вторник, 15 октября 2013 г.

В атаку! Пишем в Государственную службу по вопросам защиты персональных данных (ГСЗПД)

Выберешь красную или синюю пилюлю?
По традиции начнем с новостей.
4 октября 2013 я был в Киеве. Меня пригласили на съемки ток-шоу "Говорит Украина" (ТРК "Украина"). Тема передачи - деятельность коллекторов. Было много приглашенных: пострадавшие, журналисты, правозащитники, представители госструктур и коллекторских компаний. В секретной комнате присутствовал участник, лицо которого не показали, но который поведал много интересного и шокирующего о выбивании долгов.
Мне удалось рассказать о проекте и своей позиции в борьбе с их угрозами, хамством и правовым нигилизмом.
Эфир в ближайшее время, о чем обязательно Вам сообщу. Не пропустите трансляцию, хотя запись можно будет найти в интернете.
Вопросы, связанные с защитой и обработкой персональных данных, мы уже неоднократно поднимали в предыдущих постах. Но Ваши письма, обсуждения в группах, сообщения и комментарии к публикациям говорят о том, что эта тема является одной из самых острых в свете нашей тематики. Поэтому, мы еще раз повторим базовые законодательные понятия и детально остановимся на основных принципах и нормах, которые прямо защищают наши права в этой сфере.
По сути, начиная с этого поста, мы переходим от пассивного сбора информации и выяснения всех обстоятельств дела к активным действиям. Пора показать нашим оппонентам, что любое действие имеет свои последствия, тем более, что наши права строго охраняются законом. Нельзя безнаказанно донимать звонками и незаконно обрабатывать наши персональные данные.

