CC BY
20
УНИВЕРСИТЕТА
О.Е. Кугафина (МПОА)
Ирина Юрьевна ПАВЛОВА,
кандидат юридических наук, доцент, доцент кафедры гражданского права Университета имени О.Е. Кутафина (МГЮА) iyuilina@msal.ru 125993, Россия, г. Москва, ул. Садовая-Кудринская, д. 9
Правовая охрана персональных данных гражданина при их получении коммерческими банками не в рамках своей основной деятельности
Аннотация. Статья посвящена ряду вопросов правовой охраны и защиты персональных данных при их предоставлении коммерческим банкам как самими субъектами персональных данных, так и третьими лицами при осуществлении банками неосновной деятельности; проблематике правовой охраны персональных данных несовершеннолетних граждан, не являющихся клиентами банка, в рамках функционирования цифровых образовательных платформ, разработанных банками и их структурными подразделениями для обучения в школах; роли государства в обеспечении правовой охраны персональных данных граждан; вопросам защиты персональных данных граждан, используемых коммерческими банками не в соответствии с целями предоставления данных, а также в рамках неосновной деятельности; проблемам распространения персональных данных без согласия субъекта персональных данных; возможности либо невозможности использования персональных данных, полученных через цифровые образовательные платформы, банками для аналитики в целях дальнейшего возможного предоставления банковских услуг, рекламы и др., в том числе при передаче для обработки иностранным консалтинговым фирмам, чьими услугами пользуется банк; проблематике совершенствования законодательства о банках и банковской деятельности в соотношении с Гражданским кодексом РФ и в соотношении с законодательством о персональных данных.
Ключевые слова: правовая охрана, банковская тайна, тайна персональных данных, коммерческие банки, обработка и распространение персональных данных, роль государства в защите персональных данных, принципы права, цифровые образовательные платформы, несовершеннолетние обучающиеся, консалтинговые услуги.
DOI: 10.17803/2311-5998.2021.87.11.136-143
© И. Ю. Павлова, 2021
в
ЕСТНИК Павлова И. Ю.
УНИВЕРСИТЕТА Правовая охрана персональных данных гражданина |J/
имени o.e. кутафина(мгюа) при их получении коммерческими банками.
I. Yu. PAVLOVA,
Cand. Sci. (Law), Associate Professor, Associate Professor of the Department of Qvil Law of the Kutafin Moscow State Law University (MSAL)
iyuilina@msal.ru
9, ul. Sadovaya-Kudrinskaya, Moscow, Russia, 125993
Legal protection of personal data of a citizen when it received by commercial banks outside of their core business
Abstract. The article is devoted to the issues of legal protection of personal data when providing to commercial banks both by the subjects of personal data themselves and by third parties; the problem of legal protection of personal data of underage who is not client of the bank, within the framework of the functioning of digital educational platforms for teaching in schools; the role of the state in ensuring the legal protection of personal data of citizens; protection of personal data of citizens used by commercial organizations not in accordance with the purposes of providing data; problems with the dissemination of personal data without the consent of the subject of personal data; the possibility or impossibility of using personal data obtained through digital educational platforms by banks for analytics for the purpose of further possible provision of banking services, advertising, etc., including when transferred for processing to foreign consulting firms whose services the bank uses; problems of improving legislation on banks and banking activities in relation to the Civil Code of the Russian Federation and in relation to legislation on personal data.
Keywords: legal protection, banking secrecy, privacy of personal data, commercial banks, processing and distribution of personal data, the role of the state in the protection of personal data, principles of law, digital educational platforms, underage schoolchildren, consulting services.
Правовая охрана персональных данных, являясь по своей правовой сути межотраслевой, вызывает не только ряд сложностей правоприменительного характера, но и требует систематизации и детализации правового регулирования ввиду своей многоаспектности. Необходимо концентрироваться не только на позитивном правовом регулировании, но и на тех тенденциях, которые требуют пристального внимания как законодателя, так и правоприменителя.
