В законе «О персональных данных» закреплена обязанность оператора персональных данных уничтожить персональные данные гражданина после достижения целей обработки. Самым интересным здесь является вопрос, как определить, что цель обработки достигнута.
В данном случае спор возник между банком и его бывшим заемщиком, который после погашения кредита потребовал уничтожить все его личные данные, включая номер паспорта, номера телефонов, адреса и прочие сведения, находящиеся в распоряжении (базе данных) банка.
Арбитражный суд Республики Бурятия разбирал этот интересный вопрос в марте 2012 года (дело № А10-125/2012).
Суть спора
В марте 2007 года между ОАО «Азиатско-Тихоокеанский Банк», и гражданином М. был заключен кредитный договор, по условиям которого Банк представил М. кредит сроком на 60 месяцев.
Пунктом 5.7 договора было предусмотрено, что настоящий договор одновременно является выражением согласия заемщика на обработку, распространение использование, трансграничную передачу, обезличивание с использование средств автоматизации или без использования таких средств его персональных данных, содержащихся в настоящем договоре, в целях надлежащего исполнения условий договора, в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Согласно пункту 5.7.2 согласие может быть отозвано заемщиком путем направления банку заявление в письменной форме. В этом случае банк прекращает обработку персональных сведений и уничтожает их после исполнения сторонами условий обязательств, вытекающих из настоящего договора.
В связи с погашением полученного кредита в Банк в сентябре 2011 года поступило заявление от гражданина М. об удалении, уничтожении всех личных данных, включая номер паспорта, номера телефонов, адреса и прочие сведения находящиеся в распоряжении (базе данных) банка.
Банк отказался выполнить требование М. об уничтожении его персональных данных В декабря 2011 года М. обратился с заявлением в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Республике Бурятия с требованием обязать ОАО «АТБ» - филиал в г. Улан-Удэ уничтожить персональные данные в связи с полным исполнением кредитных обязательств.
Управлением Роскомнадзора была проведена внеплановая выездная проверка в отношении оператора персональных данных ОАО «АТБ» - филиал в г. Улан-Удэ. В ходе проверки было установлено, что персональные данные М. хранятся как в информационной системе, так и на бумажных носителях, в том числе копия паспорта М. Право субъекта персональных данных на удаление своих персональных данных реализовано не было. По результатам проверки был составлен акт и вынесено предписание банку об устранении выявленных нарушений.
Не согласившись с данным предписанием, общество оспорило его в судебном порядке.
Позиция ОАО «АТБ» – филиал в г. Улан-Удэ
Сохранение персональных данных М. необходимо для защиты интересов банка в суде (в течении сроков исковой давности), для представления сведений по проверкам надзорных органов – Центрального Банка Российской Федерации и других надзорных органов, а также в целях налогового учета.
В ходе проверки банка Центральный Банк вправе запросить кредитное досье заемщика. Копия паспорта заемщика является неотъемлемой частью кредитного досье заемщика, а банк обязан обеспечить сохранность кредитного досье.
Копия паспорта заемщика необходима банку для соблюдения законодательства о противодействии терроризму, а также для того, чтобы контролирующий орган имел возможность проверить соблюдение банком законодательстве о противодействии терроризму. Без копии паспорта проверка соблюдения порядка идентификации клиента невозможна.
Банк обязан в пределах сроков исковой давности сохранять кредитный договор и все прилагаемые к нему документы М., в том числе и его персональные данные.
Кроме того, банк, как открытое акционерное общество, на основании ч. 2 ст. 89 ФЗ «Об акционерных обществах» обязан хранить документы, связанные с его деятельностью, в том числе и кредитный договор М.
Согласно части 5 статьи 21 закона «О персональных данных» банк обязан уничтожить персональные данные только при одновременном соблюдении двух условий:
- Отзыв субъектом персональных данных согласия на обработку;
- Если сохранение персональных данных более не требуется для целей обработки персональных данных.
