Комментарий к некоторым положениям Федерального закона от 14.07.2022 № 266-ФЗ

Актуальность материала: 05.12.2022

«Заключаемый с субъектом персональных данных договор не может содержать положения …, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации…»

Комментарий:

По смыслу данной нормы оператор вправе включить положения об обработке персональных данных несовершеннолетних в договор, если такая обработка:

• необходима для реализации закрепленных в ином отраслевом законодательстве отношений с участием несовершеннолетних;
• строго соответствует предмету договора;
• не противоречит иным общим требованиям законодательства в области персональных данных (установленным в ст. 5, 6, 7 и др. Закона «О персональных данных»).

Кроме того, в отношении потребительских договоров, устанавливающих случаи обработки персональных данных несовершеннолетних, следует также руководствоваться вступающими в силу с 01.09.2022 положениями ст. 6 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» о недопустимости условий договора, ущемляющих права потребителя, и ч. 4 ст. 16 о недопустимости избыточного сбора персональных данных потребителя.

Пример ненадлежащего соблюдения комментируемой нормы:

Публичная оферта на оказание услуг фитнес-клуба, которой предусмотрена возможность акцепта оферты несовершеннолетними лицами при наличии письменного согласия их законных представителей. Кроме того, малолетние лица имеют право находиться и тренироваться в Клубе вместе с законным представителем, или иным лицом, указанным законным представителем.

В оферте предусмотрено право Клуба в ходе оказания услуг производить в Клубе фото- и видеосъёмку и использовать полученные материалы в маркетинговых и рекламных целях. Также офертой закреплено согласие клиентов Клуба (включая несовершеннолетних лиц) на получение сообщений уведомительного и рекламного характера, не касающихся хода оказания услуг, на номер мобильной связи и адрес электронной почты, указанных при акцепте оферты.

Примеры надлежащего соблюдения комментируемой нормы:

Родитель малолетнего заключил договор с учебным заведением об обучении ребёнка английскому языку. В тексте договора прописаны положения об обработке персональных данных ребёнка, что не является нарушением, так как образование и воспитание своих детей — обязанность родителей в соответствии с Семейным кодексом РФ.

Иные случаи обработки персональных данных несовершеннолетних, которые могут быть включены в договор:

• об оказании услуг образования и/или воспитания несовершеннолетних;
• трудовой с лицами, достигшими возраста 16 лет;
• трудовой со спортсменами в возрасте до 18 лет;
• связанный с распоряжением несовершеннолетним своим заработком, стипендией и иными доходами;
• связанный с реализацией несовершеннолетним прав автора произведений или иного результата интеллектуальной собственности;
• банковского обслуживания несовершеннолетнего;
• оказания несовершеннолетнему медицинской помощи;
• страховых выплат несовершеннолетним;
• иные, регулирующие отношения с участием несовершеннолетних.

Дополнительные пояснения и (или) нормативные ссылки:

• Семейный кодекс РФ (в т.ч. ст. 63 СК РФ «Права и обязанности родителей по воспитанию и образованию несовершеннолетних»)
• Трудовой кодекс РФ (в т.ч. ст. 63 ТК РФ «Возраст, с которого допускается заключение трудового договора» и ст. 348.8 ТК РФ «Особенности регулирования труда спортсменов в возрасте до восемнадцати лет»)
• Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации» (в т.ч. ст. 54 «Права несовершеннолетних в сфере охраны здоровья»)
• Федеральный закон от 24 июля 1998 г. № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» (в т.ч. ст. 7 «Право на обеспечение по страхованию»)
• другие законы

«Заключаемый с субъектом персональных данных договор не может содержать положения …, допускающие в качестве условия заключения договора бездействие субъекта».

Комментарий:

Данная норма применительно, в частности, к пользовательскому соглашению в отношении сайта в сети «Интернет», запрещает считать его автоматически заключённым, если субъект посетил сайт и не совершил действий, позволяющих сделать вывод о его воле заключить договор пользования. Так, пользовательское соглашение может быть заключено посредством акцепта пользователем сайта публичной оферты, при этом молчание не является акцептом, если иное не вытекает из закона, соглашения сторон, обычая или из прежних деловых отношений сторон (см. ст. 438 ГК РФ).

Проблема разграничения поведения пользователя сайта, свидетельствующего о бездействии либо о конклюдентном согласии на заключение договора пользования, может быть разрешена путём его информирования о пользовательском соглашении, которое будет считаться им принятым, если он продолжит использовать сайт.