Государственная служба по вопросам защиты персональных данных - это институт, созданный для соблюдения законности и защиты прав субъектов персональных данных, т.е. нас с Вами. Пора нам, как законопослушным налогоплательщикам и небезразличным гражданам, подкинуть этой организации немного работы и указать на нарушении наших свобод. Это данное нам законом право.
Я понимаю Ваши обоснованные сомнения на фоне общего бездействия государственных органов. Но, во-первых, обратите внимание на этот документ. Значит при соблюдении процедуры ГСЗПД по крайней мере должна отреагировать на наши жалобы и уведомить о результатах их рассмотрения. Во-вторых, если ничего не делать, то и нечего сетовать на "заботу" коллекторов о Вас.
Возникает резонный вопрос: почему именно в эту структуру стоит жаловаться в первую очередь? Бесспорно, Вы можете первым делом пожаловаться в правоохранительные органы. Но как показывает практика, обращение в эти инстанции не всегда приносит желаемый результат, а рассмотрение затягивается несмотря на явные нарушения. Кроме того, установленные нарушения в сфере защиты персональных данных предполагают административную ответственность, а именно - существенные штрафы приводящие к финансовым потерям. А бить рублем всегда больно, несмотря даже на хорошее финансовое состояние компании. Теперь умножьте штрафы на количество обращений, и убытки могут стать роковыми для любой организации. По крайней мере, это заставит коллекторов сбавить обороты и более осмысленно подходить к своим действиям.
Довольно детально мы остановились на вопросах обработки персональных данных в посте "Выясняем происхождение, точную сумму и факт передачи нашего долга". Но для целостности подхода и глубокого анализа еще раз остановимся на основных моментах.
Главный нормативный акт, регулирующий данную сферу, - Закон Украины "О защите персональных данных". Согласно данного документа:
Персональные данные - ведомости или совокупность ведомостей о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
База персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Субъект персональных данных - физическое лицо, касательно которого в соответствии с законом совершается обработка его персональных данных.
Обработка персональных данных - любое действие или совокупность действий, таких как сбор, регистрация, накапливание, хранение, адаптация, смена, обновление, использование, и распространение (распространение, реализация, передача), обезличивание, уничтожение, персональных данных, в том числе с использованием информационных (автоматизированных) систем.
Владелец персональных данных - физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право обработки этих данных, которое утверждает цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если другое не определено законом.
Распорядитель персональных данных - физическое или юридическое лицо, которому владельцем персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца.
Несколько размыто понятие владельца и распорядителя персональных данных. И это лучше объяснить на примере обыкновенно интернет-форума. Владелец - это создатель и главный админ этого ресурса с очень широкими правами, а распорядитель - это модератор, которому админ доверяет некоторый набор функций.
Понятно, что мы с Вами являемся субъектами персональных данных или, исходя из нашего примера, - простыми зарегистрированными пользователями форума, которые выбрали себе ник, указали e-mail, дату рождения и другие данные.
Согласно ст.5 "Объекты защиты" Закона:
"1. Объектами защиты являются персональные данные.
2. Персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом."
Это означает, что доступ к нашим данным должен предусматривать специальную процедуру. Даже для того, чтобы посмотреть эту информацию нужно пройти инструктаж, подписать документы о неразглашении и нераспространении.
В соответствии с ч.4 ст.6 Закона:
"Первичными источниками ведомостей о физическом лице являются: выданные на его имя документы; подписанные им документы; ведомости, которые лицо предоставляет о себе."
Таким образом, основу составляет информация, которую мы сами предоставляем по собственной инициативе. Вся другая информация не является первичной и должна быть получена из других источников, т.е. кем-то передана.
Часть 5 ст.6 Закона говорит:
"Обработка персональных данных проводится для конкретных и законных целей, определенных по согласию субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, определенном законодательством."
Кроме того, согласно части 6 ст.6 Закона:
"Не допускается обработка данных о физическом лице без его согласия, кроме случаев, предусмотренных законом, и только в интересах национальной безопасности, экономического благополучия и прав человека."
Получается, что наше согласие - это необходимое и достаточное условие. При его отсутствии обрабатывать такие данные строго запрещено (кроме случаев, на которые деятельность коллекторов явно не распространяется). Напомню, что такая обработка включает сбор, накапливание, использование, распространение и т.д. Если нет моего согласия, то коллекторы даже звонить мне не имеют права, несмотря на любой источник, посредством которого к ним попал мой телефон или адрес.
Давайте проанализируем эту норму с практической стороны. Любой договор (с Уктелекомом или Киевстаром, например) предусматривает наше безапеляционное согласие на обработку персональных данных. Далее наш некий "долг" переуступается другой стороне (ООО "Купер Прайс", к примеру). Приобретая права требования, новый кредитор (фактор или цессионарий) получает также другие наши обязательства на условиях договора. Т.е. де-юре и наше согласие на обработку данных (хотя этот вопрос еще требует более глубокого изучения и зависит от обстоятельств). Однако, как мы уже выяснили в предыдущих публикациях, звонит и пишет нам не покупатель долгов, а его некий представитель (ООО "Универсальная коллекторская группа", например).
Исходя из п.п 11.9 стандартного договора с ПАТ "Укртелеком" о предоставлении услуги доступа в сеть Интернет, мы разрешаем этой организации предоставить доступ и передавать наши персональные данные третьей стороне без каких-либо уведомлений. Получается, мы дали согласие ООО "Купер Прайс" передать наши данные ООО "УКГ". Но получило ли ООО "УКГ" наше согласие на обработку (включая сбор и использование)? Нет, мы не разрешали такое действие для третьих сторон.
Очень важно, что в соответствии с ч.2 ст.8 Закона субъект персональных данных имеет право:
"1) знать о местонахождении базы персональных данных, которая содержит его персональные данные, ее назначение и наименование, местонахождение и/или местожительства (пребывание) владельца или распорядителя персональных данных или дать соответствующую доверенность на получение этой информации уполномоченным ими лицами, кроме случаев, установленных законом;"
Да, Закон разрешает нам узнать, где именно хранятся такие данные и с какой целью.
"2) получать информацию об условия предоставления доступа к персональным данным, в том числе информацию о третьих лицах, которым передаются его персональные данные;"
Мы вправе узнать кому передается или уже передалась такая информация и на каких условиях.
"3) на доступ к персональным данным;"
Это означает, что такая информация не может быть закрытой для нас.
"4) получать не позже чем через тридцать календарных дней с дня получения запроса, кроме случаев, предусмотренных законом, ответ на то, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые хранятся;"
Помните наши письма-запросы первичному кредитору, новому кредитору и его представителю? И где ответ после 30-ти отведенных на это дней? Тайна покрытая мраком...
"5) предоставлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;"
Это мы и сделали в ходе нашего выяснения ситуации.
"6) предоставлять мотивированное требование касательно изменения или уничтожения своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;"
Такое требование присутствует в наших письмах. Нет правоотношений - будьте любезны удалить и забыть обо мне.
"7) на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным предоставлением, а также на защиту от предоставления ведомостей, которые являются недостоверными или порочат честь, достоинство и деловую репутацию физического лица;"
Обязательно стоит воспользоваться этим пунктом, если коллекторы звонят Ваши родственникам, близким, знакомым или на роботу. Это прямой повод для жалоб и заявлений.
