоАП РФ предусматривает ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Санкция за такой проступок – штраф: для физлиц: от 300 до 500 рублей, для должностных лиц – от 500 до 1000 рублей, для организаций – от 5000 до 10 000 рублей.

Кажется, что ответственность не такая уж и серьезная. Однако в скором времени все может измениться. Недавно Госдума решила повысить штрафы за такие нарушения. Поправки в КоАП депутаты весной этого года приняли в первом чтении. Для компаний штраф за нарушение правил обработки персональных данных вырастет с 10 000 до 50 000 рублей. Помимо этого, проект предусматривает, что в некоторых случаях организациям будет грозить штраф размером до 300 000 рублей. Такая ответственность предусмотрена в ситуации, когда фирма без необходимости работает со специальными персональными данными (например, с информацией о национальности, состоянии здоровья, религиозных и политических убеждениях). В пояснительной записке к законопроекту сказано, что поправки необходимы, так как действующая в настоящее время редакция КоАП защищает права россиян неэффективно. По мнению чиновников, документ в случае его принятия будет дисциплинировать операторов персональных данных: они постараются не нарушать закон, чтобы не платить большие штрафы.

И еще. 1 сентября 2015 года вступила в силу новая редакция закона «О персональных данных». С этой даты все компании, располагающие информацией о гражданах нашей страны, должны хранить ее в России. За нарушение этого правила, Роскомнадзор имеет право потребовать от операторов связи ограничить доступ к интернет-ресурсам, которые не гарантируют хранения персональных данных внутри РФ. По причине новизны «принципа локализации», многие организации в настоящее время не понимают, какие изменения им необходимо внести в свою ИТ-инфраструктуру или бизнес-процессы для того, чтобы исполнить закон, особенно если такая инфраструктура носит трансграничный характер. Некоторые ответы на возникшие вопросы можно найти на сайте Минкомсвязи по адресу: www.minsvyaz.ru/ru/personaldata.