Поведение субъекта, продолжающего пользоваться сайтом после такого уведомления, можно квалифицировать как конклюдентное согласие с условиями пользовательского соглашения.

Указанный подход в том числе дополнительно защищает права пользователей, намеревающихся приобрести для личных нужд товары (работы, услуги), поскольку не оставляет сомнений, что в рассматриваемой ситуации на указанные отношения, имеющие возмездный характер, распространяется действие Федерального закона «О защите прав потребителей».

Пользовательское соглашение может подчиняться правилам договора присоединения, и если субъект впоследствии выяснит, что указанное соглашение необоснованно ограничивает его права, то со ссылкой на ст. 428 ГК РФ он вправе требовать от владельца сайта его расторжения.

Примеры сценариев поведения пользователя сайта:

Целесообразно разграничить два сценария поведения пользователя:

• бездействие, выражающееся в закрытии сайта сразу после информирования о пользовательском соглашении, которое будет считаться им принятым, если он продолжает использовать сайт;
• активное целенаправленное использование сайта после информирования о пользовательском соглашении и условиях его принятия (акцепта).

В первом случае из поведения субъекта не следует его воли на заключение договора, поэтому пользовательское соглашение должно считаться незаключённым; во втором — действия пользователя в соответствии с гражданским законодательством признаются конклюдентным согласием на заключение договора.

Пример ненадлежащего соблюдения комментируемой нормы:

Демонстрация пользователю всплывающего при первом посещении сайта сообщения (pop-up window/banner) следующего содержания: «Продолжая использовать указанный сайт, вы соглашаетесь с условиями соглашения…».

Примеры надлежащего соблюдения комментируемой нормы:

Демонстрация пользователю всплывающего при первом посещении сайта сообщения, содержащего:

• гиперссылку на полный текст пользовательского соглашения;
• перечисление всех возможных действий пользователя, которые будут квалифицироваться как принятие им условий соглашения (например, регистрация на сайте, направление сообщений через веб-формы на сайте, загрузка размещённых на сайте файлов, использование функции сайта по поиску информации/файлов и т.п.), или (и)
• указание на пункт пользовательского соглашения, описывающий все возможные действия пользователя по принятию условий соглашения.

Дополнительные пояснения и (или) нормативные ссылки:

Согласно п. 1 Постановления Пленума Верховного Суда РФ от 25.12.2018 № 49 «О некоторых вопросах применения общих положений Гражданского кодекса Российской Федерации о заключении и толковании договора» договор считается заключённым, когда из поведения сторон явствует их воля на заключение договора (п. 2 ст. 158, п. 3 ст. 432 ГК РФ).

Позиция, заключающаяся в том, что бездействия нет лишь тогда, когда субъект имеет возможность проставить подпись или галочку, противоречит пункту 3 статьи 432 ГК РФ, устанавливающему, что сторона, принявшая от другой стороны полное или частичное исполнение по договору либо иным образом подтвердившая действие договора, не вправе требовать признания этого договора незаключённым, если заявление такого требования с учётом конкретных обстоятельств будет противоречить принципу добросовестности.

«В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несёт оператор и лицо, осуществляющее обработку персональных данных по поручению оператора».

Комментарий:

При применении положения о гражданско-правовой ответственности перед субъектом персональных данных лица, обрабатывающего персональные данные по поручению оператора, необходимо учитывать, что такое лицо не будет нести ответственности в случае строгого следования положениям договора с оператором и его инструкциям.

Иностранное лицо, обрабатывающее персональные данные, отвечает за нарушение прав субъектов, если:

• вышло за пределы инструкций (поручения) оператора в отношении цели и (или) содержания обработки персональных данных, став самостоятельным оператором;
• нарушило требования к безопасности обработки персональных данных, в результате чего возникло или могло возникнуть нарушение конфиденциальности, целостности и (или) доступности персональных данных;
• нарушило права субъекта персональных данных, выполняя противоречащие законодательству инструкции оператора (в указанном случае иностранное лицо, обрабатывающее персональные данные, вправе обратиться с регрессным иском к оператору).

Пример ответственности иностранного обработчика в случае выхода за пределы указаний оператора:

Российская IT-компания заказывает услуги дополнительного профессионального образования для своего персонала у иностранного контрагента, оговаривая в договоре, что последний вправе обрабатывать персональные данные сотрудников по поручению строго в образовательных целях. Несмотря на это, иностранный обработчик обрабатывал персональные данные в том числе для направления работникам рекламы с иными курсами повышения квалификации смежной тематики.

