Анализ судебной практики по делам связанных со сбором персональных данных What Is It? New Query: Legal Practice Analysis

Союзконсалт цифровые технологии для бизнеса

Анализ судебной практики по делам, связанным со сбором, перепродажей и передачей персональных данных третьим лицам (в том числе по договорам консалтинга), требует внимательного изучения норм Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и практики их применения органами надзора, включая Роскомнадзор, а также судами. В данном анализе предлагаем сосредоточиться на ключевых аспектах нарушений, претензиях надзорных органов и ранжировании типичных нарушений на основе их частоты и значимости в судебной практике.

Судебная практика по делам о сборе и передаче ПДн демонстрирует строгую позицию Роскомнадзора и судов в отношении нарушений Закона № 152-ФЗ. Наиболее частые и значимые претензии связаны с отсутствием согласия субъекта и нарушением конфиденциальности данных. Операторам, работающим с базами данных для перепродажи или передачи, следует уделить особое внимание соблюдению требований закона, чтобы избежать крупных штрафов и репутационных потерь.

Основные положения Закона № 152-ФЗ, применимые к ситуации

Закон № 152-ФЗ регулирует обработку персональных данных (ПДн), включая их сбор, хранение, передачу и использование. Ключевые статьи, которые могут быть нарушены при сборе баз данных для перепродажи или передачи третьим лицам, включают:

  • Статья 3: Определение ПДн и оператора (любой, кто собирает данные, считается оператором).
  • Статья 5: Принципы обработки ПДн (законность, конкретность целей, ограничение объема данных, конфиденциальность).
  • Статья 6: Условия обработки ПДн (необходимость согласия субъекта, кроме случаев, предусмотренных законом).
  • Статья 7: Конфиденциальность ПДн (запрет на передачу третьим лицам без согласия субъекта).
  • Статья 9: Согласие субъекта на обработку ПДн (должно быть конкретным, информированным и сознательным).
  • Статья 12: Трансграничная передача данных (дополнительные требования при передаче за рубеж).
  • Статья 22: Уведомление Роскомнадзора о намерении обрабатывать ПДн.

Нарушение этих норм влечет административную ответственность по ст. 13.11 КоАП РФ, а в некоторых случаях — гражданско-правовую или уголовную ответственность (например, по ст. 137 УК РФ за нарушение неприкосновенности частной жизни).

Типичные нарушения и претензии Роскомнадзора

На основе анализа судебной практики и деятельности Роскомнадзора можно выделить основные претензии, которые предъявляются к лицам, собирающим базы данных для перепродажи или передачи третьим лицам. Эти претензии ранжируются по частоте и значимости в практике.

1.Отсутствие или ненадлежащее согласие субъекта на обработку ПДн (ч. 1 ст. 6, ст. 9 Закона № 152-ФЗ)

  • Частота: Наиболее частое нарушение.
  • Описание: Сбор данных без согласия субъекта или с использованием согласия, которое не соответствует требованиям закона (например, не указано, кому и для каких целей передаются данные), является основным предметом претензий. В случае перепродажи или передачи данных третьим лицам (по договору консалтинга или иному) требуется отдельное согласие на передачу.
  • Примеры из практики:
    • Суды часто подтверждают, что передача данных третьим лицам без явного согласия субъекта является нарушением. Например, в делах, связанных с передачей данных маркетинговым агентствам, суды указывают на необходимость указания конкретных третьих лиц в согласии.
    • Постановление Девятнадцатого арбитражного апелляционного суда от 27.12.2018 № 19АП-8727/18: подписание договора не считается автоматическим согласием на передачу данных третьим лицам.
  • Санкции: Штрафы по ч. 1 ст. 13.11 КоАП РФ — до 75 000 руб. для юрлиц за первое нарушение, до 500 000 руб. при повторном.

2.Нарушение конфиденциальности ПДн (ст. 7 Закона № 152-ФЗ)

  • Частота: Высокая.
  • Описание: Перепродажа или передача баз данных третьим лицам без соблюдения требований конфиденциальности (например, без согласия или без обеспечения защиты данных при передаче) рассматривается как прямое нарушение.
  • Примеры из практики:
    • В делах, где данные передавались по договорам консалтинга без указания конкретных целей и без согласия субъекта, суды признавали действия оператора незаконными.
    • Определение ВС РФ от 24.11.2016 № 305-КГ16-16632: передача данных третьим лицам без согласия субъекта признана нарушением конфиденциальности.
  • Санкции: Штрафы по ч. 2 ст. 13.11 КоАП РФ — до 300 000 руб. для юрлиц при повторном нарушении.

