
Анализ судебной практики по делам, связанным со сбором, перепродажей и передачей персональных данных третьим лицам (в том числе по договорам консалтинга), требует внимательного изучения норм Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и практики их применения органами надзора, включая Роскомнадзор, а также судами. В данном анализе предлагаем сосредоточиться на ключевых аспектах нарушений, претензиях надзорных органов и ранжировании типичных нарушений на основе их частоты и значимости в судебной практике.
Судебная практика по делам о сборе и передаче ПДн демонстрирует строгую позицию Роскомнадзора и судов в отношении нарушений Закона № 152-ФЗ. Наиболее частые и значимые претензии связаны с отсутствием согласия субъекта и нарушением конфиденциальности данных. Операторам, работающим с базами данных для перепродажи или передачи, следует уделить особое внимание соблюдению требований закона, чтобы избежать крупных штрафов и репутационных потерь.
Основные положения Закона № 152-ФЗ, применимые к ситуации
Закон № 152-ФЗ регулирует обработку персональных данных (ПДн), включая их сбор, хранение, передачу и использование. Ключевые статьи, которые могут быть нарушены при сборе баз данных для перепродажи или передачи третьим лицам, включают:
- Статья 3: Определение ПДн и оператора (любой, кто собирает данные, считается оператором).
- Статья 5: Принципы обработки ПДн (законность, конкретность целей, ограничение объема данных, конфиденциальность).
- Статья 6: Условия обработки ПДн (необходимость согласия субъекта, кроме случаев, предусмотренных законом).
- Статья 7: Конфиденциальность ПДн (запрет на передачу третьим лицам без согласия субъекта).
- Статья 9: Согласие субъекта на обработку ПДн (должно быть конкретным, информированным и сознательным).
- Статья 12: Трансграничная передача данных (дополнительные требования при передаче за рубеж).
- Статья 22: Уведомление Роскомнадзора о намерении обрабатывать ПДн.
Нарушение этих норм влечет административную ответственность по ст. 13.11 КоАП РФ, а в некоторых случаях — гражданско-правовую или уголовную ответственность (например, по ст. 137 УК РФ за нарушение неприкосновенности частной жизни).
Типичные нарушения и претензии Роскомнадзора
На основе анализа судебной практики и деятельности Роскомнадзора можно выделить основные претензии, которые предъявляются к лицам, собирающим базы данных для перепродажи или передачи третьим лицам. Эти претензии ранжируются по частоте и значимости в практике.
1.Отсутствие или ненадлежащее согласие субъекта на обработку ПДн (ч. 1 ст. 6, ст. 9 Закона № 152-ФЗ)
- Частота: Наиболее частое нарушение.
- Описание: Сбор данных без согласия субъекта или с использованием согласия, которое не соответствует требованиям закона (например, не указано, кому и для каких целей передаются данные), является основным предметом претензий. В случае перепродажи или передачи данных третьим лицам (по договору консалтинга или иному) требуется отдельное согласие на передачу.
- Примеры из практики:
- Суды часто подтверждают, что передача данных третьим лицам без явного согласия субъекта является нарушением. Например, в делах, связанных с передачей данных маркетинговым агентствам, суды указывают на необходимость указания конкретных третьих лиц в согласии.
- Постановление Девятнадцатого арбитражного апелляционного суда от 27.12.2018 № 19АП-8727/18: подписание договора не считается автоматическим согласием на передачу данных третьим лицам.
- Санкции: Штрафы по ч. 1 ст. 13.11 КоАП РФ — до 75 000 руб. для юрлиц за первое нарушение, до 500 000 руб. при повторном.
2.Нарушение конфиденциальности ПДн (ст. 7 Закона № 152-ФЗ)
- Частота: Высокая.
- Описание: Перепродажа или передача баз данных третьим лицам без соблюдения требований конфиденциальности (например, без согласия или без обеспечения защиты данных при передаче) рассматривается как прямое нарушение.
- Примеры из практики:
- В делах, где данные передавались по договорам консалтинга без указания конкретных целей и без согласия субъекта, суды признавали действия оператора незаконными.
- Определение ВС РФ от 24.11.2016 № 305-КГ16-16632: передача данных третьим лицам без согласия субъекта признана нарушением конфиденциальности.
- Санкции: Штрафы по ч. 2 ст. 13.11 КоАП РФ — до 300 000 руб. для юрлиц при повторном нарушении.