Пример ответственности иностранного обработчика в связи с необеспечением надлежащего уровня безопасности персональных данных:

Российское рекламное агентство заключило договор с иностранным провайдером облачного хранения данных. В предоставляемом хранилище агентство хранит данные о своих клиентах, в том числе блогерах, их рекламных контрактах и т.д. В связи с необеспечением надлежащего уровня безопасности иностранным провайдером произошла утечка обрабатываемых персональных данных. Клиенты, чьи данные утекли, вправе обратиться в суд с требованием о компенсации морального вреда к иностранному провайдеру.

Пример ответственности при условии соблюдения противоречащих законодательству инструкций оператора:

Иностранный обработчик персональных данных обрабатывает по поручению оператора избыточный объём персональных данных, либо объединяет базы данных, собранных для разных целей. В этом случае иностранный обработчик по-прежнему несёт ответственность перед субъектом, но вправе взыскать выплаченные суммы субъекту с оператора.

Дополнительные пояснения и (или) нормативные ссылки:

• В соответствии со ст. 29 ГПК РФ иски о защите прав, в том числе возмещении убытков и (или) компенсации морального вреда, субъекты персональных данных вправе предъявлять в суд по месту жительства истца (ч. 6.1); иски, вытекающие из договоров, в которых указано место их исполнения, могут быть предъявлены в суд по месту исполнения такого договора (ч. 9). При этом право выбора между несколькими судами принадлежит истцу (ч. 10).
• Иски о защите прав потребителей могут быть предъявлены также в суд по месту жительства или месту пребывания истца либо по месту заключения или месту исполнения договора (ч. 7). Согласно п. 2 ст. 17 Закона «О защите прав потребителя» иски о защите прав потребителя могут быть предъявлены по выбору истца в суд по месту жительства и пребывания истца.
• Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 09.06.2020 № 5-КГ20-49, М-10004763/19; апелляционное определение Судебной коллегии по гражданским делам Московского городского суда от 10.11.2021 (№ 33-44715/2021); определение Второго кассационного суда общей юрисдикции от 4 апреля 2022 г. № 88-6908/2022.

«Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным».

Комментарий:

Обработка биометрических данных должна носить добровольный характер. Операторы не вправе отказывать субъекту в услуге, если тот не передал биометрические данные, либо не дал согласие на их обработку. Аналогичная по содержанию норма в отношении всех персональных данных (а не только биометрических) внесена в Закон «О защите прав потребителя». Из данного правила есть исключение, которое разрешает накладывать ограничения на субъекта в случае непредоставления биометрии, если её обработка обязательна в соответствии с законом.

Во втором предложении рассматриваемой нормы используется формулировка «согласие на обработку персональных данных», под которым, опираясь на грамматическое и телеологическое толкование, не следует понимать согласие на обработку любых персональных данных, а не только биометрических. Предмет регулирования статьи составляют биометрические данные, и её положения не могут выходить за рамки указанного предмета. Включение в рассматриваемую статью согласия на обработку биометрических персональных данных ввело бы в закон новое понятие, поэтому законодатель применил уже имеющееся.

Примеры незаконного отказа в оказании услуг в связи с непредоставлением биометрических персональных данных:

Спортивный клуб установил турникеты на проходе и требует от клиентов в обязательном порядке сдать биометрию и подписать согласие на её обработку при заключении договора. Данное требование незаконно; клиенты должны иметь возможность заниматься в зале без сдачи биометрии.

Банк при заключении договора вклада требует клиента сдать биометрические данные для целей обеспечения безопасности при подтверждении последующих операций с денежными средствами. Данное требование незаконно, так как для договора вклада биометрия не требуется.

Пример обязательного предоставления биометрических персональных данных:

На топливно-энергетическом комплексе с высокой категорией опасности осуществляется обязательная обработка биометрических данных работников и иных лиц для обеспечения безопасности и противодействия терроризму. В случае отказа субъекта персональных данных сдать биометрию, проход на предприятие ему может быть запрещён.

Дополнительные пояснения и (или) нормативные ссылки:

• Решение Ленинского районного суда г. Новосибирска от 27 сентября 2019 г. по делу № 2-2814/2019
• Определение Седьмого кассационного суда общей юрисдикции от 9 июня 2022 г. по делу № 2-391/2021

«В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 8 или 12 настоящей статьи, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных».

