Некоторые теоретические и практические вопросы передачи персональных данных для обработки другим операторам
Смотреть Содержание
Автор статьи: Черников В.В., заслуженный юрист Российской Федерации, доктор юридических наук, профессор, профессор кафедры административного и финансового права юридического факультета Национального исследовательского Нижегородского государственного университета имени Н.И. Лобачевского, г. Нижний Новгород, генерал-лейтенант милиции в отставке.
В статье исследуется вопрос о соблюдении требований законодательства о персональных данных при обработке персональных данных несколькими лицами (операторами).
Анализируется ситуация, когда один оператор получает персональные данные (и согласие на их обработку) непосредственно от субъекта персональных данных, а обработку этих персональных данных по различным причинам производит не только указанный оператор, но и другие лица, которым указанный оператор передает полученные персональные данные. Предлагаются варианты оформления обработки персональных данных в такой ситуации, уделено внимание проблемам практической реализации рассмотренных вариантов.
Актуальность проблемы работы с персональными данными
В последние годы ответственность за нарушение законодательства о персональных данных существенно возросла (Федеральный закон от 12.12.2023 № 589-ФЗ, Федеральный закон от 30.11.2024 № 420-ФЗ, которые внесли изменения в КоАП РФ). В связи с этим для все большего числа граждан и хозяйствующих субъектов становятся крайне актуальными обработка персональных данных в строгом соответствии с законодательством и обеспечение максимального соблюдения прав субъектов персональных данных.
Одним из актуальных вопросов является соблюдение законодательства при обработке персональных данных (ПД), собранных на интернет-сайте одного оператора и переданных им другому оператору (или другим операторам), не получавшему непосредственно от субъекта ни его ПД, ни его согласия на обработку ПД. Он напрямую связан с гарантиями прав граждан и субъектов предпринимательской деятельности на конфиденциальность ПД.
В существующих реалиях экономического оборота компании зачастую просто вынуждены передавать друг другу и обрабатывать (каждая в отдельности) ПД различных лиц, например данные клиентов, потенциальных клиентов, контрагентов и их представителей, работников, в том числе бывших, соискателей и других, – отсутствие такой возможности может существенно затруднить или даже полностью блокировать как нормальную хозяйственную деятельность таких компаний, так и получение товаров, работ, услуг соответствующими субъектами ПД.
В качестве иллюстрации приведем широко распространенную практику обмена информацией между различными субъектами при реализации автомобилей.
В значительном числе случаев лица, желающие с целью сравнения предложений на рынке получить информацию о конкретных моделях автомобилей, обращаются с такими запросами на сайты производителя или генерального дистрибьютора соответствующей марки (бренда) и оставляют свои ПД на сайтах указанных лиц (разумеется, давая при этом согласие на соответствующую обработку предоставленных ПД). Производителю, генеральному дистрибьютору, в свою очередь, для качественного выполнения подобных запросов нужно законно передавать их ПД дилерам, которые в полной мере владеют запрошенной информацией, и поэтому только они способны ответить на все возникшие вопросы.
О технических характеристиках, комплектациях, ценах, системе предоставляемых скидок и кредитных программах, наличии автомобилей на складе и прочие сведения.
И наоборот, информация о лицах (в том числе их ПД), которые уже приобрели автомобили у дилеров (и которые предоставили дилерам свои ПД), необходима производителю и генеральному дистрибьютору – в частности, для организации контроля за деятельностью дилеров, для совершенствования конструкции автомобилей с учетом потребностей владельцев и т.д. и т.п. В связи с чем дилерам нужно законно передавать ПД покупателей указанным лицам.
В описанной выше и в других подобных ситуациях компаниям крайне важно грамотно выстроить весь процесс обработки ПД, который должен обеспечивать, с одной стороны, соблюдение всех требований законодательства и прав субъектов ПД, причем не только со стороны оператора, непосредственно собирающего ПД на своем сайте, но и со стороны третьих лиц, которым эти данные передаются для последующей обработки (вследствие чего эти третьи лица сами становятся операторами). С другой стороны, данные процессы не должны создавать чрезмерные или тем более непреодолимые препятствия для нормальной хозяйственной деятельности компаний, ставить компании в неопределенное правовое положение, делая потенциальными нарушителями закона.
Далее для краткости будем придерживаться следующей терминологии:
- лицо (компанию), которое получает ПД непосредственно от субъекта ПД, будем называть «Первый Оператор»;
- лицо (компанию), которое получает ПД не непосредственно от субъекта ПД, а от Первого Оператора ПД, будем именовать «Второй Оператор».
При этом будем также иметь в виду, что под Вторым Оператором понимается не обязательно только одно лицо - таких лиц может быть несколько. То есть ПД могут передаваться нескольким таким Вторым Операторам.