"8) обращаться с жалобами на обработку своих персональных данных в органы государственной власти и к служебным лицам, в полномочия которых входит обеспечение защиты персональных данных, или в суд;"
Именно этому нашему праву посвящен данный пост.
"9) использовать средства правовой защиты в случае нарушения законодательства о защите персональных данных;"
Как раз этим мы сейчас и займемся)
"11) отзывать согласие на обработку персональных данных;"
Можем - значит отзываем, что мы и сделали в наших письмах запросах.
Согласно ч.3 ст.10 Закона:
"Использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться только в соответствии с их профессиональными, служебными или трудовыми обязанностями. Эти работники обязаны не допускать разглашения любым способом персональных данных, которые им были вверены или которые им стали известны в связи с исполнением профессиональных, служебных или трудовых обязанностей. Такое обязательство действительно после окончания ими деятельности, связанной с персональными данными, кроме случаев, установленных законом."
Кроме всего прочего, этот пункт говорит о том, что должен быть определенный допуск сотрудников компании к таким данным. Очень сомневаюсь, что во всех случаях звонящие вообще являются легально оформленными работниками коллекторских организаций, прошедшими инструктаж, подготовку, подписавшими договор о неразглашении и ответственности. Тогда на каком основании к ним попадают наши данные? Вот готовый вопрос к госструктурам.
В соответствии с ч.1 ст.11 Закона основаниями для обработки персональных данных являются:
"1) согласие субъекта персональных данных на обработку его персональных данных;
2) разрешение на обработку персональных данных, предоставленное владельцу персональных данных в соответствии с законом исключительно для исполнения его полномочий;
3) заключения и исполнения сделки, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных или для совершения мероприятий, которые предшествуют заключению сделки на требование субъекта персональных данных;
4) защита жизненно важных интересов субъекта персональных данных;
5) необходимость защиты законных интересов владельцев персональных данных, третьих лиц, кроме случаев, когда субъект персональных данных требует прекратить обработку его персональных данных и необходимость защиты персональных данных превышает такой интерес."
После прочтения таких важных положений обратим внимание на ч.2 ст.12 Закона, которая гласит:
"В момент сбора персональных данных или в случаях, предусмотренных пунктами 2-5 части первой статьи 11 этого Закона, в течении десяти рабочих дней с дня сбора персональных данных субъект персональных данных уведомляется о владельце персональных данных, составе и содержании собранных персональных данных, правах такого субъекта, определенных этим Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные."
Таким образом, если Вы не давали прямого согласия на обработку личной информации, Вас обязаны (!) письменно уведомить. Вам звонят по чужому или несуществующему долгу, ищут неизвестного Вам Семена Семеновича? Тогда где такое уведомление о целях обработки и наших правах? Мне лично не известен ни один случай исполнения этого требования. А ведь за это есть прямая ответственность, но об этом ниже.
Например, некто оформляет кредит в банке и указывает Вас как одно из контактных лиц. Это общеизвестная практика. Но для звонков или иной обработки Вашей личной информации Вам обязаны прислать письмо в установленные сроки! Опять экономят на бумаге и почтовых расходах?
Также важно отметить, что согласно ч.1 ст.14 Закона:
"Распространение персональных данных предусматривает действия касательно передачи ведомостей о физическом лице по согласию субъекта персональных данных."
Часть вторая указанной статьи говорит:
"Распространение персональных данных без согласия субъекта персональных данных или уполномоченного им лица разрешается в случаях, определенных законом, и только (если это необходимо) в интересах национальной безопасности, экономического благополучия и прав человека."
Опять обязательным условием является наше согласие. Но большинство договоров с первичным кредитором предусматривают такую возможность. Для выяснения внимательно прочитайте его условия.
Особо стоит отметить часть 2 ст.15 Закона, которая утверждает, что:
"Персональные данные подлежат уничтожению в случае:
1) окончания строка хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом;
2) прекращения правоотношений между субъектом персональных данных и владельцем или распорядителем базы, если другое не предусмотрено законом; 
3) вступления в законную силу решения суда касательно изъятия данных о физическом лице из базы персональных данных."
Нет правоотношений - данные подлежат безвозвратному уничтожению, что исключает их любую обработку, включая сбор, использование, распространение.
Далее, согласно п.1 ч.1 ст.22 Закона контроль за соблюдением законодательства о защите персональных данных в рамках полномочий, предусмотренных законом совершает уполномоченный государственный орган по вопросам защиты персональных данных.
В соответствии с п.4 ч.2 ст.23 Закона уполномоченный государственный орган по вопросам защиты персональных данных, кроме всего прочего:
"проводит в рамках своих полномочий контроль за соблюдением требований законодательства о защите персональных данных путем проведения выездных и невыездных проверок владельцев и/или распорядителей персональных данных с обеспечением в соответствии с законом доступа к информации, связанной с обработкой персональных данных в базе персональных данных, и в помещения, где совершается обработка."
Согласно Указа Президента Украины от 06.04.2011 №390/2011 таким уполномоченным органом является Государственная служба по вопросам защиты персональных данных (ГСЗПД).
Сам порядок проведения проверок регулируется Приказом Министерства Юстиции "Об утверждении Порядка проведения ГСЗПД государственного контроля за соблюдением законодательства о защите персональных данных" от 22.06.2012 №947/5. Согласно п.2.1 Раздела ІІ указанного порядка:
"Контроль за соблюдением субъектами проверки законодательства о защите персональных данных совершается ГСЗПД путем проведения проверок: плановых, внеплановых, выездных и невыездных. Плановые и внеплановые проверки являются выездными и невыездными."
В соответствии с абзацем 3 п.4.1 Раздела IV Порядка внеплановые проверки могут проводится при наличии:
"обращения физических или юридических лиц о нарушении субъектом проверки требований законодательства о защите персональных данных."
В Порядке нигде не сказано о сроках таких проверок после поступления обращения. Также не понятно, в каких случаях такая проверка будет выездной, а какая невыездной. Ведь как известно, аудит непосредственно на месте нарушения всегда является более объективным и действенным. Будем надеяться, что при поступлении многочисленных жалоб ГСЗПД уяснит масштабность нарушений, не оставит их без внимания и сделает соответствующие выводы.
Однако согласно п.4.2 Раздела IV Порядка:
"Информация о проведении внеплановой проверки размещается на официальном вэб-сайте ГСЗПД за 10 календарных дней до начала ее проведения."
Теперь об ответственности. Сейчас нас интересует ст.188-39 Кодекса Украины об административных правонарушениях (КУАП), поскольку она подведомственна ГСЗПД и имеет прямое отношение к нашим требованиям.
Так, согласно абзацам 1 и 2 ст.188-39 КУАП:
"Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, -
влечет за собой наложение штрафа на граждан от двухсот до трехсот необлагаемых налогом минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от трехсот до четырехсот необлагаемых налогом минимумов доходов граждан."
Таким образом, штраф для граждан составляет 3400-5100 грн., а для должностных лиц либо граждан-СПД - 5100-6800 грн.
В соответствии с абзацами 5 и 6 указанной статьи:
"Повторное на протяжении года нарушение из числа предусмотренных частями первой и второй этой статьи, за которое лицо уже подвергалось административному взысканию, -
влечет за собой наложение штрафа на граждан от трехсот до пятисот необлагаемых налогом минимумов доходов граждан и на должностных лицграждан - субъектов предпринимательской деятельности - от четырехсот до семисот необлагаемых налогом минимумов доходов граждан."
Т.е. при таких условиях штраф в первом случае будет составлять 5100-8500 грн., а во втором - 6800-11900 грн.