Федеральный закон «О персональных данных»1 (далее — Закон о персональных данных) претерпел в 2021 г. ряд изменений, в целом направленных на повышение правовой защищенности прав и законных интересов субъектов персональных данных. Можно сказать, что данные изменения являются шагом в направлении повышения защищенности таких данных. В частности, стали
1 Федеральный закон от 27.07.2016 № 152-ФЗ (в ред. от 02.07.2021) «О персональных данных» // СПС «КонсультантПлюс».
Г И
В
р □
ш
И
ш
А
Ц
И
а ш
п В
m Р m
Г
А Ж
Д А
I
п
К
□
и
□
ПРАВА
>
в М УНИВЕРСИТЕТА
4-—^ и мени О. Е. Кугафи на (МПОА)
выделять согласие на распространение персональных данных, не подразумевая теперь, что согласие на обработку данных представляет собой автоматическое согласие на распространение.
Возникает вопрос защищенности персональных данных гражданина, если эти данные получены от субъекта таких данных, но не в рамках основной деятельности коммерческого юридического лица, в частности банка, а в рамках некоммерческой сопутствующей деятельности через создание соответствующих некоммерческих юридических лиц для этих целей либо через свои структурные подразделения.
Так, когда коммерческий банк через созданные им организации или через свои структурные подразделения стремится заниматься также не только своей основной коммерческой деятельностью, а, например, образовательными платформами и технологиями, получая при этом персональные данные граждан, в том числе несовершеннолетних, не являющихся его клиентами, могут возникнуть значимые правовые последствия, затрагивающие или нарушающие права субъектов персональных данных.
Система образования в целом обеспечивает реализацию общественно полезных некоммерческих целей через образовательную деятельность образовательных учреждений, через деятельность иных некоммерческих образовательных организаций, а также через организующую и контрольную деятельность государственных органов. Именно государственные органы, такие как Министерство просвещения РФ, Министерство образования и науки РФ, департаменты образования субъектов РФ, а также создаваемые ими юридические лица на основе государственной собственности и собственности субъектов РФ и муниципальных образований действуют строго в рамках предоставленной им законом и подзаконными актами компетенции по обработке персональных данных.
Поступление персональных данных в порталы государственных услуг, в том числе в целях организации сферы образовательных услуг, существенно отличается с точки зрения рисков нарушения прав от поступления персональных данных в коммерческие структуры, в том числе в банки, имеющие существенное иностранное участие.
Определенным вызовом с точки зрения необходимости верного правоприменения и совершенствования действующего законодательства стало участие коммерческих банков в некоммерческой сфере, когда к ним поступают персональные данные граждан, не являющихся их клиентами. Так, создание Сберкласса как комплексного решения для школы, цифровой платформы, «которая учитывает потребности каждого учителя и класса, позволяет выстраивать персональные траектории обучения, планировать уроки, использовать разные способы проверки заданий, следить за прогрессом учеников и многое другое»2, безусловно, предполагает поступление персональных данных в цифровые ресурсы Сбербанка. Деятельность данного банка, как любой крупной корпорации, предполагает использование услуг консалтинговых компаний, в том числе часто иностранных, при этом данный банк обязан обеспечить безопасность персональных данных несовершеннолетних граждан — учеников школ, воспользовавшихся его цифровой образовательной платформой.
2 URL: https://sberclass.ru/ (дата обращения: 20.09.2021).
УНИВЕРСИТЕТА Правовая охрана персональных данных гражданина
имени o.e. кугафина(мгюа) при их получении коммерческими банками.
Идея поставить систему частных цифровых образовательных платформ под государственный контроль в целях защиты персональных данных граждан в настоящее время высказана и Президентом России. Однако возникает вопрос: возможен ли данный контроль за коммерческой организацией с иностранным участием и пользующейся услугами иностранных консалтинговых фирм в принципе и в рамках действующего законодательства о персональных данных в частности. Ответ на данный вопрос видится отрицательным ввиду ряда объективных причин, анализируемых ниже.
Представляется необходимым создание цифровых платформ на базе государственных структур и структур субъектов РФ, но не на базе коммерческих юридических лиц, имеющих существенную долю иностранного участия. Безусловно, потребуются финансовые вложения со стороны государства, но это в полной мере будет соответствовать Стратегии национальной безопасности Российской Федерации, где в ряду других национальных интересов названа защита граждан от противоправных посягательств, а среди приоритетов указаны научно-технологическое развитие, информационная безопасность3.
