О защите персональных данных пайщиков кредитных кооперативов

Уважаемые коллеги.

Сейчас, в связи с внесением изменений в Закон от 27.07.2006 №152-ФЗ «О персональных данных» возобновились спекуляции по поводу соблюдения этого закона кредитными кооперативами. Проводятся достаточно дорогие семинары, в ходе которых, ссылаясь на внесенные в Закон изменения, вновь утверждается о необходимости получать согласие пайщика на обработку его персональных данных и направить уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Мы уже высказывались об этом ранее, и я хочу только уточнить позиции.

Кредитные кооперативы, безусловно, обрабатывают персональные данные своих пайщиков и в соответствии с п.1, ст.19 Закона должны «принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных».

Характер, объем и содержание таких мер определяется принимаемыми кредитными кооперативами внутренними документами, составить которые сравнительно просто самостоятельно.  

Что касается обработки персональных данных, то к нашей ситуации идеально подходит случай, описанный в пп.5, п.1 ст. 6 Закона «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».

Если обрабатываемые нами персональные данные представляются в суд, в прокуратуру или в полицию, то этот случай предусмотрен пп.3 ст.6: «обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве».

Таким образом, основываясь на приведенных нормах Закона, можно заключить, что кредитные кооперативы вправе, в указанных случаях, осуществлять обработку персональных  данных своих пайщиков не получая их согласия на это.

Но многие предпочитают подстраховаться и включить фразу «о согласии на обработку персональных» в заявление о вступлении пайщика в кооператив, в текст заключаемого с ним договора. Хочу обратить Ваше внимание, что в соответствии с п.4 ст.9, наряду с информацией, уже содержащейся в заявлении о вступлении в кооператив или в заключаемом с пайщиком договоре, такое согласие должно, в частности включать:

• цель обработки персональных данных (пп.4), например, «в целях обеспечения уставной деятельности кооператива»;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (пп.5), например «сведения, содержащиеся в реестре или лицевой карточке пайщика»;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных (пп.7) - например, «взаимодействие в период членства пайщика в кооперативе, исполнения договора и пр.»;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом (пп.8) – например, «на период членства в кооперативе, на период действия договора» и пр.;

Я повторяю, что не считаю такое согласие необходимым, но если Вы решили его оформить, то Вам следует придерживаться установленного Законом содержания этого документа. С тем, чтобы сэкономить бумагу, можете оговорить эти пункты мелким шрифтом и лучше один раз – в заявлении о вступлении (за исключением случаев, когда согласие дается поручителями). Это позволит подстраховаться от претензий особо одаренных (т.е. «ретивых») чиновников и судей.

Что касается направления нами уведомления в уполномоченный орган, то, следуя п. 2, ст. 22 «Оператор (т.е. мы) вправе осуществлять без уведомления уполномоченного органа …:

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

По нашему мнению, членство в кооперативе является договором присоединения, все отношения с пайщиками в период их членства также оформляются договорами займов и размещения сбережений, взаимоотношения с лицами, не являющимися пайщиками (поручителями) также оформляются договорами и ставшие доступными кооперативу персональные данные этих лиц используются исключительно для заключения и исполнения договоров с ними. Следовательно, мы может осуществлять обработку персональных данных без уведомления уполномоченного органа. 

Конечно, я не могу дать полную гарантию, что эти доводы возымеют действие в случае, если у проверяющих возникнут претензии на этот счет, но они вполне подойдут как аргументы в споре, обосновании и отстаивании свой позиции. 

С уважением, Марат Овчиян