Наверное, каждый, кто когда–то брал кредит или является HR-ом, сталкивался с такой ситуацией, когда представители банка звонят работодателю и запрашивают информацию о сотруднике организации.
При этом чаще всего на практике работодатель не соблюдает требования 152-федерального закона о защите персональных данных и разглашает сведения о работнике по телефону. Проверить получателя этой информации работодатель не может и часто письменного согласия сотрудника на такое использование его данных у него нет.
Кто в данной ситуации больше нарушает закон: тот, кто спрашивает или тот, кто отвечает?
В этой ситуации все зависит от того, какие документы от самого субъекта персональных данных есть у одного и другого. Бывает ситуация, когда ни тот, кто спрашивает ни тот, кто отвечает закон не нарушают, а бывает, что нарушают оба.
Давайте с этим разберемся.
Итак, мы – банк. К нам пришел человек и для целей получения кредита предоставил весь необходимый пакет документов, включая справку о заработке, заверенную подписями ответственных лиц работодателя и печатью, а также другие необходимые оригиналы и копии документов.
Но, несмотря на предоставленный оригинал справки о заработке, мы хотим проверить правда ли заявитель на кредит работает в этой организации и реальный ли доход указан в предоставленной справке. Справедливости ради надо сказать, что в последнее время банки все-таки чаще всего запрашивают только информацию о том, работает ли данный человек в указанной организации. При том мы, как банк, не отправляем данный запрос письменно, с нашими печатями и указанием наших идентификационных сведений и не указываем письменно цели нашего запроса, а для ускорения процедуры, просто звоним по телефону, указанному в документах, которые предоставил потенциальный клиент банка.
Что меня всегда удивляло в это процедуре, так это некая нелогичность этапов подтверждения достоверности предоставленных данных.
То есть, документ с печатями и подписями нас не совсем устраивает, а вот ответ по телефону, указанному работником, почему-то устроит больше.
А что за телефон указал работник? Правда ли этот телефон принадлежит данной организации? Кто на другом конце провода мне ответит: генеральный директор? Главный бухгалтер? Менеджер по персоналу? Как я собираюсь идентифицировать, что это именно данные должностные лица? А может секретарь, который работает здесь неделю и пока никого не знает? Или уборщица? Или охранник? А может в принципе кто-то кого работник сам попросил соответственным образом ответить на запрос банка? А если телефон, указанный работником не будет отвечать, что это будет значить для банка? Будет ли он проверять, может человек ошибся в одной цифре? Может перебои у телефонной компании? Может именно этот телефон компания больше не использует, а работник не знал об этом?
Но наша задача разобраться в том, законны ли действия сторон: банка и работодателя в данном случае в принципе?
Если у банка есть письменное согласие субъекта на проверку его информации и получение сведений у его работодателя, то действия банка законны.
А как насчет работодателя?
Работодатель может законно представлять сведения о работнике в банк в следующих случаях:
1. Работник разрешил считать свои сведения общедоступными и дал на это работодателю ПИСЬМЕННОЕ согласие или ПИСЬМЕННО согласился на распространение его персональных данных.
2. Работник разрешил ПИСЬМЕННО предоставить свои данные конкретному юридическому лицу. Но в данном случае, работодатель обязан удостовериться, что запрос поступил именно от того банка, которому работник разрешил предоставить информацию (то есть ответ только на письменный запрос).
А если такого согласия у работодателя нет?
То предоставлять сведения о работнике работодатель не вправе. Тогда работодатель выполнит свои обязательства по закону о защите персональных данных? Да. А дадут ли работнику кредит в том случае, если работодатель откажется предоставлять сведения о работнике? Неизвестно.
Причем если организация большая и имеет разветвленную сеть обособленных подразделений, взять оперативно такое согласие не всегда возможно. Особенно в том случае, когда работник спонтанно принял решение о получении кредита. И уже в этот же день или на следующий, работники банка звонят работодателю, чтобы проверить достоверность предоставленных сведений.
Причем само согласие должно быть оформлено именно письменно, недостаточно того, чтобы работник позвонил, например, в отдел кадров, и попросил устно ответить на запрос конкретного банка.