Для того чтобы обработка ПД всеми указанными лицами осуществлялась законно и с соблюдением прав субъектов ПД, необходимо правильно оформить передачу ПД между Первым и Вторым Операторами, а также согласие или несогласие субъекта ПД на обработку его ПД.
Важно сразу отметить, что в согласии, которое собирает Первый Оператор на своем сайте, должно быть прямо указано, что ПД будут передаваться Второму Оператору с точной идентификацией последнего.
Существует также мнение, что в согласии можно не указывать конкретное третье лицо, кому будут передаваться ПД, или список таких лиц, а можно обозначить ограниченный круг третьих лиц. В этом случае ПД могут передаваться не любому третьему лицу, а такому лицу, которое будет удовлетворять установленным признакам. Суды признают такие согласия законными (Решение Гагаринского районного суда города Москвы от 24.08.2022 по делу N 12-1018/2022).
Правила оформления согласия на обработку персональных данных, в том числе и третьими лицами
Представляется, что можно выделить 3 варианта оформления согласия субъекта на обработку его ПД, которые Первый Оператор собрал на своем сайте.
Вариант 1. Отдельные согласия каждому Оператору
Субъект ПД дает два отдельных согласия на обработку его ПД: одно – непосредственно Первому Оператору (при этом данное согласие предусматривает передачу ПД Первым Оператором Второму Оператору); второе – непосредственно Второму Оператору.
Данный подход полностью соответствует буквальному смыслу требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее –Закон о ПД). Однако следует признать, что существует также целый ряд чисто технических проблем, препятствующих корректному практическому применению данного подхода, а возможно, и делающих его применение невозможным в принципе.
В частности, из самых общих соображений понятно, что для корректности обработки ПД Вторым Оператором согласие субъекта ПД должно быть получено Вторым Оператором не позднее момента передачи ПД Первым Оператором Второму. Но гарантировано обеспечить такую последовательность событий не в состоянии ни Первый Оператор (он может лишь уведомить субъекта ПД, что ему следует обратиться ко Второму Оператору, что тем не менее не гарантирует такого обращения), ни тем более Второй Оператор (который вообще может не знать, что конкретный субъект ПД передал свои ПД Первому Оператору).
Если же Первый Оператор передаст ПД Второму Оператору ранее, чем субъект ПД даст Второму Оператору согласие на обработку его ПД, то Второй Оператор попадает в безвыходное положение, своеобразный юридический тупик. Второй оператор не может ни хранить полученные от Первого Оператора ПД (поскольку хранение – это способ обработки ПД, а согласия субъекта на это у Второго Оператора нет), ни обратиться напрямую к субъекту ПД за согласием на обработку (поскольку на это тоже нужно предварительное согласие субъекта ПД).
Наверное, в масштабах одного-единственного такого случая подобным исходом можно было бы и пренебречь. Но что делать, если счет таких случаев пойдет на десятки и даже сотни тысяч таких ситуаций? Вряд ли разумно предполагать, что законодатель, устанавливая правила обработки ПД, видел одной из своих целей обеспечить именно такое развитие событий или хотя бы считал его допустимым.
По мнению автора, логичнее не ограничиваться только явно упомянутыми в Законе о ПД юридическими конструкциями – скорее следует признать допустимым использование и других вариантов, пусть явно и не упомянутых в законе, но тем не менее обеспечивающих необходимый уровень защиты прав субъектов ПД. В частности, описанного ниже в качестве Варианта 2.
Вариант 2. Согласие одному Оператору на все действия, в том числе и на передачу третьим лицам
Субъект ПД дает согласие на обработку его ПД на сайте Первого Оператора как Первому Оператору, так и Второму Оператору. При этом согласие Первому Оператору предусматривает передачу ПД Первым Оператором Второму Оператору, а также иные способы обработки ПД, которые разрешены субъектом Первому Оператору. Согласие Второму Оператору предусматривает все действия с ПД, которые необходимо осуществлять и которые разрешены субъектом Второму Оператору. Второй Оператор идентифицирован в том же согласии.
На первый взгляд данный подход не вполне соответствует буквальному смыслу требований Закона о ПД в той его части, которая устанавливает (отметим: не вполне при этом однозначно), что согласие субъекта ПД на обработку его ПД дается непосредственно тому оператору, который будет производить такую обработку.
Но при этом нельзя не отметить, что все принципиальные требования Закона о ПД и подзаконных актов выполняются при таком подходе полностью. Субъект ПД знает, кто, в каких целях, какими способами и в каких пределах будет обрабатывать его ПД – и в части обработки, осуществляемой Первым Оператором (включая передачу ПД Второму Оператору), и в части Второго Оператора. Субъект ПД свободен в своем решении – дать согласие на такую обработку или отказать в нем. Права субъекта ПД никоим образом не нарушены.
