Банки спамлять ФОПів. Чи мають вони на це право і як захиститися?
Зареєстрували ФОП, а вже наступного дня вашу електронку й телефон атакують банки зі «спеціальною суперпропозицією саме для вас»? З таким стикнувся розробник Ярослав Подорванов, хоча він не давав згоди на використання своїх персональних даних з цією метою.
Ця ситуація далеко не поодинока для ФОПів. Журналістка DOU вирішила розібратись, чи не є це порушенням закону і як захистити себе від спаму.
Рекламний спам на додачу до зареєстрованого ФОПа
Більшість айтішників співпрацює з компаніями саме як ФОПи. Під час реєстрації ФОП вказують свою контактну інформацію — мобільний телефон і електронну адресу. Ці дані перебувають у відкритому доступі в офіційному реєстрі Міністерства юстиції.
Як повідомив нам Ярослав Подорванов, він відкрив ФОП у 2021 році. Йому відразу зателефонували з UKRSSIBBANK, а вже наступного дня надіслали на електронну пошту рекламу з пропозицією для ІТ-спеціалістів. Також від цього ж банку він отримував рекламу й раніше — коли закривав свій ФОП у
Рекламний лист від банку
При цьому в листі є примітка про те, чому його надіслали:
Ярослав Подорванов стверджує, що клієнтом цього банку він ніколи не був.
На думку розробника, банк порушив закон «Про захист персональних даних», адже згоду на використання інформації, зазначеної в реєстрі Мін’юсту, особисто він не давав: «У законі прописано, що використання персональних даних здійснюється за згодою суб’єкта персональних даних. Фактично вони надіслали рекламу, завуальовану під комерційну пропозицію. Рекомендую уникати цього банку».
Примітно, що в одному з листів від UKRSSIBBANK зазначено, що він є конфіденційним і призначений виключно адресатам. Окрім цього, вказано, що «його розповсюдження, розголошення як в цілому, так і його окремих частин, заборонено без письмового дозволу відправника».
Водночас самі працівники банку не вбачають порушення закону в тому, що надсилають рекламу на особисту електронну адресу без згоди отримувача.
Так, Ярослав Подорванов запитав на фейсбук-сторінці банку, наскільки законним є використання його персональних даних з рекламною метою. Там пояснили, що банк уклав угоду з компанією «Опендатабот», яка надає дані ФОП з Міністерства юстиції.
Листування Ярослава Подорванова
До речі, на порталі «Опендатабот» є роз’яснення щодо публічних і персональних даних. Зокрема, у статті вказано, що створення бізнесу — це один з варіантів згоди на публікацію персональних даних:
«Публікація деяких персональних даних — обов’язкова умова для підприємців або юридичних осіб. Цей пункт є в законі України, який був ухвалений 2003 року. Якщо ви хочете бути підприємцем або зареєструвати юридичну особу, то у
При цьому, за словами Ярослава Подорванова, багато хто стикається зі спамом від банків після відкриття ФОП, але ігнорує рекламу: «Мене перед відкриттям ФОП колеги попереджали, що будуть спамити», — підкреслив розробник.
Коли ми запитали на форумі DOU про рекламу від банків після відкриття ФОП, досить швидко відгукнулося кілька розробників. Наприклад, Тарас Мурзенков написав про спам від «ПриватБанку» телефоном. А Богдан Гончарук зазначив, що його тиждень атакували
Експерт з питань кібербезпеки, керівник ГО «УНКД» Андрій Роговський підкреслює, що щодо ФОПів є певна юридична колізія. Адже, з одного боку, особа надає приватні дані, а з іншого — вони публікуються відкрито, згідно із законодавством, для можливості перевірки контрагента: «Як тільки людина реєструє ФОП, її приватні дані стають підприємницькими. Вони йдуть у відкритий реєстр і доступні всім. Але проблема в тому, що коли ФОП закривають, персональні дані особи все одно залишаються у відкритому доступі. Це питання треба порушувати».
Банк стверджує, що діє в межах закону
За роз’ясненням DOU звернувся до UKRSSIBBANK та Національного банку України (НБУ), який регулює діяльність банків у нашій країні.
В UKRSSIBBANK нас запевнили, що у своїй діяльності вони дотримуються вимог законодавства: «Банк отримує дані клієнтів для здійснення їм пропозицій комерційного характеру із відкритих джерел та використовує виключно публічну інформацію».
Зокрема, в банку зазначили, що персональна інформація, яка міститься в публічній інформації, обробляється, відповідно до положень закону «Про доступ до публічної інформації»:
«Публічна інформація у формі відкритих даних є дозволеною для її подальшого вільного використання та поширення. Будь-яка особа може вільно копіювати, публікувати, поширювати, використовувати, у тому числі в комерційних цілях, у поєднанні з іншою інформацією або шляхом включення до складу власного продукту, публічну інформацію у формі відкритих даних з обов’язковим посиланням на джерело отримання такої інформації. Зазначаємо, що створення бізнесу є одним з варіантів згоди на публікацію персональних даних».
Водночас варто зазначити, що, за словами Ярослава Подорванова, в листах від банку джерело отримання персональної інформації не зазначено. Лише в листуванні із представниками банку в соцмережі розробнику повідомили, що його контакти вони отримали від компанії «Опендатабот», а ті, вочевидь, — з реєстру Мін’юсту.
В НБУ де-факто нам відмовились пояснювати ситуацію, зазначивши, що Національний банк не уповноважений надавати роз’яснення законодавства України.
