Непрямой сбор персональных данных: требования законодательства и правоприменительная практика

Компании часто сталкивается с необходимостью получения персональных данных от людей, с которыми они напрямую не взаимодействует. К примеру, работодатель может запрашивать у своих сотрудников информацию о членах их семей для того, чтобы убедиться в отсутствии конфликта интересов, а также требовать предоставления рекомендаций с предыдущих мест работы у соискателей, которые содержат как данные о самих кандидатах, так и информацию об их бывших руководителях, коллегах.

В рамках партнерских программ, реализуемых между банками и страховыми компаниями, также происходит обмен сведениями, в том числе информацией, содержащей персональные данные клиентов. С согласия лица банк передает персональные данные заемщика (ФИО, контактные данные, информация о кредитной заявке) страховой компании для оформления полиса. Таким образом, страховая организация получает персональные данные, принадлежащие субъекту, от банка, который выступает в качестве посредника и действует в интересах стороны и/или выгодоприобретателя по договору.

Все вышеописанные случаи подпадают под действие Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ (далее – Закон №152-ФЗ), который устанавливает ряд формальных требований к работе с информацией, оборот которой ограничен, в том числе условия и порядок обмена персональными данными между независимыми хозяйствующими субъектами. В частности, Закон № 152-ФЗ предусматривает необходимость наличия законного основания для обработки данных для любого из участников цепочки, а также налагает на оператора обязанности информировать субъекта о получении его персональных данных от третьего лица и предоставлять ему сведения об условиях и порядке такой обработки, особенности исполнения которых будут подробно раскрыты ниже.

Обозначим основные проблемы, с которыми может столкнуться оператор при получении персональных данных от третьих лиц, и определим пути их решения.

Проблемы получения оператором персональных данных не от самого субъекта

В подобных схемах работы с данными, когда информация о субъекте передается через посредника, одной из главных проблем становится отсутствие прямой связи между компанией и субъектом, чьи данные она получила и обрабатывает. Рассмотрим ситуацию, когда банк уступил право требования по кредитному договору коллекторскому агентству. При этом агентство, заключая договор уступки права требования, не проверило наличие у банка всех необходимых правомочий на обработку персональных данных, включая права на передачу данных заемщика в адрес третьих лиц. Также не была проведена проверка законности (правомерности) основания для передачи этих данных и отсутствия споров по существу обязательства на момент заключения договора цессии. В результате суд признал банк нарушившим требования Закона № 152-ФЗ и постановил, что коллекторское агентство (второй ответчик по делу) должно прекратить обработку данных заемщика до получения его согласия.

Как видим из примера, в подобных сценариях, когда компания получает персональные данные от третьей стороны, ключевая роль отводится посреднику, который должен обеспечить информирование субъекта данных о передаче его информации и соблюдение других законодательных требований. Однако такая схема работы создает значительные риски для бизнеса, так как отсутствует прямой контроль над процессами сбора и обработки данных, осуществляемыми первым оператором. Предприниматели вынуждены полагаться на добросовестность партнера или своих подчиненных, что повышает вероятность нарушений.

Кроме того, в Законе № 152-ФЗ декларируется, что обработка персональных данных должна осуществляться на законной и справедливой основе. Правовое основание обработки персональных данных является ключевым аспектом, обеспечивающим законность обработки данных и защищающим права субъектов. Статья 6 обсуждаемого закона перечисляет исчерпывающим образом юридические основания, позволяющие оператору обрабатывать персональные данные общей категории, включая, к примеру, необходимость исполнения договора, стороной которого является субъект персональных данных, соблюдение требований законодательства, обеспечение законных интересов оператора или третьих лиц.

Когда оператор получает персональные данные от третьего лица, он должен не только удостовериться в наличии у этого лица права на передачу данных, но также обосновать правомерность дальнейшей обработки полученных им сведений, т.е. определить для себя заранее правовое основание и цели обработки персональных данных.

Наиболее распространённым основанием обработки персональных данных является согласие субъекта. Данное правовое основание является универсальным и широко применяется в Интернет-среде, т.к. остальные ситуации требуют наличия специальной цели обработки, определённого правового статуса со стороны оператора или сочетания этих факторов, что может вызывать проблемы с доказыванием.

