Вход
- Главная
- Вопрос: Организация является официальным дилером крупной автомобильной компании (импортера), которая формирует единую базу клиентов. Организация планирует провести технический осмотр автомобилей и пригласить клиентов на указанный техосмотр по телефону, который содержится в базе. При заключении договора дилеры обычно берут у клиентов согласие на обработку персональных данных. Не будет ли являться нарушением тот факт, что в списки приглашенных клиентов планируется включить в том числе и клиентов других дилеров, с которых организация не получала согласие на обработку персональных данных? (ответ службы Правового консалтинга ГАРАНТ, ноябрь 2012 г.)
Вопрос: Организация является официальным дилером крупной автомобильной компании (импортера), которая формирует единую базу клиентов. Организация планирует провести технический осмотр автомобилей и пригласить клиентов на указанный техосмотр по телефону, который содержится в базе. При заключении договора дилеры обычно берут у клиентов согласие на обработку персональных данных. Не будет ли являться нарушением тот факт, что в списки приглашенных клиентов планируется включить в том числе и клиентов других дилеров, с которых организация не получала согласие на обработку персональных данных? (ответ службы Правового консалтинга ГАРАНТ, ноябрь 2012 г.)
Организация является официальным дилером крупной автомобильной компании (импортера), которая формирует единую базу клиентов. В указанной базе содержатся следующие данные: фамилия, имя, отчество клиента, год рождения, адрес места жительства, телефон, VIN автомобиля. В дилерском соглашении с импортером содержится пункт, согласно которому данные клиентов передаются в базу импортера. Организация планирует провести технический осмотр автомобилей и пригласить клиентов на указанный техосмотр по телефону, который содержится в базе. При заключении договора дилеры обычно берут у клиентов согласие на обработку персональных данных. В согласии, которое берется организацией, указано, что персональные данные будут переданы импортеру для последующей обработки. У другого же дилера подобные пункты в согласии на обработку отсутствуют. Указанной базой пользуются все дилеры импортера.
Не будет ли являться нарушением тот факт, что в списки приглашенных клиентов планируется включить в том числе и клиентов других дилеров, с которых организация не получала согласие на обработку персональных данных?
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными (далее - ПДн) является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любые действия (операции) с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ). Оператором ПДн, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных. При этом лицо признается оператором ПДн вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке ПДн.
Таким образом, в рассматриваемом случае операторами ПДн являются как дилер, поскольку он осуществляет сбор, передачу и использование ПДн, так и импортер (крупная автомобильная компания), поскольку он также осуществляет обработку ПДн в виде их систематизации и накопления при формировании единой клиентской базы.
По общему правилу обработка ПДн может осуществляться с согласия субъекта ПДн (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ), а в отсутствие такого согласия - только в случаях, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ, в частности, если обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). При этом согласно ст. 7 Закона N 152-ФЗ операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Следует иметь в виду, что обязанность по предоставлению доказательств получения согласия субъекта ПДн на их обработку возлагается законом на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).
В соответствии с ч. 1 ст. 9 Закона N 152-ФЗ субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В силу ст. 5 Закона N 152-ФЗ обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Поэтому, на наш взгляд, по смыслу ст.ст. 5, 6, 9 Закона N 152-ФЗ согласие на обработку ПДн независимо от его формы должно содержать, в том числе, наименование оператора, получающего согласие, цель обработки ПДн, а также перечень действий с ПДн, на совершение которых дается согласие. В судебной практике для проверки законности действий оператора ПДн также признается необходимым установить конкретные цели обработки ПДн, на которые субъект ПДн дал оператору согласие (смотрите, к примеру, постановление Шестого арбитражного апелляционного суда от 17.10.2012 N 06АП-4042/12).
Таким образом, учитывая, что сбор ПДн клиента дилером при заключении между ними договора охватывается положениями п. 5 ч. 1 ст. 6 Закона N 152-ФЗ, в рассматриваемой ситуации для использования дилером ПДн клиента в целях приглашения его на технический осмотр автомобиля необходимо согласие клиента:
- на передачу его ПДн дилером импортеру,
- на систематизацию и накопление ПДн импортером при формировании единой клиентской базы,
- на передачу ПДн в составе базы от импортера дилеру,
- на использование дилером ПДн из данной клиентской базы.