В современной науке, в том числе в межотраслевом аспекте, ставятся вопросы как об инновационном развитии, так и о качестве образовательных систем4. С точки зрения права остра необходимость обеспечения правовой охраны и возможностей гражданско-правовой защиты персональных данных граждан при получении образования, граждан, не являющихся клиентами банка, чьи персональные данные на такую цифровую платформу передала, например, школа или иная образовательная организация с согласия родителей на обработку персональных данных. Важно, что это прежде всего несовершеннолетние граждане, чьи права и законные интересы с точки зрения принципов права должны защищаться приоритетным образом.
Безусловно, когда согласие на обработку персональных данных предоставляется родителями и иными законными представителями несовершеннолетних для использования в целях, установленных законом, государственными и муниципаль- В
ными органами власти и юридическими лицами при обеспечении, в частности, g
процесса приема экзаменов в электронном виде, ведения учетных электронных данных о процессе обучения и его промежуточных результатах, в согласии на об- А
работку не идет речь о получении персональных данных коммерческими банками. Ц
Предпринимательские приоритеты и цели коммерческих организаций, в том Я
числе банков, оказывают безусловное влияние на их деятельность в иных сферах. Так, например, необходимость торговли акциями Сбербанка на международных биржах приводит к ряду последствий, таких как частичное нераспространение Е
его деятельности на территории отдельных субъектов РФ (Республ
Приоритет участия в международной биржевой торговле над целью предостав- р
ления банковских услуг в равной мере всем гражданам Российской Федерации подтверждает коммерческую направленность деятельности данного лица. При
А
I
3 Указ Президента РФ от 02.07.2021 № 400 «О Стратегии национальной безопасности
Российской Федерации». П. 5 Разд. III // СПС «КонсультантПлюс». g
4 См., например: Панасюк В. П., Третьякова И. В. Качество образования: инновационные g тенденции и управление : монография. Екатеринбург, 2018. С. 13—15. ПРАВА
>
в М УНИВЕРСИТЕТА
4-—^ и мени О. Е. Кугафи на (МПОА)
этом следует отметить, что Сбербанк указывает наличие у своей организации «миссии и ценностей»5, что находится в определенном тренде, присущем крупным международным корпорациям, и с правовой точки зрения выходит за рамки коммерческой деятельности. А следовательно, коммерческая компания, ориентирующаяся прежде всего на получение прибыли, в отличие от государственных структур и государственных юридических лиц, не будет иметь цели предоставления организующих цифровых образовательных платформ для образовательных организаций в равной мере, например, для находящихся в Крыму.
Таким образом коммерческие цели всегда будут являться основными, а социально полезные — вторичными, что, безусловно, может привести и к дискриминационным последствиям для школ, которые не смогут пользоваться соответствующими платформами. Такая ситуация потенциально является нарушением основополагающего гражданско-правового принципа равенства, а также принципа запрета ограничения перемещения товаров, работ, услуг на всей территории Российской Федерации.
Следует учитывать, что при поступлении персональных данных для обработки коммерческой организации всегда имеют место более существенные риски нарушения прав и законных интересов граждан, чем при передаче таких данных органам государственной власти. Так, необходимо подтверждение своей личности при первичной регистрации на общероссийском портале государственных услуг, и такое подтверждение можно предоставлять и через ряд государственных органов, например налоговые органы и подразделения Пенсионного фонда РФ, и через ряд коммерческих банков, которым такие полномочия были представлены на подзаконном уровне. К таким организациям был отнесен ПАО «Почта Банк», который полученные данные граждан использовал для рекламных рас-сылок своей продукции после совершения действий по подтверждению личности гражданина для портала госуслуг.
Данные действия, несмотря на то, что они имели место до 01.03.2021, т.е. до внесения изменений в Закон «О персональных данных», являются примером недобросовестного поведения субъекта, использующего данные, предоставленные в связи с полномочиями в общественно полезной сфере, в своих коммерческих интересах для распространения рекламы в целях извлечения прибыли.