Что касается получения персональных данных не напрямую от субъекта, важно учитывать, что если первоначальный оператор получил согласие на обработку данных, но не предусмотрел их передачу конкретному контрагенту, последний обязан запросить отдельное согласие субъекта, если иные законные основания отсутствуют (пп. 2-11 ч. ст. 6., ч. 2 ст. 10, ст. 11 Закона №152-ФЗ). Подобная ситуация создает организационные сложности, особенно при отсутствии прямого контакта с субъектом данных. Поэтому крайне важно заранее определить и документально зафиксировать, кто обеспечивает наличие надлежащего юридического основания обработки персональных данных, пока такая передача не состоялась.

Если обработка данных необходима для выполнения договора, стороной которого является субъект, согласие, как правило, не требуется. В то же время необходимо знать и учитывать, что использование персональных данных в целях, выходящих за рамки изначального соглашения (например, для целей маркетинга и рекламы), требует согласия лица на обработку его персональных данных по установленной законом форме либо наличия другого обоснования. В противном случае оператор обязан прекратить сбор и обработку данных и обеспечить их уничтожение.

В деле, рассмотренном Арбитражным судом Новосибирской области, авиакомпания «Победа» получила персональные данные пассажира Жданова (включая адрес электронной почты) для оформления договора воздушной перевозки. Однако авиакомпания использовала эти данные для распространения рекламы ТБанка, заключив с маркетинговым агентством договор о предоставлении рекламных носителей для размещения рекламных баннеров на электронных маршрутных квитанциях (фактически произошла передача персональных данных третьему лицу). Один из таких билетов был направлен г-ну Жданову на почту. Суд установил, что хотя пассажир предоставил свои данные для оформления билета, это не означало его согласия на получение рекламы. Авиакомпания также не смогла доказать, что у нее было отдельное согласие пассажира на обработку (в том числе передачу в адрес третьих лиц) его персональных данных в этих целях. Таким образом, суд признал действия авиакомпании нарушением как Закона № 152-ФЗ (в части обработки персональных данных без надлежащего согласия и отсутствия правовых оснований для передачи их третьему лицу в рамках рекламной кампании), так и Федерального закона «О рекламе» от 13.03.2006 N 38-ФЗ (в части распространения баннерной рекламы без согласия адресата).

Этот пример наглядно демонстрирует, что даже при получении данных из надежного источника, в том числе в рамках партнерских соглашений, оператор обязан убедиться, что состоявшаяся передача данных и последующая их обработка являются законными и что субъект данных был должным образом информирован о том, каким образом его данные будут использоваться. Для этого необходимо особое внимание уделять формулировкам юридических документов, в том числе партнерских соглашений. Конкретные рекомендации будут предоставлены далее.

Обязанности оператора по информированию субъекта о получении его персональных данных от третьего лица

Когда компания получает персональные данные не напрямую от их владельца, а через третьих лиц, на неё возлагаются дополнительные обязанности по информированию субъекта. Согласно ч. 3 ст. 18 Закона № 152-ФЗ, оператор обязан уведомить лицо о получении его данных, указав источник их получения, цели обработки, правовые основания и другую необходимую информацию. Это требование направлено на обеспечение прозрачности и соблюдение прав субъектов данных. Предполагается, что это поможет субъекту отследить факт нарушения первым оператором условий обработки персональных данных либо факт обработки данных «принимающей стороной» без достаточных оснований.

В то же время часть 4 комментируемой статьи предусматривает большое количество изъятий из этого правила. С учётом этих исключений обязанность уведомить субъекта о получении его данных из сторонних источников может возникнуть, например, в следующих ситуациях:

1. если первоначальная обработка данных проводилась с согласия субъекта, но это согласие не предусматривало право первоначального оператора на передачу данных определенному третьему лицу;
2. в качестве правового основания обработки данных используется необходимость реализации прав и законных интересов оператора или третьих лиц (легитимный интерес) либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы самого субъекта (п. 7 ч. 1 ст. 6 Закона о персональных данных).