Сохранение персональных данных заемщика, в данном случае, необходимо для банка, т.к. в информационной системе банка хранятся сведения об операциях по ссудному счету и текущему банковскому счету заемщика, которые, в свою очередь, необходимы:
- Для исполнения Банком функций, возложенных на Банк ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в случаях, предусмотренных законодательством Российской Федерации о противодействии терроризму;
- Для защиты интересов Банка в суде (в течении сроков исковой давности);
- Для представления сведений по проверкам надзорных органов ЦБ РФ и другим надзорным органам, а также в целях налогового учета.
Позиция Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Бурятия
В ходе проверки было установлено, что АТБ Банк обрабатывает персональные данные М. на бумажных носителях и в информационной системе.
При проведении проверки Управление разграничило обработку персональных данных АТБ Банком в отношении М. (п.п. 7 ч. 1 ст. 6 ФЗ «О персональных данных»):
- На обработку персональных данных для осуществления прав и законных интересов АТБ Банка;
- На обработку персональных данных для реализации прав и свобод М.
Отказ и продолжение обработки персональных данных М. в информационной системе АТБ Банка и копии его паспорта, содержащего фотографию субъекта (биометрические персональные данные), нарушают право М. на отзыв своих персональных данных, в соответствии со ст. 9, ч. 5 ст. 21 ФЗ «О персональных данных» и обязательств сторон по кредитному договору.
На продолжение обработки копии паспорта М. и его персональных данных в информационной системе у АТБ Банка основания отсутствуют.
Право субъекта персональных данных на удаление своих персональных данных в этой части реализовано не было.
Обработка персональных данных должна осуществляться на законной и справедливой основе, а также ограничиваться достижением конкретных, заранее определенных и законных целей (ст. 5 закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
Оператор персональных данных не должен нарушать права субъектов персональных данных предусмотренных ст. 24 Конституции Российской Федерации так и главе 3 закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Позиция Арбитражного суда Республики Бурятия
Пунктом 5.7.2 кредитного договора № 7097 от 09.03.2007г., установлено, что согласие может быть отозвано заемщиком путем правления Банку заявления в письменной форме. В этом случае Банк прекращает обработку персональных сведений и уничтожает их после исполнения сторонами условий обязательств, вытекающих из настоящего договора.
Положением об обработке и защите персональных данных в «Азиатско-тихоокеанский Банк» (ОАО) пунктом 1.7.5. предусмотрено, что уничтожение персональных данных осуществляется банком в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных.
Условия обязательств, вытекающих из договора, сторонами выполнены, М. кредит оплачен. Субъектом персональных данных было направлено письменное заявление об уничтожении персональных данных.
Пункт 5 ст. 21 Федерального закона № 152-ФЗ от 27.07.2006 года регламентирует действия оператора персональных данных после получения им отзыва субъектом данных согласия на обработку своих данных: оператор обязан прекратить обработку данных, уничтожить данные в срок, не превышающим тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных, уведомить субъекта персональных данных о таком уничтожении данных. Эти положения банком выполнены не были.
Арбитражный суд отказал в удовлетворении заявления о признании незаконным предписания Управления Роскомнадзора по Республике Бурятия.
Позиция Четвертого арбитражного апелляционного суда
Четвертый арбитражный апелляционный суд в июле 2012 года отметил, что сторонами был заключен кредитный договор, который исполнялся сторонами, что породило для каждой из сторон как гражданско-правовые права и обязанности, так и публично-правовые обязанности, которые каждая из сторон кредитного договора обязана исполнить вне зависимости от желания другой стороны гражданско-правового соглашения. Поэтому суд апелляционной инстанции считает, что наличие у кредитной организации персональных данных контрагента по договору обуславливается необходимостью обработки персональных данных для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно-значимых целей.
Статьей 5 федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» к организациям, осуществляющим операции с денежными средствами или иным имуществом, отнесены кредитные организации. Они обязаны идентифицировать клиента, представителя клиента и (или) выгодоприобретателя и установить сведения, в том числе о физических лицах.