Все ведь прекрасно понимают, что когда работодатель предоставляет сведения о работе конкретного сотрудника банку по телефонному запросу, он делает это с целью защиты интересов работника в первую очередь, чтобы ему не отказали в выдаче кредита. Но автоматически в этом случае нарушает закон о защите персональных данных, если заблаговременно работодатель не побеспокоился о получении письменного согласия с самого работника.
Возможно, если банки прекратят практику незаконных телефонных проверок, таких нарушений и со стороны работодателя станет меньше.
Недавно вышло письмо Банка России от 14.03.2014 N 42-Т "Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан", которое рекомендует кредитным организациям усилить контроль за рисками, возникающими при обработке (к которой кстати относится и сбор) информации, содержащей персональные данные, а также актуализировать внутренние документы, определяющие: персональную ответственность работников кредитных организаций, осуществляющих непосредственную обработку персональных данных (в том числе сбор), за сохранение и обеспечение конфиденциальности информации, образующейся в процессе обслуживания клиентов.
При этом в вышеуказанном письме было прямо указано, что Банк России при осуществлении надзора за деятельностью банков будет учитывать случаи выявления недостатков при исполнении законодательства о защите персональных данных и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля.
Остается надеется, что и банки наконец-то тоже станут соблюдать закон о защите персональных данных, не подводя работодателя к вынужденному нарушению законодательства.
Телефонная верификация, осуществляемая подразделениями андеррайтинга, в данном письме точно не обсуждается. ЦБ заботит, что архивы банковской документации, в т.ч. содержащие ПНД клиентов, нередко оказываются на ближайшей свалке.
2. Основные положения 152-ФЗ были подготовлены в середине нулевых, когда во многих банках заявки на получение потребкредита рассматривали по 2-3 недели. Сейчас заявки на потребкредитование в большинстве банков обрабатываются в течение 1 рабочего дня (экспресс-кредитование не рассматриваем, т.к. там телефонной верификации обычно нет). Письменный запрос в таких условиях - утопия, почтовая корреспонденция по Москве 2-3 дня нередко ходит.
Вопрос можно было бы решить при помощи СЭДО (систем электронного документооборота) с КЭП (квалифицированная электронная подпись). Со стороны банков это особой проблемы не представляет. Проблему это будет составлять для российского бизнеса (особенно SME), если его государство обяжет в добровольно-принудительном порядке перейти на стандарты ЭДО, ибо это потребует весьма серьезных затрат от этого самого бизнеса на обновление ИТ-инфраструктуры. Нюанс в том, что ни гнобить без нужды бизнес, ни ограничивать возможности банков по выявлению кредитного фрода, гоударству невыгодно. Просто потому, что священный поход против банков по имя строгого соблюдения буквы 152-ФЗ закончится ростом ставок потребкредитования и дальнейшим снижением его объемов, что негативно скажется на макроэкономических показателях (население потребляет в немалой степени в долг).
Я не знаю ни об одном случае, когда бы регулирующие органы проявляли недовольство телефонной верификацией, если банк удосужился взять у клиента его согласие на обработку ПНД (а берут его все банки).
3. Работа над тем, чтобы привести в согласие практики и потребности бизнеса и нормы ФЗ, ведется. В 2017 году будут внесены серьезные поправки в 218-ФЗ (о кредитных историях), после чего запрос в БКИ будет дополняться запросом в ПФР (по СНИЛС), от которого клиент, желающий получить кредит, уже отказаться не сможет (точнее сможет, но тогда ему кредит никто не даст). После этого телефонная верификация просто тихо отомрет за ненадобностью (она, как я уже писал, непригодна в экспресс-кредитовании, да и просто дороже, чем стоимость запроса в БКИ), особенно, если удастся решить вопрос об обмене информацией банков с ФНС (запрос в ПФР позволяет определить только тот факт, что человек работает в компании N. На вопрос: "Сколько он там получает", этот запрос в общем случае не отвечает). Отмечу, что эти инициативы являются также частью плана по борьбе с серыми и черными зарплатными схемами (по ряду причин государство сейчас сильно озаботилось вопросами уклонения от уплаты налогов и сборов).
4. Если бы справки 2-НДФЛ массово не подделывали, особой нужды в телефонной верификации бы не было.