В большинстве других случаев обработка данных, скорее всего, будет подпадать под исключения, перечисленные в ч. 4 комментируемой статьи. Это особенно актуально в связи с её широкой формулировкой, которая охватывает получение данных в соответствии с федеральным законом. Под эту формулировку подпадают многие основания для обработки данных без согласия субъекта, указанные в ч. 1 ст. 6, ч. 2 ст. 10 и ст. 11 Закона о персональных данных.

Так, например, в рамках процедуры банкротства не требуется получение согласия и уведомление субъектов персональных данных на предоставление финансовому управляющему документов, содержащих такие сведения, если эта информация необходима для формирования конкурсной массы и защиты интересов кредиторов. Законный интерес в данном случае обусловлен специальными полномочиями управляющего, предусмотренными Федеральным законом от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)», который наделяет его правом запрашивать и получать любые сведения об имуществе должника, включая документы, содержащие персональные данные третьих лиц. При этом законодатель устанавливает гарантии защиты такой информации, возлагая на управляющего обязанность по обеспечению её конфиденциальности.

Законодательство о корпоративных юридических лицах наделяет участников хозяйственных обществ аналогичными правами при осуществлении ими корпоративных полномочий, связанных с получением информации о деятельности общества, что закреплено в статье 50 Федерального закона «Об обществах с ограниченной ответственностью» от 08.02.1998 N 14-ФЗ. Уведомление субъекта об получении его данных не напрямую от него, а из иного источника при этом не требуется.

Отдельного комментария заслуживает ситуации, когда обработка персональных данных происходит на условиях поручения.

По общему правилу, поручение обработки персональных данных не накладывает на компанию-обработчика обязанности информировать субъекта о получении данных не от него самого. В соответствии с законодательством о персональных данных, обязанность предоставить субъекту информацию о получении его данных, если эти данные были получены не от него самого, возлагается именно на оператора (то есть на лицо, которое изначально определяет цели обработки ПДн). Обработчик же (лицо, осуществляющее обработку по поручению оператора), действует в рамках поручения и не является стороной, определяющей цели и состав обрабатываемых персональных данных, не имеет прямого контакта с субъектом и отвечает исключительно за соблюдение условий и инструкций, предоставленных ему оператором (исключения составляют случаи, когда в качестве обработчика привлекается иностранное физическое или юридическое лицо, либо обработка персональных данных выходит за рамки договора поручения; тем не менее даже в этом случае уведомление субъекта о предстоящей передаче его персональных данных должен осуществлять оператора, а не обработчик).

Для обеспечения прозрачности обработки персональных данных оператору следует самостоятельно информировать субъектов о передаче их данных в адрес третьих лиц на условиях поручения. В случае, если в качестве правового основания обработки персональных данных используется информированное согласие субъекта, оператор обязан включить информацию о третьих лицах, действующих по поручению в текст такого согласия.

С более подробной информацией об особенностях института поручения обработки персональных данных вы можете ознакомиться в нашем ранее публикованном материале.

Рекомендации по информированию субъектов при получении персональных данных от третьих лиц

Наиболее часто используемым исключением из правила по уведомлению субъектов является положение пункта 1 части 4 статьи 18 Закона №152-ФЗ, согласно которому уведомление не требуется, если субъект уже был проинформирован о передаче его данных соответствующим оператором.

Многие компании стремятся воспользоваться этим исключением, перекладывая бремя ответственности за уведомление субъекта на первоначального оператора, передающего данные. Такой подход позволяет избежать дополнительных организационных издержек, связанных с самостоятельным уведомлением каждого субъекта. Однако практика показывает, что эта стратегия не всегда является надежной и может создавать существенные риски для компании. Основная проблема заключается в том, что компания-получатель данных часто не имеет возможности проверить, действительно ли субъект был надлежащим образом уведомлен первоначальным оператором. Особенно это актуально в случаях, когда передающая сторона не имеет статуса оператора персональных данных и осуществляет передачу данных в своих личных целях, не связанных с осуществлением предпринимательской деятельности.