Комментарий:

Трансграничная передача из РФ в иностранные государства может иметь как договорной, так и внедоговорной характер, а отправитель и получатель персональных данных могут находиться в роли оператора или обработчика. При этом обязанность обеспечить уничтожение трансгранично переданных персональных данных возлагается на оператора, организовавшего такую передачу.

Ниже приведены рекомендации для сценария, в котором отправителем персональных данных является находящееся в РФ юридическое лицо (оператор), а получателем персональных данных является находящееся в иностранной юрисдикции юридическое лицо (обработчик, действующий по поручению оператора).

В соответствии с данной нормой оператор должен проявить разумную степень заботливости и осмотрительности при выборе контрагента (обработчика) и заключении с ним договора.

Примерный перечень мер, которые следует предпринять оператору:

• прописать в договоре обязанность уничтожить данные по запросу оператора, а также предусмотреть требования к форме/способу подтверждения уничтожения персональных данных;
• установить договорную ответственность за неисполнение обязанности уничтожить данные, а также иные положения о порядке разрешения споров;
• заранее запросить у получателя официальный ответ о готовности выполнить обязательство по уничтожению, а также отсутствии каких-либо препятствий для этого, к примеру, требований национального законодательства о хранении данных в течение определённого срока;
• предусмотреть (если есть такая возможность) организационно-технические меры, позволяющие получить оператору доступ к переданным данным и обеспечить их уничтожение, либо блокирование.

В случае, если контрагент после получения запроса об уничтожении данных откажется его исполнить, оператору следует:

• запросить мотивированный ответ о причинах отказа;
• уведомить об этом Роскомнадзор.

Если отказ в уничтожении вызван нежеланием получателя исполнять договорные обязательства, обратиться в суд, а также предпринять предусмотренные законодательством меры к исполнению решения российского суда в стране контрагента.

Примеры отказа уничтожить данные в связи с изменением обстоятельств:

Российский оператор заключил договор с контрагентом в иностранном государстве о передаче персональных данных, получив его заверение об отсутствии обстоятельств, препятствующих уничтожению данных по требованию оператора. Однако в последующем в законодательство иностранного государства внесены изменения, требующие хранения отдельных категорий данных в течение 5 лет. В этом случае отказ уничтожить данные основан на законе, принятие которого невозможно было предвидеть.

Пример организационно-технических мер, применение которых способствует выполнению оператором возложенной на него обязанности по уничтожению персональных данных:

Использование шифрования данных с ключом доступа только у оператора. Это не позволит уничтожить данные, однако доступ контрагента к данным будет ограничен.

Примеры неуважительных причин отказа уничтожить данные:

• Контрагент отказывается уничтожить персональные данные, так как это потребует значительных финансовых затрат, из-за которых сотрудничество с оператором становится экономически нецелесообразным.
• Контрагент отказывается уничтожить персональные данные, так как данные загружены в единую систему, объединены с другими данными и их выборочное уничтожение невозможно.

Дополнительные пояснения и (или) нормативные ссылки:

Необходимо исходить из того, что на операторе лежит обязанность своими самостоятельными действиями требовать от иностранного контрагента, в том числе в судебном порядке, уничтожить полученные данные.

Ответственность оператора может быть исключена, если им приняты все возможные меры правового и организационного характера для обеспечения уничтожения контрагентом полученных данных. Такая логика вытекает из того, что административная ответственность не может возникать без вины (ч. 1 ст. 1.5 и ч. 2 ст. 2.1. КоАП РФ). Под виной в административных правоотношениях понимается возможность соблюсти требование закона, но непринятие всех возможных мер для его соблюдения. В случае, если оператор предпримет все возможные меры по уничтожению данных, однако контрагент их не уничтожит, в действиях оператора должно усматриваться отсутствие вины.

«Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку».

Комментарий:

Норма призвана повысить информированность субъекта персональных данных о характере последствий отказа от предоставления персональных данных и (или) отказа от дачи согласия на обработку персональных данных, в том числе в случаях, когда такой отказ препятствует реализации принадлежащих ему иных прав.

Данную норму не следует интерпретировать как подразумевающую отход от принципа добровольности дачи субъектом согласия на обработку персональных данных в случаях, предусмотренных законом. Речь идёт о тех случаях, когда согласие субъекта персональных данных является единственно возможным правовым основанием для обработки персональных данных, например, в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ст. 15 Закона «О персональных данных»).

