В связи с этим на рынке появились отдельные компании, которые занимаются исключительно сбором и продажей баз данных клиентов. Зачастую сбор такой информации осуществляется незаконным образом: как путем взлома баз данных других компаний, так и посредством покупки баз у работников организаций. Владислав Елтовский, юрист международной юридической фирмы CMS, рассказывает о нюансах.
- Периодически людям поступают звонки от менеджеров разных организаций, часто совсем незнакомых. Как становятся известны телефонные номера людей? Является ли передача базы данных компаниями сторонним фирмам нарушением закона? Может ли это грозить финансовыми потерями обычным людям (например, станут известны паспортные данные гражданина)?
- По общему правилу обработка персональных данных должна осуществляться на одном из законных оснований, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», например, на основании согласия субъекта персональных данных, исполнения обязательств оператора персональных данных или в ходе исполнения договора.
Передача персональных данных является одним из способов обработки, и такая передача также должна осуществляться на законной и справедливой основе. Таким образом, с юридической точки зрения передача персональных данных может предприниматься для достижения законных целей обработки данных, для которых они собирались. К примеру, судебной практике известны случаи, когда передача персональных данных банком коллекторскому агентству признавалась законной, учитывая, что такая передача предусматривалась договором банка с клиентом.
Практика Роскомнадзора всегда предусматривала, что даже в случае наличия в согласии возможности передачи персональных данных третьим лицам такая формулировка не должна быть чрезмерно широкой, в противном случае согласие не соответствует признаку информированности. Эту тенденцию продолжила судебная практика, в которой суд указывает, что согласия должны содержать конкретный перечень лиц, которым персональные данные могут быть переданы.
Помимо незаконности передачи, обработка персональных данных получателем, включая осуществление звонков лицам, чьи данные были получены в результате покупки базы данных, также является незаконной, если у такой компании отсутствует правовое основание сбора и обработки персональных данных.
- Какая ответственность грозит компаниям, разгласившим персональные данные?
- В соответствии со ст. 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработка персональных данных, несовместимая с целями сбора персональных данных, влечет предупреждение или наложение административного штрафа на граждан в размере от 1 000 до 3 000 руб.; на должностных лиц - от 5 000 до 10 000 руб.; на юридических лиц - от 30 000 до 50 000 руб. Под этот состав подпадает как незаконная передача персональных данных, так и незаконное получение и использование.
Кроме того, если компания – получатель персональных данных - обязана получить письменное согласие на обработку персональных данных, например, на обработку специальных категорий персональных данных, включающих информацию о состоянии здоровья, то неполучение такого согласия в установленной законом форме может повлечь наложение административного штрафа на граждан в размере от 3 000 до 5 000 руб.; на должностных лиц - от 10 000 до 20 000 руб.; на юридических лиц - от 15 000 до 75 000 руб.
- Как компаниям обезопасить своих клиентов от утечки персональных данных? Встречались ли в Вашей практике иски к компаниям, разгласившим персональные данные? Чем они окончились? Приведите примеры из практики.
- В первую очередь, операторам персональных данных необходимо принять надлежащие меры по защите персональных данных, включающие в себя: (i) организационные меры: назначение ответственного за организацию обработки персональных данных, проведение тренингов по защите данных и т.д.; (ii) технические меры: надлежащая защита ИТ-инфраструктуры от незаконных или случайных утечек данных, регулярная проверка соответствия принятых мер угрозам, которые актуальны для ИТ-системы, и т.д.; и (iii) правовые меры: принятие локальных актов, определяющих политику оператора по обработке и защите персональных данных.
Помимо прочего, крупным организациям, обрабатывающим значительное количество персональных данных конечных пользователей, необходимо осуществлять контроль за действиями работников, которые могут осуществлять выгрузку и продажу клиентских баз.
Большинство судебных дел, связанных с персональными данными, являются делами по оспариванию ненормативных актов, решений органов власти, то есть оспариванием операторами предписаний Роскомнадзора, выявившего определенные нарушения в деятельности операторов.
Известны случаи, когда работники операторов были признаны виновными в совершении преступления, предусмотренного ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), за передачу базы данных клиентов.