При этом наличие в дилерском соглашении с импортером условия о передаче ПДн клиентов в базу импортера имеет значение лишь в отношениях между импортером и дилером и никак не влияет на необходимость получения от субъектов ПДн согласия на обработку их ПДн вышеназванными способами.
Как следует из вопроса, в согласии на обработку ПДн, которое дают клиенты Вашей организации, указано, что ПДн будут переданы импортеру для последующей обработки; в согласии клиентов другого дилера подобное положение отсутствует. При таком положении, на наш взгляд, требованиям Закона N 152-ФЗ будет соответствовать только обработка ПДн клиентов Вашей организации в виде сбора их ПДн (охватываемого положениями п. 5 ч. 1 ст. 6 Закона N 152-ФЗ) и передачи их ПДн от Вашей организации импортеру (охватываемой согласием субъекта ПДн). Остальные способы обработки ПДн в вышеназванной цепочке действий, по нашему мнению, весьма сомнительны с учетом содержания согласия. Обработка ПДн клиентов (за исключением их сбора при заключении договора) другим дилером, получившим согласие субъектов ПДн без указания на цели обработки и перечень действий с ПДн, на совершение которых дается согласие, как мы полагаем, противоречит положениям Закона N 152-ФЗ.
Обращаем Ваше внимание, что за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ПДн) установлена административная ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от 500 до 1000 рублей; на юридических лиц - от 5000 до 10000 рублей (ст. 13.11 КоАП РФ). Кроме того, субъект ПДн вправе требовать компенсации морального вреда вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн (ч. 2 ст. 24 Закона N 152-ФЗ).
В то же время вновь обратимся к положениям п. 5 ч. 1 ст. 6 Закона N 152-ФЗ, позволяющим осуществлять обработку ПДн без согласия субъекта ПДн, если обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн. По нашему мнению, если исполнение заключенного между Вашей организацией и клиентом договора предполагает проведение Вашей организацией технического осмотра транспортного средства клиента, то использовать ПДн своего клиента в целях приглашения его на такой осмотр Ваша организация вправе.
Отметим, что приведенная точка зрения является нашим экспертным мнением и может отличаться от мнения других специалистов и органов государственной власти. К сожалению, материалов правоприменительной, в том числе судебной, практики по рассмотренному вопросу нам обнаружить не удалось. За официальными разъяснениями рекомендуем обратиться в уполномоченный по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных федеральный орган исполнительной власти - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая в соответствии с п. 6.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утверждено постановлением Правительства РФ от 16.03.2009 N 228) имеет право давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к ее компетенции.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Павлова Наталия
Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Прибыткова Мария
22 ноября 2012 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Правовой консалтинг является уникальной услугой индивидуального консультирования по правовым вопросам, которая предоставляется пользователям непосредственно во время работы с системой ГАРАНТ.
Основные преимущества услуги Правового консалтинга:
Удобство использования - в любой момент при работе с системой ГАРАНТ можно обратиться за персональной консультацией и получить ответ на интересующий вопрос, ответы хранятся в системе ГАРАНТ и содержат гиперссылки на дополнительные тематические материалы, содержащиеся в системе.
Гарантия качества - служба Правового консалтинга состоит из квалифицированных экспертов в области бухгалтерского учета и налогообложения, трудового и гражданского права в сфере регулирования предпринимательской деятельности. Все ответы проходят обязательную дополнительную централизованную экспертизу рецензентами службы Правового консалтинга.
Оперативность - срок ответа на вопросы пользователя, принятые к рассмотрению, составляет два дня.
Для того чтобы воспользоваться услугой Правового консалтинга, выберите в основном меню системы ГАРАНТ раздел "Правовая поддержка" (или используйте сочетание клавиш Alt + F1) и в открывшемся окне введите свой вопрос.
Более подробную информацию о данной услуге Вы можете получить, обратившись к Разделу "Правовая поддержка" Руководства пользователя (клавиша F1) или у Вашего специалиста по обслуживанию.