о персональных данных при заключении и исполнении гражданско-правового договора
В этом материале:
- персональные данные, обрабатываемые сторонами при заключении и исполнении гражданско-правового договора;
-обязанности стороны договора, получившей от контрагента персональные данные;
-согласие на обработку персональных данных при заключении и исполнении гражданско-правового договора;
- направление в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных
Персональные данные, обрабатываемые сторонами при заключении и исполнении гражданско-правового договора
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а под обработкой персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
При заключении и исполнении договора могут обрабатываться такие персональные данные, как информация о фамилии, имени, отчестве (при наличии), месте жительства, номере телефона, электронной почте, идентификационном номере налогоплательщика физического лица, являющегося стороной договора, выгодоприобретателем или поручителем по договору (см., например, письмо Минэкономразвития России от 27.05.2016 N ОГ-Д28-6778). В зависимости от правоотношений сторон, складывающихся на основании договора, при его заключении и исполнении могут обрабатываться и другие персональные данные (см., например, постановление АС Северо-Западного округа от 15.07.2020 N Ф07-6880/20, определение ВС Республики Татарстан от 01.08.2016 N 33-12946/2016).
Обязанности стороны договора, получившей от контрагента персональные данные
Сторона, получившая от контрагента персональные данные при заключении, исполнении договора, обязана осуществлять их обработку строго в целях заключения и исполнения договора. После достижения этих целей либо утраты необходимости их достижения обрабатываемые персональные данные подлежат уничтожению либо обезличиванию (ст. 5, ч. 4 ст. 21 Закона N 152-ФЗ, см. также постановление Двенадцатого ААС от 14.12.2016 N 12АП-11497/16).
Сторона договора, получившая от своего контрагента персональные данные, обязана не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (ст. 7 Закона N 152-ФЗ). Исключения исчерпывающим образом поименованы в пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Не допускается без согласия субъекта персональных данных передавать персональные данные третьим лицам в рекламных или маркетинговых целях (ч. 1 ст. 15 Закона N 152-ФЗ).
В случае, если исполнение договора предполагает передачу стороной персональных данных третьим лицам, согласие на это рекомендуется включить в договор (см., например, информационное письмо Банка России и Роскомнадзора от 29.07.2021 NN ИН-06-59/57, 08ЛА-48666). Также необходимо оговорить в договоре возможность обработки персональных данных после его прекращения (см., например, решение Кетовского районного суда Курганской области от 04.02.2021 N 2-135/2021).
Согласие на обработку персональных данных при заключении и исполнении гражданско-правового договора
Согласие субъекта персональных данных на обработку персональных данных при заключении и исполнении гражданско-правового договора не требуется. Обработка персональных данных в отсутствие согласия субъекта будет считаться правомерной, если она в том числе необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Поэтому в случае обработки персональных субъектов на условиях, в объеме и порядке, предусмотренном договором, получение дополнительного согласия субъекта на обработку персональных данных, а равно включение согласия на обработку персональных данных в текст договора, не требуется (письмо Роскомнадзора от 23.09.2022 N 08-85970, см., например, постановление АС Московского округа от 30.05.2022 N Ф05-9445/22, определение Мосгорсуда от 02.05.2017 N 33-16887/17).
Это справедливо и для случаев, в которых между сторонами сложились договорные отношения в отсутствие письменного договора (см., например, определение Седьмого КСОЮ от 07.10.2020 N 8Г-14325/2020).
При этом заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Иначе вопрос решается, когда речь идет о персональных данных не стороны договора (выгодоприобретателя, поручителя), а работника, представителя стороны. Нормы ч. 1 ст. 6 Закона N 152-ФЗ не содержат специальных правил, касающихся обработки персональных данных этих лиц при заключении и исполнении договора. Одновременно в ст. 7 Закона N 152-ФЗ и ст. 88 ТК РФ сформулировано общее правило, в соответствии с которым оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Работодатель обязан не сообщать персональные данные работника третьей стороне без письменного согласия работника. В свою очередь, на сторону, получившая персональные данные работника, представителя другой стороны, распространяются требования ч. 3 ст. 18 Закона N 152-ФЗ, согласно которым если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию об обработке персональных данных, перечисленную в этой норме. Оператор (сторона договора) освобождается от указанной обязанности, если субъект персональных данных (работник, представитель контрагента) уведомлен об осуществлении обработки его персональных данных соответствующим оператором (контрагентом) (см. ч. 4 ст. 18 Закона N 152-ФЗ). Роскомнадзором высказана позиция, в соответствии с которой представитель должен дать согласие доверителю на включение своих персональных данных в доверенность; при этом о наличии такого согласия может свидетельствовать указание на это в тексте доверенности.
Поэтому целесообразно включать в договор условие о том, что стороны получили согласие своих работников, представителей на обработку их персональных данных, осуществляемую при заключении и исполнении договора, либо подписи работников, представителей сторон, подтверждающие согласие с обработкой их персональных данных.
По общему правилу согласие дается субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (ч. 1 ст. 9 Закона N 152-ФЗ). Согласие должно быть дано в письменной форме в том числе если требуется обработка специальных категорий персональных данных, биометрических персональных данных (ч. 4 ст. 9, чч. 1, 2 ст. 10, ч. 1 ст. 11 Закона N 152-Ф). Требования к содержанию согласия установлены в ч. 4 ст. 9 Закона N 152-Ф.
Направление в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных
По общему правилу, сформулированному в ч. 1 ст. 22 Закона N 152-ФЗ, до начала обработки персональных данных оператор обязан направить в Роскомнадзор уведомление о намерении осуществлять такую обработку. Уведомление направляется один раз за время деятельности организации и является основанием для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных.
В судебной практике отмечается, что оператором признается лицо, осуществляющее либо намеревающееся осуществлять обработку персональных данных, и закон не связывает признание лица оператором с фактом включения (регистрации) такого лица в реестр операторов, осуществляющих обработку персональных данных. Поэтому правовое значение для квалификации деятельности лица в качестве деятельности оператора имеет факт осуществления этим лицом видов деятельности, при которых оно может обрабатывать персональные данные, а равно намерение осуществлять такие виды деятельности (см., например, постановления АС Дальневосточного округа от 20.07.2021 N Ф03-3564/21, Первого ААС от 30.03.2022 N 01АП-1041/22).
Одним из исключений из этого правила является случай, когда обработка персональных данных осуществляется без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона N 152-ФЗ). В соответствии с п. 4 ст. 3 Закона N 152-ФЗ автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Согласно пп. 1, 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15.09.2008 N 687, обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, считается неавтоматизированной, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее. Полагаем, что обработкой персональных данных без использования средств автоматизации можно считать такую обработку персональных данных, которая осуществляется только в ручном режиме.
Еще одно исключение, в котором оператор не должен подавать уведомление о намерении осуществлять обработку персональных данных, может касаться заключения и исполнения договоров перевозки. В соответствии с п. 9 ч. 2 ст. 22 Закона N 152-ФЗ оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Частью 5 ст. 11 Федерального закона от 09.02.2007 N 16-ФЗ "О транспортной безопасности" предусмотрено, что при оформлении проездных документов (билетов) и формировании персонала (экипажей) транспортных средств передаче в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств подлежат следующие данные: фамилия, имя, отчество, дата рождения, вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет), пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный), дата поездки; пол; гражданство.