Использование в своих коммерческих целях персональных данных гражданина, предоставленных коммерческому банку для иных целей некоммерческого характера, может иметь признаки распространения, а может их не иметь. Согласно ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом персональные данные, поступающие в банк, используются для аналитики, и прежде всего в сфере прогнозов спроса на коммерческие услуги банка, в том числе в инвестиционной,кредитной сфере.
В рамках получения услуг консалтинга банки предоставляют общие сведения о своей клиентуре: возраст клиента, данные о роде занятий, о заинтересованности
5 URL: https://www.sberbank.ru/ (дата обращения: 21.09.2021).
У) УНИВЕРСИТЕТА Правовая охрана персональных данных гражданина
имени o.e. кугафина(мгюа) при их получении коммерческими банками.
в тех или иных банковских продуктах, не считая их банковской тайной. Вопросы о сборе таких данных в большинстве случаев регулируются локальными корпоративными актами. Когда клиент дает общее согласие на обработку данных, в том числе путем совершения клика на сайте, он дает согласие на использование своих данных в рамках аналитики банка для совершенствования обслуживания. Банк предоставляет такие данные консалтинговой компании, многие из которых являются иностранными лицами, что происходит вне правового регулирования банковской тайны, но подпадает под законодательство о персональных данных.
Согласно п. 1 ст. 857 Гражданского кодекса РФ банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. Однако важно, что какого-либо сужающего перечня сведений о клиенте ни в законе, ни в подзаконном регулировании нет. Исторически в юридической науке банковская тайна понималась как тайна именно банковских операций, такой подход можно встретить у классиков отечественной правовой науки, в частности у М. М. Агаркова6.
Среди современных научных подходов можно встретить и расширительное толкование «банковской тайны как тайны частной жизни»7. Закон РФ «О банках и банковской деятельности» (далее — Закон о банках) обходит вопрос о сведениях о клиенте и дает, как известно, иную формулировку банковской тайны в ст. 26. Получается, что Закон о банках, не упоминая «сведений о клиенте», напрямую, в целом относит их к «иным сведениям, устанавливаемым кредитной организацией», тем самым дает свободу кредитной организации определять, какие сведения о клиенте как персоналии будут считаться данным банком тайными, а какие нет.
С учетом действующего приоритета норм Гражданского кодекса РФ над другими законами, содержащими нормы гражданского права, такая неоправданная свобода банков, безусловно, противоречит законным интересам граждан-клиентов. Банковское регулирование в рамках актов Банка России не заостряет на данной известной коллизии свое внимание, и это не случайно, так как если считать все сведения о клиенте банковской тайной, банк не будет иметь возможность использовать их свободно для своей аналитики, которая происходит с при- В влечением третьих лиц, в частности консалтинговых компаний. □
Когда банк получает сведения о гражданине не как о своем клиенте, а как о субъекте, воспользовавшемся его иными, небанковскими услугами (в частности, в анализируемом выше случае предоставления услуг цифровой платформы Ц
для обучения в школе), возникает правовая неопределенность по следующим Я
причинам. Здесь, соответственно, не идет речь о банковской тайне в терминологии закона, так как гражданин не является клиентом банка для получения его банковских услуг.
Но возникает вопрос, верно ли это с точки зрения необходимости всемер-й защиты прав и законных интересов граждан, обеспечения информационной зопасности, обеспечения правовой охраны и защиты персональных данных гражданина. Представляется, что здесь законодательство имеет один из тех
7 Рощина Д. С., Афанасьева С. С. Правовое регулирование банковской тайны в Россий-
Р гп
ной защиты прав и законных интересов граждан, обеспечения информационной безопасности, обеспечения правовой охраны и защиты персональных данных
Е А I
6 Агарков М. М. Основы банковского права : курс лекций. 2-е изд., стереотип. М., 1994.
С. 54—56. □
Г □
ской Федерации // Инновационная наука. 2017. № 2. С. 127—128. ПРАВА
>
в М УНИВЕРСИТЕТА
4-—^ и мени О. Е. Кугафи на (МПОА)
пробелов, которые возникают в связи с усложнением гражданского оборота и необходимостью синхронизации правового регулирования в банковской сфере и в сфере правовой охраны и защиты персональных данных.