Теперь переходим непосредственно к составлению заявления-жалобы в ГСЗПД. Для этого продолжим поиски правды Коваленко П.А. (читай предыдущие посты).
Легенда.
Панас Анастасович уже написал письма-запросы в ПАТ "Укртелеком", ООО "Купер Прайс" и ООО "Универсальная коллекторская группа". Его требование - предоставить доказательства перехода долга, его расчет, прекратить звонки и постоянные угрозы. Несмотря на установленные законодательством сроки, ответа он так и получил. Звонки продолжаются, как и сами угрозы и вымогательство. Но Коваленко П.А. упорно ведет их учет (записывает в блокнот и по возможности сам разговор на телефон).
На этот раз дед Панас решил обратиться с жалобой в ГСПЗД. Адрес Панаса Анастасовича берем из предыдущих примеров, а информацию о ГСЗПД находим на официальном вэб-сайте ГСЗПД:
  • Адрес: 02660, г. Киев, ул. Марины Расковой, 15;
  • Руководитель: Мервинский Алексей Иванович.
Пример такого обращения жалобы Вы можете скачать по этой очередной очень ценной ссылке.

Внимание! Настоятельно рекомендую очень детально изучить указанное обращение и скрупулезно подогнать его под свой случай. Особое внимание уделяйте датам, количеству страниц (особенно в описи вложений). Не забудьте поставить подпись на самом обращении и желательно на каждой копии прилагаемых документов - "Копія відповідає оригіналу. Підпис. Дата"
Также обращаю Ваше внимание на дату подачи самого обращения. Она несколько забегает вперед. Дело в том, что у наших оппонентов есть законный месяц на ответ на предыдущие запросы (плюс около недели на почтовую доставку в оба конца). Примите это во внимание и рассчитайте свою дату подачи жалобы.