При этом, по мнению автора, в случае применения рассматриваемого в данном разделе подхода требования ч. 3 ст. 18 Закона о ПД следует считать корректно выполненными в момент оформления субъектом согласия на обработку его ПД Вторым Оператором на основании п. (1) ч. 4 той же ст. 18 Закона о ПД, поскольку в этот момент субъекту ПД становятся известными все данные, которые обязан ему сообщить оператор согласно ч. 3 той же статьи.
Автор считает очевидным, что при применении такого подхода и надлежащей организации коммуникации между Первым и Вторым Операторами (без необходимости непосредственного участия в ней субъекта ПД) полностью исключены потенциальные тупики, описанные нами выше для Варианта 1. В той же мере, что и Вариант 1, данный подход полностью обеспечивает все права субъекта ПД – а это главная цель Закона о ПД. При этом, в отличие от Варианта 1, данный подход на практике осуществим гораздо проще, удобен всем участникам отношений, не создает чрезмерных препятствий в деятельности Операторов, обеспечивает интересы субъекта ПД в получении необходимых ему благ.
В силу всех указанных обстоятельств автор полагает, что возможность применения данного подхода в правоприменительной практике следует легализовать, в частности, путем выпуска официальных разъяснений компетентного органа – Роскомнадзора.
Вариант 3. Внутреннее соглашение между Операторами на обработку персональных данных
Оформление между Первым и Вторым Операторами поручения на обработку персональных данных.
Закон о ПД, а также разъяснения Роскомнадзора признают возможность сбора согласий оператором через специально привлеченное для этого третье лицо (вебинар Роскомнадзора от 28.01.2022, см. с 2:45:45) . Указанным специально привлеченным лицом может быть компания, которая осуществляет сбор персональных данных через свой интернет-сайт. В этой ситуации необходимо заключение соглашения о поручении на обработку между такой компанией и каждым партнером. При этом соглашение должно соответствовать требованиям ч. 3 ст. 6 Закона о ПД.
Однако в этом случае владелец сайта просто выступает посредником между субъектом персональных данных и третьим лицом, что, по сути, лишает его возможности обрабатывать персональные данные субъектов для собственных целей. Поэтому данный вариант подойдет не всем.
Необходимыми составляющими законной обработки ПД Вторыми Операторами, получающими эти данные не от самого субъекта, являются правильные организация сбора ПД и оформление согласий на их обработку.
На практике сбор ПД на сайте обычно реализуется следующим образом. На странице, где заполняются ПД, перед их отправкой субъект выражает свое согласие на обработку своих ПД путем проставления галочки в соответствующем поле или иным образом. И только после выражения своего согласия субъект может отправить свои ПД и продолжить, нажав соответствующую кнопку «согласен», «далее» и т.п. Такие способы реализации сбора согласий на сайте соответствуют законодательству, притом что все требования, предъявляемые к согласию, соблюдены.
Напротив этого поля субъект может ознакомиться с текстом согласия, которое там размещено в развернутом виде, разворачивается при нажатии или открывается в новом окне при нажатии на соответствующую ссылку.
По общему правилу оператор должен получать на своем сайте согласие субъекта ПД на их обработку (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Требования, предъявляемые к согласию, изложены в ст. 9 Закона о ПД, и оператор должен их соблюдать. Несоответствие одному или нескольким таким требованиям может привести к тому, что согласие не будет признано судебными и правоприменительными органами надлежащим.
Выводы
С учетом многогранности возникающих при обработке персональных данных взаимоотношений (один из примеров описан выше) оптимальным решением вопроса, являющегося предметом рассмотрения настоящей статьи, представляется описанный выше Вариант 2.
Изложенный в нем подход позволяет соблюсти главную суть и цель Закона о ПД - обеспечить соблюдение прав и законных интересов субъектов ПД, но при этом не взваливать чрезмерно много невыполнимых или противоречивых обязанностей на операторов. Тем самым, по мнению автора, обеспечивается необходимый баланс интересов субъекта ПД и компаний, обрабатывающих ПД субъекта.
Указанная в статье некоторая неопределенность в правовом регулировании обсуждавшихся вопросов может быть преодолена изданием разъяснений соответствующего правоприменительного органа – Роскомнадзора. Четкая позиция регулятора, изложенная в официальном документе, помогла бы разъяснить ситуацию, а операторам – дать уверенность в том, что они соблюдают все установленные законодательством обязанности, не нарушают прав субъектов ПД и не рискуют быть привлеченными к административной ответственности в виде существенных штрафов.