Гражданин, чьи персональные данные обрабатываются не как данные клиента банка, а как участника цифровой образовательной платформы, в дальнейшем может стать клиентом этого банка для получения банковских услуг, а может и не стать, однако его право на обеспечение безопасности обработки его персональных данных, а также на их защиту, должно быть обеспечено. В противном случае возникает ситуация, когда гражданин, предоставивший свои персональные данные как клиент банка, будет более защищенным, чем гражданин, чьи данные поступают в коммерческий банк при осуществлении банком сопутствующей деятельности, например регистрации гражданина на портале государственных услуг либо при использовании цифровой образовательной платформы, разработанной банком или его дочерней компанией.
Права такого гражданина оказываются, как указывалось выше, вне правового регулирования банковской тайны и, соответственно, регулируются только Законом о персональных данных. Кроме того, вопрос осложняется тем, что такой гражданин может являться несовершеннолетним. Банк с учетом анализа учебных интересов, успехов ученика, которые будут ему известны в силу сохранения данных на цифровой образовательной платформе, сможет прогнозировать инвестиционные и кредитные интересы этого гражданина, когда он сможет в силу достижения установленного возраста стать клиентом банка.
Весьма сомнительно, что интересам несовершеннолетнего отвечает ситуация, когда банк будет использовать его данные на основе общего письменного согласия родителей, которое у них возьмет общеобразовательное учебное заведение, но в своих потенциально коммерческих интересах для аналитики его потенциального участия в правоотношениях с банком в качестве клиента.
В практике консалтинговых компаний ведется активная работа по анализу потенциальных инвестиционных интересов так называемых «милениалов», «зу-меров» на основе данных, получаемых для банков и от банков в рамках консалтинга. Такой анализ не относится к категории «обработка», которая ограничена Законом о персональных данных именно целями обработки.
Указанное использование может уже преследовать иные цели, не образовательные, не коммерческие, а предпринимательские цели банка для дальнейшего получения новых клиентов через целевую рекламу и т.д. Законным представителям не дается разъяснения о том, каким конкретно юридическим лицам будут поступать персональные данные несовершеннолетнего с цифровых платформ; дается лишь общая формулировка «иным лицам в целях обработки». Информация о том, что субъект, создавший и обслуживающий цифровую платформу, нередко пользуется услугами иностранных консалтинговых компаний, при получении согласия на обработку персональных данных также не дается.
Представляется возможным, ввиду наличия недостаточной синхронизации законодательства о банковской тайне и банковской деятельности в целом с законодательством о персональных данных, расширительно толковать нормы ГК РФ о банковской тайне, которая распространяется на персональные сведения о клиенте без какого-либо исключения, а клиентом следует рассматривать
У) УНИВЕРСИТЕТА Правовая охрана персональных данных гражданина
имени o.e. кугафина(мгюа) при их получении коммерческими банками.
не только лицо, получающее собственно банковские услуги, но и лицо, пользующееся услугами некоммерческого характера, предоставляемыми коммерческими банками и их структурными подразделениями и дочерними компаниями, в частности услугами цифровых образовательных платформ для школ.
Такой подход существенно сузит возможности банков передавать данные о несовершеннолетних школьниках третьим лицам. Отсутствие детального правового регулирования в данной сфере не дает возможность ссылаться на принцип «разрешено все, что не запрещено законом», так как речь идет о базовых вопросах правовой охраны персональных данных, где отсутствие регулирования ведет к потенциальному нарушению гражданских прав.
БИБЛИОГРАФИЯ
1. Агарков М. М. Основы банковского права : курс лекций. — 2-е изд., стереотип. — М., 1994.
2. Панасюк В. П., Третьякова И. В. Качество образования: инновационные тенденции и управление : монография. — Екатеринбург, 2018.
3. Рощина Д. С, Афанасьева С. С. Правовое регулирование банковской тайны в Российской Федерации // Инновационная наука. — 2017. — № 2.