3. Обработка избыточных данных (ч. 5 ст. 5 Закона № 152-ФЗ)
- Частота: Средняя.
- Описание: Сбор данных, не соответствующих заявленным целям (например, сбор паспортных данных для маркетинговых целей), рассматривается как нарушение принципа ограничения объема данных.
- Примеры из практики:
- Роскомнадзор часто привлекает операторов за сбор избыточных данных, особенно если базы формируются для перепродажи. Суды поддерживают позицию, что цели обработки должны быть четко определены и не выходить за рамки необходимости.
- Санкции: Штрафы по ч. 1 ст. 13.11 КоАП РФ — до 75 000 руб. для юрлиц.
4.Непредставление уведомления в Роскомнадзор (ч. 3 ст. 22 Закона № 152-ФЗ)
- Частота: Средняя.
- Описание: Операторы, собирающие данные для перепродажи, часто не уведомляют Роскомнадзор о своей деятельности, что является обязательным в большинстве случаев.
- Примеры из практики:
- Судебная практика подтверждает, что отсутствие уведомления влечет административную ответственность, особенно если данные передаются третьим лицам.
- Санкции: Штрафы по ч. 3 ст. 13.11 КоАП РФ — до 45 000 руб. для юрлиц.
5.Нарушение требований к локализации данных (ч. 5 ст. 18 Закона № 152-ФЗ)
- Частота: Низкая, но значимая при трансграничной передаче.
- Описание: Если базы данных передаются за рубеж (например, по договору консалтинга с иностранной компанией), оператор обязан обеспечить локализацию данных на территории РФ. Нарушение этого требования влечет крупные штрафы.
- Примеры из практики:
- Дела о нарушении локализации данных редки, но резонансны. Например, крупные компании (LinkedIn) блокировались Роскомнадзором за несоблюдение локализации.
- Санкции: Штрафы по ч. 8 ст. 13.11 КоАП РФ — до 6 млн руб. для юрлиц за первое нарушение, до 18 млн руб. за повторное.
6. Отсутствие мер по обеспечению безопасности ПДн (ст. 19 Закона № 152-ФЗ)
- Частота: Низкая, но значимая.
- Описание: Операторы, передающие данные третьим лицам, обязаны обеспечить их безопасность (например, шифрование, ограничение доступа). Утечки данных при перепродаже или передаче часто приводят к претензиям.
- Примеры из практики:
- Утечки данных из баз, проданных третьим лицам, приводят к привлечению оператора к ответственности, если не были приняты меры защиты.
- Санкции: Штрафы по ч. 6 ст. 13.11 КоАП РФ — до 100 000 руб. для юрлиц.
Ранжирование претензий по значимости и частоте
На основе анализа судебной практики и деятельности Роскомнадзора претензии можно ранжировать следующим образом:
- Отсутствие согласия на обработку и передачу ПДн (самое частое нарушение, высокая судебная активность, значительные штрафы).
- Нарушение конфиденциальности ПДн (частое нарушение, особенно при перепродаже данных, высокая вероятность привлечения к ответственности).
- Обработка избыточных данных (средняя частота, но часто выявляется при проверках Роскомнадзора).
- Непредставление уведомления в Роскомнадзор (средняя частота, выявляется при плановых проверках).
- Нарушение требований локализации (реже, но серьезные последствия, особенно при трансграничной передаче).
- Отсутствие мер по обеспечению безопасности ПДн (реже, но значимо при утечках данных).
Рекомендации для операторов
Для минимизации рисков привлечения к ответственности операторам, собирающим базы данных для перепродажи или передачи по договорам консалтинга, рекомендуется:
- Получать явное согласие субъекта: Согласие должно быть конкретным, информированным и включать указание на третьих лиц, которым передаются данные.
- Уведомлять Роскомнадзор: Подать уведомление о намерении обрабатывать ПДн до начала деятельности.
- Ограничивать объем данных: Собирать только те данные, которые необходимы для заявленных целей.
- Заключать договоры с третьими лицами: В договорах консалтинга прописывать обязательства по соблюдению конфиденциальности и безопасности данных.
- Обеспечивать локализацию: При передаче данных за рубеж соблюдать требования локализации.
- Принимать меры безопасности: Использовать шифрование, ограничивать доступ к данным, вести журналы обработки.