Свою скаргу на дії UKRSSIBBANK до НБУ скерував і розробник Ярослав Подорванов. У відповіді представники Національного банку, зокрема, зазначили, що контроль за забезпеченням доступу до публічної інформації здійснюють уповноважений з прав людини, депутати місцевих рад, громадські організації тощо.
Також у НБУ відповіли, що банки є незалежними у своїй діяльності і не мають ні організаційного, ні структурного підпорядкування Національному банку: «Органам державної влади, до яких належить і Національний банк України, заборонено будь-яким чином впливати на керівництво чи працівників банків у ході виконання ними службових обов’язків або втручатись в діяльність банку».
У відповіді на запит щодо захисту персональних даних у секретаріаті уповноваженого Верховної Ради України з прав людини, зокрема, підкреслили, що підставами для обробки персональних даних є:
- згода суб’єкта персональних даних на обробку його персональних даних;
- дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
- укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
- захист життєво важливих інтересів суб’єкта персональних даних;
- необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
- необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
Однак банки, на жаль, зазвичай перед розсилкою реклами на персональні електронні скриньки та мобільні телефони не питають в адресатів їхньої згоди.
Притягнути банки до відповідальності не так просто
Щоб прояснити ситуацію з погляду закону, ми звернулись до адвокатки, партнерки Win Win Law Наталії Хитрук та адвоката, керівного партнера Trustme Law Firm Сергія Барбашина.
За словами Наталії Хитрук, розсилка будь-якої реклами може в окремих випадках вважатися порушенням законодавства про персональні дані та захисту прав споживачів. Зокрема, Закон України «Про захист прав споживачів» передбачає, що здійснення постійних телефонних, електронних або інших повідомлень без згоди на це споживача вважається агресивною формою підприємницької практики.
Також, відповідно до Закону України «Про електронну комерцію», поширення повідомлень, метою яких є просування товарів, робіт чи послуг, можливе лише на підставі згоди особи на отримання таких повідомлень. Водночас закон дозволяє надсилати особі без її згоди такі повідомлення за умови, що вона може відмовитися від подальшого їх отримання. Тобто норми є суперечливими. Проте вищезгаданий закон не застосовується до порядку надання банківських послуг, за винятком тих, що можуть відбуватися в електронній формі.
Наразі питання притягнення банків до відповідальності за відсутності згоди фізичної особи на поширення їй рекламних повідомлень є проблемним.
«Ми очікуємо на позитивні зміни. До прикладу, у 2022 році набирає чинності Закон України „Про електронні комунікації“, який частково врегульовує питання спам-розсилки. Зокрема, закон прямо забороняє умисне масове розсилання електронних, текстових та/або мультимедійних повідомлень без згоди кінцевих користувачів», — підкреслила адвокатка.
Сергій Барбашин підкреслює, що рекламний спам з використанням даних з ЄДРПОУ є поширеним явищем. Компанії використовують публічні дані з метою рекламування власних послуг. Понад те, законодавство про рекламу не передбачає заборону використовувати публічні дані з цією метою.
Однак, схоже, використання інформації у формі відкритих даних має бути з обов’язковим посиланням на джерело її отримання. Зазначимо, що в рекламних матеріалах від банку не вказано, звідки були взяті контактні дані особи. Тобто порушена вимога Закону «Про доступ до публічної інформації».
Також особа, яка реєструє себе як ФОП, надає дані для зв’язку з нею для державних органів (податкової тощо), а не з метою отримання рекламних пропозицій від банків та інших установ. «Тобто фактично компанії використовують дані з реєстру з метою рекламування власних послуг попри те, що особа прямо не надавала на це згоду», — зазначає адвокат.
Чи можна не вказувати свої контакти при реєстрації ФОП?
Сергій Барбашин для захисту персональних даних радить не вказувати при реєстрації ФОП контактну інформацію — телефон і електронну адресу, стверджуючи, що це не є обов’язковою вимогою закону:
«Зазначу, що надання відомостей для здійснення зв’язку з ФОП не є обов’язковою вимогою при його реєстрації, ФОП надає такі відомості на власний розсуд. Тобто якщо ви не надасте свій номер телефону або пошту, то у реєстрації ФОП вам не відмовлять».
За словами юристки DOU Валерії Петракій, в законі не написано, що якщо при заповненні форми для відкриття ФОП не буде вказано контактний номер, то це підстава для відмови в реєстрації. Водночас у п. 8 ч. 4 ст. 9 цього закону передбачено, що в реєстрі відображається інформація для зв’язку з ФОП, а саме номер телефону та/або адреса електронної пошти, адреса сторінки в інтернеті за бажанням. До того ж і форма для реєстрації ФОП, затверджена Міністерством юстиції, містить графи для зазначення контактних даних.
«Тобто виглядає так, наче треба вказати або номер телефону, або електронну адресу. На практиці деякі реєстратори вимагають тільки телефон, а електронку — за бажанням. Але в самому реєстрі ми бачимо, що не всі вказують хоч якийсь контакт. Найімовірніше, це залежить від реєстратора, який проводить реєстрацію», — пояснює юристка.
Варто також зазначити, що при реєстрації ФОП через портал «Дія» обов’язковою умовою є вказувати як номер мобільного телефону, так і адресу електронної пошти. Система без цього документи не приймає.
Скриншот з порталу «Дія»
Таким чином, банки й справді використовують з рекламною метою персональні дані людей, надані при реєстрації ФОП. Притягнути їх до відповідальності за це проблематично. Для захисту своїх персональних даних при реєстрації ФОП юристи радять не надавати контактну інформацію — телефон і електронну адресу або вказувати щось одне. Однак не завжди реєстратор прийме таку заяву.
Авторка — Олена Чернишова.