Судебная практика по вопросам обработки персональных данных и получения согласия на их передачу от третьих лиц не отличается последовательностью.
В решении Октябрьского районного суда г. Екатеринбурга от 26.04.2022 по делу № 12-188/2022 был рассмотрен случай, когда банк собирал данные рекомендателей кандидатов на вакансии. Соискатели указывали в анкетах контакты и места работы лиц, готовых дать отзыв, при этом заверяя, что уведомили рекомендателей о передаче их данных компании. Суд поддержал компанию, указав, что закон не требует получения письменного согласия рекомендателя. По мнению суда, компания вправе была полагаться на заверения соискателя, который совмещал функции субъекта персональных данных в части своих данных и функции оператора — в части данных рекомендателей.

Однако в решении АС Свердловской области от 04.03.2015 г. по делу № А60-1187/2015 суд занял противоположную позицию. В этом деле регулятор выдал предписание банку из-за отсутствия письменного согласия родственников и рекомендателей соискателей, членов семей заемщиков, а также доказательств их уведомления. Суд отклонил довод банка о презумпции добросовестности соискателей и заемщиков при передаче данных третьих лиц, указав, что правоотношения в сфере обработки персональных данных не имеют гражданско-правового характера. Не исключено, что даже если бы институт заверений об обстоятельствах существовал на момент рассмотрения спора, суд все равно критически отнесся бы к доводу ответчика о наличии таких заверений. При регулировании оборота персональных данных необходимо ориентироваться на основные принципы их обработки, которые направлены на защиту прав субъектов данных. Переложение ответственности за уведомление третьих лиц идет в разрез с этими базовыми принципами.

С учетом указанных рисков во многих случаях предпочтительнее подход, при котором компания самостоятельно уведомляет субъектов о получении их персональных данных. Это особенно важно в ситуациях с повышенными рисками нарушения прав субъектов, например, при передаче данных коллекторским агентствам, использовании в маркетинговых целях или обработке особых категорий персональных данных. Несмотря на необходимость дополнительных организационных усилий и затрат, такой подход обеспечивает компании существенные преимущества.

Для эффективного уведомления субъектов компаниям рекомендуется использовать официальные каналы связи, такие как заказные письма с уведомлением о вручении или электронные сообщения с подтверждением доставки. Важно, чтобы содержание уведомления включало всю необходимую информацию, предусмотренную законом: сведения о новом операторе, цели обработки данных, правовые основания и источник получения данных.

Для минимизации рисков при обработке данных, полученных от третьих лиц, рекомендуется выполнить следующий алгоритм действий:

1. Проверить наличие правовых оснований и четко сформулированных целей обработки, соответствующих требованиям ст. 6 Закона № 152-ФЗ.
2. Внести необходимые изменения в локальные нормативные акты оператора, указав планируемые объемы и условия обработки персональных данных в соответствии с уставной деятельностью, и при необходимости актуализировать информацию, включенную в реестр операторов персональных данных Роскомнадзора.
3. Включать в тексты партнерских соглашений или согласий на обработку данных обязательства контрагента по обеспечению правовых оснований обработки персональных данных, особенно когда прямой контакт с субъектом невозможен. Соответствующие документы должны содержать вполне определенные правовые последствия в случае нарушения партнером своих договорных обязательств.
4. Если правовым основание обработки персональных данных выступает согласие субъекта, а сотрудничество с контрагентом по вопросам обмена личной информацией субъектов предполагается долговременным, настаивайте на включении в текст формы СОПД отдельного согласия субъекта на передачу его персональных данных в адрес третьих лиц в объеме, который оправдан целями сотрудничества. В тексте такого согласия должны фигурировать наименование и реквизиты вашей компании, получателя персональных данных.
5. Разработать систему документального подтверждения факта уведомления субъектов, учитывая, как прямое информирование, так и механизмы получения заверений от передающей стороны (например, можно запросить у второй стороны, предоставлять по запросу доказательства подтверждения осведомленности субъектов об обработке их персональных данных третьим лицом).
6. Установить четкие сроки хранения данных и процедуры их уничтожения в случаях, когда подтвердить правомерность обработки не удалось. Своевременное реагирование на запросы субъектов позволит минимизировать риски нарушения требований законодательства о персональных данных.

Юридическая компания «Центральный округ» предлагает комплексную правовую поддержку для защиты ваших интересов в области охраны персональных данных, а также помощь в договорном оформлении взаимоотношений с партнёрами, подрядчиками и пр.