Здравствуйте!
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии со статьёй 3 данного закона персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Статья 15 Закона о персональных данных устанавливает права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке и предусматривает, что обработка персональных данных в этих целях путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено (часть 1).
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи (часть 2).
Таким образом, Законом о персональных данных предусмотрено обязательное предоставление согласия на использование персональных данных для отправки сообщений или рекламно-информационных материалов, наличие которого в случае конфликта должен доказывать оператор (в Вашем случае - ЗАО «Тинькофф. Кредитные системы», поскольку именно оно определяет цели обработки персональных данных, в отличие от лиц, осуществляющих обработку персональных данных по поручению оператора, которые в силу части 4 статьи 6 Закона о персональных данных не обязаны получать согласие субъекта персональных данных на обработку его персональных данных).
Согласно части 7 статьи 14 Закона о персональных данных субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
В силу частей 2, 3 данной статьи указанные сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Следовательно, оператор обязан в день Вашего обращения лично или в день получения письменного запроса дать Вам достоверную информацию о том, из какого источника получены Ваши персональные данные, сведения о лицах, которые имеют к ним доступ или которым данные могут быть раскрыты на основании договора с оператором, наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
На основании сказанного, первым Вашим действием должно быть направление оператору заказным письмом с уведомлением о вручении требования прекратить обработкуВаших персональных данных, а также запроса о предоставлении вышеуказанной информации.
В случае, если оператор не даст ответ, Вы вправе обратиться в суд с иском о понуждении ЗАО «Тинькофф. Кредитные системы» к предоставлению данной информации. В соответствии со статьёй 24 Гражданского процессуального кодекса РФ дела данной категории подсудны районным судам.
Кроме того, Кодексом Российской Федерации об административных правонарушениях предусмотрена административная ответственность за неправомерный отказ в предоставлении гражданину информации, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации, - в виде административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей (к ответственности может быть привлечено должностное лицо, принявшее решение об отказе в предоставлении информации). ЗАО «Тинькофф. Кредитные системы» по данному факту также может быть привлечено к административной ответственности по статье 13.11 КоАП РФ – за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), выразившегося в отказе в предоставлении указанной информации, что влечёт наложение административного штрафа на юридических лиц от пяти тысяч до десяти тысяч рублей.
В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утверждённым Постановлением Правительства РФ от 16.03.2009 № 228, Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. В силу пунктов 5.1.1.4, 5.2.4 Положения Роскомнадзор осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиямзаконодательства Российской Федерации в области персональных данных, ведёт реестр операторов, осуществляющих обработку персональных данных.
Статьёй 23 Закона о персональных данных предусмотрено право Роскомнадзора, в том числе:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Роскомнадзор обязан рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений.
Ответственность за несоблюдение прав субъекта персональных данных возлагается на оператора персональных данных, допустившего нарушение требований закона.
Таким образом, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (её территориальный орган) вправе запросить интересующую Вас информацию в ЗАО «Тинькофф. Кредитные системы» (поэтому самому информацию можно не запрашивать и с оператором по этому поводу не судиться),провести проверку на предмет соблюдения оператором Закона о персональных данных, привлечь оператора к административной ответственности, направить в правоохранительные органы материалы для возбуждения уголовного дела, а также обратиться в суд с иском в защиту Ваших прав.
Поэтому вторым Вашим шагом должно стать направление жалобы на ЗАО «Тинькофф. Кредитные системы» в Роскомнадзор. Жалобу можно направить и в отношении ООО «Дата Менеджмент» для проверки законности его деятельности в части соблюдения требований Закона о персональных данных.
Кохан (Азанова) Марина Васильевна
Лазарев Евгений Юрьевич
Абрамян Татевик Арсеновна
Ждановский Станислав Александрович
Кузнецов Олег Николаевич
Пилецкая Татьяна Войтеховна
Лавров Максим Владимирович
Романова Ольга
Дятлов Владислав Валерьевич
Коновалова Инна Михайловна
Скляднев Олег Михайлович