В рамках данной заметки, сразу опустим вопрос о том, что далеко не все компании оформляют согласие клиентов на обработку персональных данных, игнорируя данный вопрос. Это исключительно риски отдельно взятой компании, которая пересмотрит свой подход после первых жалоб в Роскомнадзор.
Почему же важно корректно оформлять положение об обработке персональных данных клиентов и зачем вообще уделять время данному корпоративному документу, который многие при регистрации на сайте даже не читают.
В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о защите персональных данных»):
«персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»
Согласно п. 2 ст. 3 Закона о защите персональных данных:
«оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»
В соответствии с п. 3 ст. 3 Закона о защите персональных данных:
«обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;»
Компания, собирающая и обрабатывающая персональные данные клиентов, признается оператором персональных данных и несет обязанности, вытекающие из данного статуса.
Клиент передаёт собственные персональные данные добровольно, отдавая себе отчет в том, для каких целей он предоставляет свои персональные данные компании.
Согласно п. 1 ст. 9 Закона о защите персональных данных:
«Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.»
По общему правилу, согласие клиента может быть оформлено как в письменном виде, так и путем заполнения специальной электронной формы на интернет-сайте компании.
Самые распространенные нарушения, связанные с оборотом персональных данных закреплены в ч. 1 ст. 13.11 КоАП РФ:
«Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, -
влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.»
В данной норме указаны два основных нарушения:
- обработка персональных данных в нарушение законодательства;
- обработка персональных данных несовместима с целями сбора персональных данных.
Наиболее распространенной ситуацией, относящейся к первому нарушению, относится утрата персональных данных клиентов без воли компаний-операторов. В такой ситуации, по сложившейся судебной практике, у компании-оператора нет возможности избежать ответственности, поскольку ответственность возникает независимо от воли компании-оператора.
Второе нарушение связано с действиями компании-оператора. Оно возникает ввиду некорректного формирования положения об обработке персональных данных клиентов.
Клиент должен точно знать, для каких целей он предоставляет свои персональные данные компании и на какой срок, а также кому персональные данные могут быть переданы. Если какие-либо формулировки и действия компании трактуются неоднозначно, клиент вправе обратиться за защитой своих прав в Роскомнадзор.
Самый распространенный пример, когда компании допускают нарушения прав клиентов, связан с передачей персональных данных клиентов привлеченным организациям для полноценного выполнения обязательств.
Не всегда компания взаимодействует с клиентом без привлечения третьих лиц. Наиболее четко это видно на примере взаимодействия банков с коллекторами, когда банки привлекают третьих лиц для взыскания задолженности по кредитам.
Подобный пример передачи персональных данных клиента третьим лицам есть в апелляционном определении Свердловского областного суда от 05.10.2016 по делу № 33-17390/2016:
«При таких обстоятельствах, учитывая, что договор о кредитной карте от <...>, заключенный между СИГ и АО "Тинькофф Банк", является действующим, по данному договору у истца имеется задолженность, действия банка по обработке и использованию персональных данных истца путем передачи их ООО "Феникс" для совершения действий по исполнению договора (взысканию задолженности), несмотря на наличие заявления истца о прекращении таких действий, не могут быть признаны незаконными, нарушающими вышеприведенные положения действующего законодательства, равно как и не могут быть признаны нарушающими запрет на распространение персональных данных истца, следовательно, вывод суда первой инстанции об отказе в удовлетворении заявленных требований является законным и обоснованным.
При этом ООО "Феникс" не обязано получать согласие истца на обработку ее персональных данных, поскольку действует по поручению оператора персональных данных (ч. 4 ст. 6 Федерального закона от 27 июля 2006 года N 152-ФЗ).»
Организация-взыскатель не является стороной договора между банком и клиентом, при этом суд указывает что организации-взыскателю не требуется получать дополнительно согласия клиента банка, поскольку право банка на передачу персональных данных клиента для взыскания задолженности по договору было четко прописано в положении об обработке персональных данных.
Передача персональных данных клиента третьему лицу может быть только при условии, что клиент заранее уведомлен о том, кому его персональные данные могут быть переданы. В противном случае оператор персональных данных может быть привлечен к административной ответственности.
Аналогичная ситуация отражена в решении Санкт-Петербургского городского суда от 29.10.2019 по делу № 12-577/2019:
«В связи с поступлением Ш телефонных звонков от сотрудников ООО "Сентинел Кредит Менеджмент" и ООО "М.Б.А. Финансы" с уведомлением о наличии задолженности перед ПАО "МТС-Банк" после подачи им указанного заявления, Ш считает, что Общество противоправно передало его персональные данные в адрес ООО "Сентинел Кредит Менеджмент" и ООО "М.Б.А. Финансы" для взыскания имеющейся перед Обществом задолженности.
В связи с ненадлежащим исполнением Ш принятых на себя обязательств в рамках договора потребительского кредита, у него образовалась просроченная задолженность. ПАО "МТС-Банк" проводит мероприятия, направленные на возврат просроченной задолженности, в соответствии с требованиями Федерального закона от 03.07.2016 N 230-ФЗ "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях".
Из анализа представленных Обществом документов следует, что в разделе 8 заявления об открытии банковского счета и предоставлении банковской карты с условием кредитования счета от 28.09.2017 года Ш выразил свое согласие на обработку Обществом персональных данных, а также на передачу их иным третьим лицам, перечень которых размещен на официальном сайте Общества: www.mtsbank.ru.
На основании агентского договора (Поручение оператора), Общество поручило совершать действия, направленные на возврат просроченной задолженности по Договору в период с 06.11.2018 года ООО "Сентинел Кредит Менеджмент", а в период с 10.12.2018 года - ООО "М.Б.А. Финансы".»
В данном случае банк отсылает не к конкретному лицу, а к списку лиц, которому банк может передать персональные данные клиента в целях получения исполнения по договору с клиентом.
Ситуация с банками является наиболее распространенной и показательной. Однако, кому еще может потребоваться проработанное положение об обработке персональных данных?
В первую очередь медицинским организациям, которые используют мощности сторонних лабораторий для проведения исследований, при которых персональные данные клиентов медицинских организаций направляются в сторонние организации.
Также, подобная ситуация имеет место при проведении клиниками генетических тестов клиентов, когда персонифицированный генетический материал передается в исследовательский институт для проведения тестов.
Пример с передачей персональных данных третьим лицам без согласия клиентов является далеко не единственным аспектом, на который необходимо обращать внимание при оформлении положения об обработке персональных данных, но является одним из наиболее часто встречающихся в судебной практике.
В случае возникновения юридических вопросов, связанных с подготовкой положения об обработке персональных данных, прошу обращаться по контактному адресу электронной почты: [email protected].
Спасибо, полезная информация.