Незаконная передача данных и последствия

Учитывая высокое значение информации в современной предпринимательской деятельности, наличие обширных баз данных клиентов, в особенности для компаний, поставляющих товары/оказывающих услуги конечным потребителям, является неотъемлемой частью развития бизнеса.

В связи с этим на рынке появились отдельные компании, занимающиеся сбором и продажей баз данных клиентов. Зачастую сбор такой информации осуществляется незаконным образом: взлом баз данных других компаний; покупка баз у работников организаций.

По общему правилу, обработка персональных данных должна осуществляться на одном из законных оснований, предусмотренных Федеральным законом № 152-ФЗ "О персональных данных", например на основании согласия субъекта персональных данных, исполнения обязательств оператора персональных данных или в ходе исполнения договора.

Передача персональных данных является одним из способов обработки, и такая передача также должна осуществляться на законной и справедливой основе. Таким образом, с юридической точки зрения передача персональных данных может осуществляться для достижения законных целей обработки данных, для которых они собирались. К примеру, судебной практике известны случаи, когда передача персональных данных банком коллекторскому агентству признавалась законной, учитывая, что такая передача предусматривалась договором банка с клиентом.

Практика Роскомнадзора всегда предусматривала, что даже в случае наличия в согласии возможности передачи персональных данных третьим лицам такая формулировка не должна быть чрезмерно широкой, в противном случае согласие не соответствует признаку информированности. Эту тенденцию продолжила судебная практика, в которой суд¹ указывает, что согласия должны содержать конкретный перечень лиц, которым персональные данные могут быть переданы.

Помимо незаконности передачи, обработка персональных данных получателем, включая осуществление звонков лицам, чьи данные были получены в результате покупки базы данных, также является незаконной, если у такой компании отсутствует правовое основание сбора и обработки персональных данных.

В соответствии со ст. 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработка персональных данных, несовместимая с целями сбора персональных данных, влечет предупреждение или наложение административного штрафа на граждан в размере от 1 до 3 тыс. руб.; на должностных лиц – от 5 до 10 тыс. руб.; на юридических лиц – от 30 до 50 тыс. руб. Под этот состав подпадает как незаконная передача персональных данных, так и их незаконное получение и использование.

Кроме того, если компания – получатель ПДн обязана получить письменное согласие на их обработку, например на обработку специальных категорий ПДн, включающих информацию о состоянии здоровья, то неполучение такого согласия в установленной законом форме может повлечь наложение административного штрафа на граждан в размере от 3 до 5 тыс. руб.; на должностных лиц – от 10 до 20 тыс. руб.; на юридических лиц – от 15 до 75 тыс. руб.

В первую очередь операторам ПДн необходимо принять надлежащие меры по их защите, включающие в себя: (i) организационные меры: назначение ответственного за организацию обработки персональных данных, проведение тренингов по защите данных и т.д.; (ii) технические меры: надлежащая защита ИТ-инфраструктуры от незаконных или случайных утечек данных, регулярная проверка соответствия принятых мер угрозам, которые актуальны для ИТ-системы и т.д.; и (iii) правовые меры: принятие локальных актов, определяющих политику оператора по обработке и защите персональных данных.

Помимо прочего, крупным организациям, обрабатывающим значительное количество персональных данных конечных пользователей, необходимо контролировать действия работников, которые могут осуществлять выгрузку и продажу клиентских баз.

Большинство судебных дел, связанных с персональными данными, являются делами по оспариванию ненормативных актов, решений органов власти, т.е. оспариванием операторами предписаний Роскомнадзора, выявившего определенные нарушения в деятельности операторов.

Известны случаи, когда работники операторов были признаны виновными в совершении преступления, предусмотренного ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), за передачу базы данных клиентов.

Несмотря на юридическую возможность пользователя предъявить иск к оператору в отношении незаконной обработки персональных данных, такая практика не распространена, в том числе потому, что истцу необходимо доказывать размер убытков, что представляется затруднительным, либо рассчитывать на компенсацию морального вреда, что на практике является незначительной суммой.