На практике нередко встречаются случаи:

• отказа в предоставлении услуг, заключении договора, если субъект отказывается предоставить персональные данные;
• прекращения договорных отношений после отзыва согласия на обработку персональных данных (удаление личного кабинета и т.п.).

Оператор обязан разъяснить субъекту, какие невыгодные для него последствия наступят, если он не предоставит персональные данные или отзовёт согласие на их обработку.

При этом недопустимой является практика давления на субъекта или введение его в заблуждение. Если обработка персональных данных не является необходимой, то оператор не должен вводить субъекта в заблуждение относительно негативных последствий.

Примеры надлежащего информирования:

• Информирование абитуриента о том, что в случае отказа предоставить персональные данные и дать согласие на их обработку, участие в конкурсе на зачисление в образовательную организацию будет невозможным.
• Информирование клиента маркетплейса о том, что отзыв согласия на обработку данных о его месте жительства не позволит осуществить доставку заказа на дом.

Пример недобросовестной практики сообщения сведений о последствиях для субъекта:

Информирование клиента о том, что в случае отзыва согласия на передачу персональных данных непоимённованным третьим лицам в целях рекламы личный кабинет пользователя сайтом будет безвозвратно удалён и приобретение товаров на сайте станет невозможным.

Дополнительные пояснения и (или) нормативные ссылки:

• Появление данного требования обусловлено требованиями информированности и сознательности согласия, которое подразумевает знание — на какие данные и на каких условиях оператор собирается обрабатывать. Аналогично в случае отзыва согласия субъекту следует иметь в виду и осознавать значимость юридических последствий, которые наступят в случае, если оператор будет вынужден прекратить обработку персональных данных.
• Апелляционное определение Верховного суда Республики Мордовия от 17.07.2012 по делу № 33-1246/57.

«Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности».

Комментарий:

Норма направлена на защиту как субъектов персональных данных, так и операторов от включения в документы, регулирующие их отношения, положений, ограничивающих их права и законные интересы.

Пример издания акта, ограничивающего права субъектов персональных данных:

Положение в политике обработки персональных данных, устанавливающее возможность не отвечать на повторный запрос субъекта о доступе к персональным данным, если он был направлен ранее чем через 60 дней после первоначального. Указанное ограничение прав субъекта персональных данных не предусмотрено законодательством, поэтому должно быть исключено.

Примеры издания актов, устанавливающих избыточные полномочия оператора:

Оператор вправе перед началом обработки персональных данных на основании своего законного интереса (п. 7 ч. 1 ст. 6 Закона «О персональных данных») провести и документировать оценку необходимости такой обработки для оператора и связанного с ней возможного нарушения прав и свобод субъекта персональных данных.

Дополнительные пояснения и (или) нормативные ссылки:

Применительно к понятиям: сотрудники компании-оператора не являются операторами. В связи с этим данная норма не ограничивает операторов в установлении обязанностей своих сотрудников при обработке персональных данных. Организационно-распорядительные акты компании конкретизируют, уточняют законодательство, поэтому не могут лишь повторять его содержание. Указанные акты принимаются для регламентации внутренних отношений, производственных процедур и распределения обязанностей между сотрудниками при исполнении трудовых обязанностей, а не для урегулирования отношений между субъектами персональных данных и операторами.

«В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных».

Комментарий:

Ответственность оператора за отсутствие уведомления об инциденте с персональными данными, если он не знал или не мог знать о нём, не должна наступать в связи с отсутствием вины. Юридическое лицо признаётся виновным, если будет установлено, что у него имелась возможность соблюдения правил и норм, но оно не предприняло все зависящие от него меры по их соблюдению. Если оператор не знает и не может знать об инциденте, то у него нет возможности уведомить Роскомнадзор.

Пример ситуации, когда оператор узнаёт об утечке последним:

Субъект персональных данных находит предложение о продаже базы клиентов компании, среди которых есть и его данные. Субъект направляет обращение в Роскомнадзор. Спустя 24 часа после регистрации обращения в Роскомнадзоре компания всё ещё не знает об утечке своей базы с данными клиентов.

Дополнительные пояснения и (или) нормативные ссылки:

В соответствии с ч. 1 ст. 1.5 КоАП РФ лицо подлежит административной ответственности только за те административные правонарушения, в отношении которых установлена его вина.

Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо признаётся виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.