3. Обработка избыточных данных (ч. 5 ст. 5 Закона № 152-ФЗ)

  • Частота: Средняя.
  • Описание: Сбор данных, не соответствующих заявленным целям (например, сбор паспортных данных для маркетинговых целей), рассматривается как нарушение принципа ограничения объема данных.
  • Примеры из практики:
    • Роскомнадзор часто привлекает операторов за сбор избыточных данных, особенно если базы формируются для перепродажи. Суды поддерживают позицию, что цели обработки должны быть четко определены и не выходить за рамки необходимости.
  • Санкции: Штрафы по ч. 1 ст. 13.11 КоАП РФ — до 75 000 руб. для юрлиц.

4.Непредставление уведомления в Роскомнадзор (ч. 3 ст. 22 Закона № 152-ФЗ)

  • Частота: Средняя.
  • Описание: Операторы, собирающие данные для перепродажи, часто не уведомляют Роскомнадзор о своей деятельности, что является обязательным в большинстве случаев.
  • Примеры из практики:
    • Судебная практика подтверждает, что отсутствие уведомления влечет административную ответственность, особенно если данные передаются третьим лицам.
  • Санкции: Штрафы по ч. 3 ст. 13.11 КоАП РФ — до 45 000 руб. для юрлиц.

5.Нарушение требований к локализации данных (ч. 5 ст. 18 Закона № 152-ФЗ)

  • Частота: Низкая, но значимая при трансграничной передаче.
  • Описание: Если базы данных передаются за рубеж (например, по договору консалтинга с иностранной компанией), оператор обязан обеспечить локализацию данных на территории РФ. Нарушение этого требования влечет крупные штрафы.
  • Примеры из практики:
    • Дела о нарушении локализации данных редки, но резонансны. Например, крупные компании (LinkedIn) блокировались Роскомнадзором за несоблюдение локализации.
  • Санкции: Штрафы по ч. 8 ст. 13.11 КоАП РФ — до 6 млн руб. для юрлиц за первое нарушение, до 18 млн руб. за повторное.

6. Отсутствие мер по обеспечению безопасности ПДн (ст. 19 Закона № 152-ФЗ)

  • Частота: Низкая, но значимая.
  • Описание: Операторы, передающие данные третьим лицам, обязаны обеспечить их безопасность (например, шифрование, ограничение доступа). Утечки данных при перепродаже или передаче часто приводят к претензиям.
  • Примеры из практики:
    • Утечки данных из баз, проданных третьим лицам, приводят к привлечению оператора к ответственности, если не были приняты меры защиты.
  • Санкции: Штрафы по ч. 6 ст. 13.11 КоАП РФ — до 100 000 руб. для юрлиц.

Ранжирование претензий по значимости и частоте

На основе анализа судебной практики и деятельности Роскомнадзора претензии можно ранжировать следующим образом:

  1. Отсутствие согласия на обработку и передачу ПДн (самое частое нарушение, высокая судебная активность, значительные штрафы).
  2. Нарушение конфиденциальности ПДн (частое нарушение, особенно при перепродаже данных, высокая вероятность привлечения к ответственности).
  3. Обработка избыточных данных (средняя частота, но часто выявляется при проверках Роскомнадзора).
  4. Непредставление уведомления в Роскомнадзор (средняя частота, выявляется при плановых проверках).
  5. Нарушение требований локализации (реже, но серьезные последствия, особенно при трансграничной передаче).
  6. Отсутствие мер по обеспечению безопасности ПДн (реже, но значимо при утечках данных).

Рекомендации для операторов

Для минимизации рисков привлечения к ответственности операторам, собирающим базы данных для перепродажи или передачи по договорам консалтинга, рекомендуется:

  1. Получать явное согласие субъекта: Согласие должно быть конкретным, информированным и включать указание на третьих лиц, которым передаются данные.
  2. Уведомлять Роскомнадзор: Подать уведомление о намерении обрабатывать ПДн до начала деятельности.
  3. Ограничивать объем данных: Собирать только те данные, которые необходимы для заявленных целей.
  4. Заключать договоры с третьими лицами: В договорах консалтинга прописывать обязательства по соблюдению конфиденциальности и безопасности данных.
  5. Обеспечивать локализацию: При передаче данных за рубеж соблюдать требования локализации.
  6. Принимать меры безопасности: Использовать шифрование, ограничивать доступ к данным, вести журналы обработки.