Настоятельно советую отправить рекомендованным заказным отправлением с описью вложений (пример описи прилагается в файле). Порядок такой отправки мы уже рассматривали в предыдущих постах.

P.S. Я как автор этого поста, учитывая его объем и многочисленные ссылки на нормативную базу, оставляю за собой право изменить и уточнить некоторые моменты касательно трактовки и практического применения законодательных норм, а также сам шаблон письма-обращения. Однако суть статьи и ее целостность не пострадают. Нет предела совершенству)

11 комментариев:

  1. Прошу активизировать ответные звонки аферистам и вымогателям. Не пожалейте купить отдельную "симку" - и звониите аферистам из купер-прайс (их телефон: 044-393-41-23).

    ОтветитьУдалить
    Ответы
    1. Если Укртелеком был только ТЕЛЕФОН, без мереж интернета, так же актуален этот метод? (защита персональных данных).

      Удалить
    2. Аллаис. Запросы, требования и обращения универсальны. Подгоните просто под свою ситуацию. Не имеет значения, по какой услуге или кредиту возник долг.

      Удалить
  2. Не могу найти образцы начального этапа: лист до ПАТ «Укртелеком» и
    лист до ТОВ «Купер Прайс». Примерно то же самое писать, что и в последнюю инстанцию?

    ОтветитьУдалить
    Ответы
    1. Образцы писем (требований, запросов, жалоб, обращений) в публикациях с ярлыком (тэгом) "Наши запросы". Справа в боковой панели можете сделать выборку. Есть возможность скачать в нашей группе Вконтакте.
      Но я настоятельно рекомендую прочитать соответствующие публикации, чтобы понять принцип и законодательную основу.

      Удалить
    2. Сергей,человеческое Вам спасибо за Ваши ликбезы и труд.Плоды Вашей работы имеют свое отражение в решении ,как казалось простым людям,невозможных вопросов.
      «За прокурором стоит закон, а за адвокатом – человек со своей судьбой, со своими чаяниями…»

      Удалить
  3. Алаис.
    Вот вроде они: http://easydebts.blogspot.com/2013/09/vyyasnyayem-proishozhdeniye-tochnuyu-summu-i-fakt-peredachi-nashego-dolga.html

    ОтветитьУдалить
    Ответы
    1. Там только первый запрос. Ищите все публикации с тэгом "Наши запросы".

      Удалить
  4. Вот запись эфира: http://govoryt-ukraina.tv/stories/discuss/790/

    ОтветитьУдалить
  5. Анонимный24 июня 2016 г., 13:22

    Ссылка на официальный вэб-сайт ГСЗПД не работает.

    ОтветитьУдалить
    Ответы
    1. Эта публикация устарела. Этим вопросом сейчас занимается уполномоченная ВРУ по правам человека (Лутковская).

      Удалить