Достаточно часто претензии граждан в отношении нарушений законодательства по защите персональных данных (ПДн) возникают как «довесок» к более серьёзному спору с оператором персональных данных.
Арбитражный суд г. Москвы в мае 2022 года вынес решение по делу № А40-12838/2022-146-98, в котором Роспотребнадзор по жалобе гражданина предъявил претензии к обществу АО «Альфа-Банк», обвинив его в ущемлении прав потребителя в договоре. Помимо этого банку предъявили претензии, связанные с избыточно длительным хранением персональных данных.
Суть спора
Постановлением Управления Роспотребнадзора по Пермскому краю в январе 2022 года общество АО «Альфа-Банк» было признано виновным в совершении административного правонарушения, предусмотренного частью 2 статьи 14.8 КоАП РФ, и банку было назначено наказание в виде административного штрафа в размере 10 тысяч рублей.
Это решение было вынесено по результатам рассмотрения обращения гражданина, с которым в сентябре 2021 года «Альфа-Банк» заключил договор накопительного счета «Альфа-счет» путем присоединения к Договору о комплексном банковском обслуживании физических лиц в АО «Альфа-Банк».
Административный орган установил, что банк допустил включение в заключенный договор условий, ущемляющих права потребителя, по сравнению с правилами установленными законами или иными правовыми актами Российской Федерации в области защиты прав потребителей.
Позиция Арбитражного суда г. Москвы
Среди претензий к банку были установленные в договоре сроки обработки персональных данных (ПДн):
- Пунктом 3.16.14 договора было предусмотрено: «Банк осуществляет обработку персональных данных клиента в течение всего срока действия соглашений, договоров, включая договор о комплексном банковском обслуживании физических лиц в АО «Альфа-Банк», заключенных с банком, а также в течение 10 лет с даты прекращения обязательств сторон по соглашениям».
- Согласно п.3.17 Договора: «Персональные данные клиента подлежат уничтожению по истечении 10 (десяти) лет с даты прекращения обязательств сторон по договору».
Для справки: Согласно Закону о персональных данных (ч.2 статьи 5 Закона №152-ФЗ), обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Персональные данные подлежат уничтожению либо обезличивание по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (ч. 7 ст.5 Закона №152-ФЗ).
Пункты договора устанавливают срок обработки персональных данных клиента в течение 10 лет с даты прекращения обязательств, который, по мнению суда, является завышенным и не подтвержденным целями обработки ПДн клиента, что противоречит требованиям федерального закона «О персональных данных», Закона РФ «О защите прав потребителей» и ущемляет права потребителя.
Суд отказал в удовлетворении требований АО «Альфа-Банк» в полном объеме.
Девятый арбитражный апелляционный суд в июле 2022 года оставил без изменения решение Арбитражного суда города Москвы, а апелляционную жалобу - без удовлетворения.
Арбитражный суд Московского округа в октябре 2022 года оставил без изменения
решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу – без удовлетворения.
Мой комментарий: С моей точки зрения, проигрыш спора был связан не с тем, что банк был в принципе неправ, а с тем, что он не сумел убедительно объяснить суду, почему был необходим именно такой срок хранения документов с ПДн клиентов. Для сравнения, в «Перечне кредитных организаций» срок хранения для документов по персональным данных клиентов установлен в 5 лет ЭПК (которые на практике легко могут растянуться на все 25 лет!), но может оказаться более длительным в случае включения этих документов в досье с длительным сроком хранения:
Перечень документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения (утв. Положениями Росархива № 1, Банка России № 801-П от 12.07.2022)
50. Документы (в том числе согласия на обработку персональных данных, анкеты клиентов, карточки с образцами подписей и оттиска печати, заявления об изменении персональных данных) по персональным данным клиентов - 5 лет ЭК, в случае хранения в досье клиента срок хранения равен сроку хранения досье
Мой комментарий: Однако если ПДн включены в досье, имеющее длительный или постоянный срок хранения, то и срок хранения включаемых в досье документов с ПДн может стать таким же :)
Перечень документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения (утв. Положение Росархива № 1, Банка России № 801-П от 12.07.2022)
Иными словами, возможно, недоработали юристы банка…
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
Комментариев нет:
Отправить комментарий