Чи не єдиним фронтом. Судова практика не відрізняється єдністю в суперечках про передачу персональних даних боржника банку колекторам
Юристи боржників банків придумали оригінальний спосіб протидії колекторам - позов про визнання недійсним договору між банком і колектором на тій підставі, що банк без дозволу боржника передав колекторам його персональні дані.
Реєстр судових рішень України містить безліч рішень судів першої та апеляційної інстанцій в подібних суперечках, але на рівні Вищого спеціалізованого суду України з розгляду цивільних і кримінальних справ (ВССУ) їх можна перерахувати на пальцях однієї руки.
Передай далі
Початок практиці поклало визначення ВССУ від 19 квітня 2013 року до справи № 6-6758св13 ( http://reyestr.court.gov.ua/Review/31459531 ).
Громадянин звернувся до суду з вимогою визнати неправомірними дії банку по передачі його персональних даних третім особам (колекторам), Суди першої та апеляційної інстанцій погодилися з позивачем і задовольнили позов.
ВССУ відхилив касаційну скаргу колекторської фірми, вказавши, що частина 2 статті 14 Закону України «Про захист персональних даних» містить вичерпний перелік підстав, які дозволяють обробляти персональні дані без згоди їх суб'єкта, тому дії банку були незаконними.
На жаль, колеги по Судовій палаті у цивільних справах ВССУ не звернули уваги на настільки прогресивну позицію і при розгляді аналогічної справи через півтора року зайняли абсолютно протилежну позицію.
Дві судові інстанції відмовили в задоволенні позову у справі № 757/1478/14-ц, а ВССУ своєю ухвалою від 1 жовтня 2014 року поставив крапку в справі, теж відмовивши позивачеві ( http://reyestr.court.gov.ua/Review/40792954 ).
Зазвичай банк уклав з колекторами договір доручення і передав їм персональні дані боржника - свого клієнта. Позивач вимагав визнати договір доручення частково недійсним, а дії банку по передачі його персональних даних - незаконними, домагаючись заборони на їх вчинення.
ВССУ уважно розглянув кредитний договір і виявив в ньому умову, відповідно до якого боржник дав згоду на збір, зберігання, використання та поширення інформації про позичальника через конкретне бюро кредитних історій для формування кредитної історії позичальника.
Примітно, що суди звернули увагу на норму частини 1 статті 16 Закону України «Про захист персональних даних», згідно з якою порядок доступу третіх осіб до персональних даних визначається умовами згоди суб'єкта цих даних, яка надана власнику бази даних.
Отже, беручи до уваги зазначену норму, суди не повинні були тлумачити згода позичальника на надання своїх даних в бюро кредитних історій таким чином, що це згоду поширюється на будь-яких третіх осіб, яким банк захоче надати дані про боржника.
Але ВССУ вирішив, що оспорюваний договір доручення не порушує права позивача, оскільки не може розглядатися як надання та поширення конфіденційної інформації без згоди позивача в розумінні абзацу 8 статті 2 Закону України «Про захист персональних даних». Суди вирішили, що раз сторони договору доручення погодили умови про конфіденційність, яка нібито спрямована на захист персональних даних боржника, то умови згоди дотримані.
Через два тижні в аналогічній справі ВССУ визначенням від 16 жовтня 2014 року відмовив у відкритті касаційного провадження за скаргою на рішення нижчих інстанцій, тим самим підтвердивши незаконність передачі персональних даних клієнта банку третім особам ( http://reyestr.court.gov.ua/Review/40997657 ).
Банк уклав договір з громадянином-позичальником, в якому не було умови про згоду клієнта на передачу персональних даних третім особам. Очевидно, позичальник не повертав кредит, тому банк за традицією привернув два колекторських агентства і передав їм персональні дані громадянина-боржника.
Боржник звернувся до суду і три інстанції задовольнили позовні вимоги, захистивши право громадянина на контроль обробки своїх персональних даних.
ВССУ визнав, що банк неправомірно передав третім особам персональні дані громадянина, а також інформацію, яка є банківською таємницею. Більш того, суд дав оцінку таким діям, визнавши їх нечесної підприємницької практики, і постановив стягнути з банку 3 000 грн в якості компенсації моральної шкоди.
Обгрунтуванням таких рішень судів став факт відсутності у банку дозволу фізичної особи (клієнта) на поширення інформації, яка стосується його особисто і його відносин з банком.
Один з висновків колегії ВССУ варто процитувати: «Таємниця особистого життя і нерозповсюдження персональних даних є основоположними принципами прав людини, а збереження банківської таємниці має бути одним із принципів діяльності банку».
Згідно зі статтею 355 Цивільного процесуального кодексу України, наявність визначень ВССУ, які демонструють неоднакове застосування норм матеріального права, є підставою для подачі до Верховного Суду України заяви про перегляд судового рішення.
ідентифікувати особу
В рамках розгляду справ про захист персональних даних суди задаються питанням: який обсяг персональних даних про громадянина вважається достатнім, щоб ідентифікувати його?
Відповідно до частини 1 статті 11 Закону України «Про інформацію», інформацією про фізичну особу є дані про таку особу, яка ідентифікована або може бути конкретно ідентифікована.
Слід взяти до уваги, що в рішенні Конституційного Суду України від 20 січня 2012 № 2-рп / 2012 до персональних віднесені такі дані про людину: національність, освіта, сімейний стан, релігійні переконання, стан здоров'я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування, інші дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема з членами сім'ї, а також інформація про події та явища, що відбувалися або відбуваються у побутовій, інті ної, дружній, професійній, діловій та інших сферах життя людини.
В рамках позову громадян до Укрзалізниці про незаконну обробку персональних даних при купівлі квитків ВССУ вказав, що не всі дані про особу його ідентифікують, оскільки партійність, релігійність, національність, стать, професія, будь-які біометричні, соціальні дані і навіть адреса проживання за своєю природою є родовими ознаками і можуть стосуватися одночасно багатьох людей. Але в разі з'єднання даних про особу з його ім'ям і прізвищем вони повинні вважатися персональними даними.
ВССУ погодився, що виключно ім'я та прізвище особи не є персональними даними, оскільки за цими даними неможливо конкретно ідентифікувати людину, а для ідентифікації конкретної особи по прізвища та імені необхідні додаткові дані про нього (Ухвала Апеляційного суду міста Києва від 20.05.2014 р у справі № 757/24796/13-ц ( http://reyestr.court.gov.ua/Review/39503093 ), Визначення ВССУ від 16.07.2014 р ( http://reyestr.court.gov.ua/Review/39797551 ).
Дозволимо собі не погодитися з таким твердженням, оскільки існує достатня кількість унікальних комбінацій імені та прізвища громадян, при знанні яких можна безпомилково ідентифікувати людину.
Судова практика змушує проявляти винахідливість для досягнення цілей захисту прав, і вищевикладена практика ВССУ - яскраве тому підтвердження. Вона демонструє, як захист персональних даних з мети перетворилася в засіб - інструмент боротьби проти колекторів.
Джерело публікації: Юридична практика
Якщо Вам сподобалася публікація - поділіться нею в соцмережах і підписуйтесь, щоб першими отримувати нові статті нашого блогу