Риски при сборе данных через сторонние сервисы при отсутствии договора
Завертяев Андрей
Компания осуществляет сбор данных клиентов на сайте, используя сторонние сервисы, но не заключая с ними никаких договоров. Необходимо ли в таком случае отправлять уведомление в Роскомнадзор? Какие могут возникнуть риски в связи с отсутствием договора с сервисом на сбор данных физических лиц?
Если компанией не заключён договор со сторонним сервисом, то она не может рассматриваться в качестве субъекта, которому оператор поручил заниматься обработкой персональных данных. Соответственно, на компанию не распространяются законодательно установленные ограничения ответственности.
Компания обязана направить уведомление в Роскомнадзор о намерении начать заниматься обработкой персональных данных, собираемых посредством сторонних сервисов (при отсутствии соответствующего договора и поручения), в следующих случаях:
— если деятельность по обработке персональных данных не охватывается исключениями, установленными Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
— если компания не включена в реестр операторов, занимающихся обработкой персональных данных;
— если компания включена в реестр операторов, но её клиенты раньше не были отнесены к субъектам, чьи персональные данные обрабатываются, или произошло изменение категории обрабатываемых сведений.
По поводу возможных рисков следует отметить, что компания, обрабатывающая персональные данные клиентов без их согласия, будет привлечена к административной ответственности. Также ответственность наступает в случае, если компания не направила уведомление о начале обработки персональных данных клиентов в Роскомнадзор или направила его несвоевременно.
Персональными данными в законодательстве обозначается любая информация о человеке, позволяющая его идентифицировать (ст. 3 Закона № 152-ФЗ). Такая информация является конфиденциальной (п. 1 Перечня сведений конфиденциального характера, утв. Указом Президента РФ от 06.03.1997 г. № 188).
Субъекты, занимающиеся обработкой персональных данных (операторы), обязаны обеспечивать сохранность такой информации. Запрещается раскрывать такую информацию третьей стороне, не получив на это согласие физического лица. Такое согласие не требуется только в отдельных случаях, предусмотренных законом (ст. 7 Закона № 152-ФЗ).
Оператор может распространять только те персональные данные физического лица, в отношении которых дано согласие, разрешающее их распространение. Давая такое согласие, физическое лицо разрешает оператору распространять персональные данные неограниченному кругу лиц.
Передача персональных данных сторонним сервисом юридическому лицу является разновидностью обработки, вследствие которой доступ к такой информации получает третья сторона. Оператор может на основании договора поручить деятельность по обработке персональных данных другому лицу с согласия самого субъекта, чьи данные обрабатываются (ч. 3 ст. 6 Закона № 152-ФЗ). Другое лицо, в свою очередь, обязано придерживаться правил и принципов обработки персональных данных, а также исполнять требования, установленные оператором. При этом другое лицо не обязано получать согласие физических лиц на обработку их персональных данных, если такая обработка осуществляется по поручению оператора. В данном случае вся ответственность лежит на операторе (ч. 4, 5 ст. 6 Закона № 152-ФЗ).
В рассматриваемой ситуации компания осуществляет сбор персональных данных клиентов с помощью сторонних сервисов без договора и поручения. Поэтому компания не может рассматриваться в качестве другого лица, действующего по поручению оператора. Положения, содержащиеся в ч. 3-5 ст. 6 Закона № 152-ФЗ, в данном случае неприменимы, а ограничение ответственности, установленное для других лиц в ч. 5 ст. 6, на компанию не распространяется. Компания выступает оператором по отношению к базе персональных данных клиентов, собираемых посредством сторонних сервисов при отсутствии договора и поручения. Поэтому перед началом обработки она обязана уведомить Роскомнадзор. Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 г. № 180 (Письмо Роскомнадзора от 06.09.2022 г. № 08-80975).
Уведомлять Роскомнадзор не нужно, если обработка данных производится без средств автоматизации, что к рассматриваемой ситуации не относится.
Если компания не направила в Роскомнадзор уведомление о начале обработки персональных данных, то она будет нести административную ответственность. Также ответственность наступает в случае обработки персональных данных без получения согласия клиентов (ст. 13.11 КоАП РФ).