Несмотря на юридическую возможность пользователя предъявить иск к оператору в отношении незаконной обработки персональных данных, такая практика не распространена, в том числе, поскольку истцу необходимо доказывать размер убытков, что представляется затруднительным, либо рассчитывать на компенсацию морального вреда, что на практике является незначительной суммой.
- Периодически людям поступают звонки от менеджеров разных организаций, часто совсем незнакомых. Как становятся известны телефонные номера людей? Является ли передача базы данных компаниями сторонним фирмам нарушением закона? Может ли это грозить финансовыми потерями обычным людям (например, станут известны паспортные данные гражданина)?
- По общему правилу обработка персональных данных должна осуществляться на одном из законных оснований, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», например, на основании согласия субъекта персональных данных, исполнения обязательств оператора персональных данных или в ходе исполнения договора.
Передача персональных данных является одним из способов обработки, и такая передача также должна осуществляться на законной и справедливой основе. Таким образом, с юридической точки зрения передача персональных данных может предприниматься для достижения законных целей обработки данных, для которых они собирались. К примеру, судебной практике известны случаи, когда передача персональных данных банком коллекторскому агентству признавалась законной, учитывая, что такая передача предусматривалась договором банка с клиентом.
Практика Роскомнадзора всегда предусматривала, что даже в случае наличия в согласии возможности передачи персональных данных третьим лицам такая формулировка не должна быть чрезмерно широкой, в противном случае согласие не соответствует признаку информированности. Эту тенденцию продолжила судебная практика, в которой суд указывает, что согласия должны содержать конкретный перечень лиц, которым персональные данные могут быть переданы.
Помимо незаконности передачи, обработка персональных данных получателем, включая осуществление звонков лицам, чьи данные были получены в результате покупки базы данных, также является незаконной, если у такой компании отсутствует правовое основание сбора и обработки персональных данных.
- Какая ответственность грозит компаниям, разгласившим персональные данные?
- В соответствии со ст. 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработка персональных данных, несовместимая с целями сбора персональных данных, влечет предупреждение или наложение административного штрафа на граждан в размере от 1 000 до 3 000 руб.; на должностных лиц - от 5 000 до 10 000 руб.; на юридических лиц - от 30 000 до 50 000 руб. Под этот состав подпадает как незаконная передача персональных данных, так и незаконное получение и использование.
Кроме того, если компания – получатель персональных данных - обязана получить письменное согласие на обработку персональных данных, например, на обработку специальных категорий персональных данных, включающих информацию о состоянии здоровья, то неполучение такого согласия в установленной законом форме может повлечь наложение административного штрафа на граждан в размере от 3 000 до 5 000 руб.; на должностных лиц - от 10 000 до 20 000 руб.; на юридических лиц - от 15 000 до 75 000 руб.
- Как компаниям обезопасить своих клиентов от утечки персональных данных? Встречались ли в Вашей практике иски к компаниям, разгласившим персональные данные? Чем они окончились? Приведите примеры из практики.
- В первую очередь, операторам персональных данных необходимо принять надлежащие меры по защите персональных данных, включающие в себя: (i) организационные меры: назначение ответственного за организацию обработки персональных данных, проведение тренингов по защите данных и т.д.; (ii) технические меры: надлежащая защита ИТ-инфраструктуры от незаконных или случайных утечек данных, регулярная проверка соответствия принятых мер угрозам, которые актуальны для ИТ-системы, и т.д.; и (iii) правовые меры: принятие локальных актов, определяющих политику оператора по обработке и защите персональных данных.
Помимо прочего, крупным организациям, обрабатывающим значительное количество персональных данных конечных пользователей, необходимо осуществлять контроль за действиями работников, которые могут осуществлять выгрузку и продажу клиентских баз.
Большинство судебных дел, связанных с персональными данными, являются делами по оспариванию ненормативных актов, решений органов власти, то есть оспариванием операторами предписаний Роскомнадзора, выявившего определенные нарушения в деятельности операторов.
Известны случаи, когда работники операторов были признаны виновными в совершении преступления, предусмотренного ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), за передачу базы данных клиентов.
Несмотря на юридическую возможность пользователя предъявить иск к оператору в отношении незаконной обработки персональных данных, такая практика не распространена, в том числе, поскольку истцу необходимо доказывать размер убытков, что представляется затруднительным, либо рассчитывать на компенсацию морального вреда, что на практике является незначительной суммой.