К указанным сведениям в отношении физических лиц закон прямо относит фамилию, имя, а также отчество, гражданство, дату рождения, реквизиты документа, удостоверяющего личность, данные миграционной карты, документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места жительства (регистрации) или места пребывания, идентификационный номер налогоплательщика (при его наличии).
Кредитные организации, которым поручено проведение идентификации, несут ответственность за несоблюдение установленных требований по идентификации в соответствии с настоящим федеральным законом. Банковские платежные агенты несут ответственность за несоблюдение установленных требований по идентификации в соответствии с договором, заключенным с кредитной организацией.
Они также обязаны документально фиксировать информацию, полученную в результате реализации указанных правил, и сохранять ее конфиденциальный характер. Документы, содержащие сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет. Указанный срок исчисляется со дня прекращения отношений с клиентом.
Согласно положениям федерального закона от 21.11.1996 № 129-ФЗ «О бухгалтерском учете» организации обязаны хранить первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет. Ответственность за организацию хранения учетных документов, регистров бухгалтерского учета и бухгалтерской отчетности несет руководитель организации.
При этом действующее налоговое законодательство, законодательство о налоговом, бухгалтерском и банковском учете не допускает, чтобы первичные документы учета, к которым относится кредитный договор и приложения к нему, не содержали сведений об участниках такого соглашения в пределах возможной их идентификации.
Суд отметил, что отношения кредитора и заемщика после окончания гражданско-правовых отношений порождают для Банка финансовые обязательства перед государством, которые подлежат государственному контролю, а несоблюдение финансовых обязательств влечет для него неблагоприятные последствия.
Учитывая, что уничтожение персональных данных - это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных, суд апелляционной инстанции считает, что требование от кредитной организации, в случае, когда гражданско-правовые отношения между кредитором и заемщиком породили у лиц данных правоотношений публичные обязанности, является нарушением прав и законных интересов, как самого оператора, так и публичных интересов, и в частности, в области государственного контроля за состоявшимися гражданско-правовыми отношениями с точки зрения налогового, банковского, бухгалтерского учета, создания правового механизма противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
Пункт 7 части 1 статьи 6 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускает обработку персональных данных без согласия субъекта персональных данных, если, в частности, обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Доказательств, что обработка заявителем персональных данных заемщика (третьего лица по делу) после прекращения гражданско-правовых отношений с клиентом (заемщиком) в силу исполнения обязательств, нарушает права третьего лица, Роскомнадзором в суд не было представлено.
Учитывая, что уничтожение персональных данных по заявлению третьего лица и в результате исполнения оспариваемого предписания не позволит банку надлежащим образом соблюсти требования законодательства, чем нарушатся его законные интересы в соблюдении требований законодательства и обусловит применение к нему мер публичного воздействия со стороны органов государственного контроля в области налогового, банковского контроля, а также в области создания правового механизма противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, суд апелляционной инстанции посчитал, что требования заявителя подлежат удовлетворению, поскольку оспариваемое предписание нарушает права и законные интересы заявителя и не соответствует нормам действующего законодательства.
Доводы Роскомнадзора о том, что, по его мнению, банк обязан был уничтожить сведения гражданина только в электронной сети банка (при автоматизированной обработке персональных данных), а также только копию паспорта и фотографию гражданина, как часть биометрических персональных данных, судом апелляционной инстанции судом не была принята, поскольку указанное
не следует из оспариваемого предписания. Суд также отметил, что федеральный закон от 27.07.2006 № 152-ФЗ не предусматривает частичного уничтожения персональных данных оператором, либо в зависимости от вида носителя, на котором хранится такая информация.
На этих основаниях апелляционный суд отменил решение Арбитражного суда Республики Бурятия от «28» марта 2012 года. Предписание Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Бурятия было признано незаконным, как не соответствующее федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных».
Федеральный арбитражный суд Восточно-Сибирского округа в октябре 2012 года отказал М. в удовлетворении ходатайства о восстановлении пропущенного срока на подачу кассационной жалобы.
Источник: сайт Высшего Арбитражного Суда Российской Федерации
http://www.arbitr.ru/