ООО "Л" намеревается предоставлять ООО "Р" персональные данные клиентов (физических лиц) и представителей юридических лиц. ООО "Л" получило от указанных лиц согласие на обработку персональных данных (и передачу третьим лицам) в процессе регистрации клиентов на интернет-сайте (далее - Сайт), принадлежащем ООО "Л". Так, в процессе регистрации на Сайте клиенты заполняют в специальной форме свои персональные данные, ставят галочку рядом с текстом: "Отправляя сведения через электронную форму, вы даете согласие на обработку персональных данных, а также их передачу третьим лицам на условиях Политики обработки персональных данных (далее - Политика)", после чего нажимают кнопку "Зарегистрироваться". В Политике среди прочих имеются следующие условия: 1. Оператор имеет право осуществлять передачу (доступ, предоставление) персональных данных третьим лицам в случае, если пользователь выразил свое согласие на такие действия. 2. Оператор предоставляет персональные данные пользователей, указанные в п. 2.2 Политики, ООО "Р" с целью проведения указанным обществом маркетинговых мероприятий на условиях, аналогичных изложенным в настоящей Политике. 1. Правомерна ли описанная форма получения согласия на обработку персональных данных и их передачу третьим лицам? 2. Правомерна ли будет передача персональных данных клиентов в ООО "Р"? 3. Сможет ли ООО "Р" осуществлять обработку персональных данных клиентов ООО "Л"? Если да, то при каких условиях? 4. Какие обязательные условия должно содержать согласие субъекта на передачу его персональных данных третьим лицам? Должен ли в согласии на передачу персональных данных быть идентифицирован получатель персональных данных?
По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", далее - Закон N 152-ФЗ). Согласие человека должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.
К примеру, согласие исключительно в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, персональных данных, разрешенных субъектом персональных данных для распространения. Требования к содержанию такого согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ, а в отношении персональных данных, разрешенных субъектом персональных данных для распространения, - в приказе Роскомнадзора от 24.02.2021 N 18 (вступает в силу с 1 сентября 2021 г. и действует до 1 сентября 2027 г.). Если согласие составляется в форме электронного документа, то оно должно быть подписано электронной подписью (ч. 4 ст. 9 Закона N 152-ФЗ).
При иных обстоятельствах по смыслу приведенных норм согласие может быть дано в любой форме: в устной, путем аудиозаписи, включения соответствующего пункта в договор, анкету или иной документ, если при этом его содержание отвечает установленным законом требованиям к содержанию такого согласия (смотрите разъяснения Роскомнадзора от 14 декабря 2012 г.). Так, ФАС Северо-Западного округа указал, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица - потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей (постановление от 13 декабря 2010 г. N Ф07-13220/2010). В другом деле суд отметил, что внутренняя воля при передаче персональных данных оператору в целях обработки может выражаться не только в прямой (непосредственной) форме, но и в форме конклюдентных действий, когда субъект, намеревающийся передать свои персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении (решение Сысертского райсуда Свердловской области от 14 мая 2012 г. по делу N 2-526/2012).
Однако оператору в любом случае необходимо обеспечить возможность подтвердить факт получения такого согласия, поскольку на него возлагается обязанность доказывать факт обработки персональных данных с согласия субъекта (ч. 3 ст. 9 Закона N 152-ФЗ).
В ч. 1 ст. 15 Закона N 152-ФЗ указано, что обработка персональных данных в маркетинговых целях осуществляемая путем прямых контактов с потенциальными потребителями с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. В данном случае речь идет о ситуациях, когда конкретным физическим лицам рассылаются почтовые, электронные или sms-сообщения, содержащие информацию о товарах, предстоящих акциях, выгодных предложениях и т. д. Эта адресная рассылка предполагает, что организация-отправитель владеет различными персональными данными о получателе (Ф.И.О., номером телефона, адресом проживания, электронной почты, датой рождения и др.) и совершает с ними определенные действия: осуществляет сбор, накопление, систематизацию, хранение и т. п. При этом в приведенной норме прямо не говорится, что согласие должно быть получено именно в письменной форме.
Полагаем, что в данном случае согласие может быть получено путем включения соответствующего пункта в договор или анкету, но субъекту персональных данных должна быть предоставлена возможность свободного выбора и исключения данного пункта (в том числе и посредством удаления соответствующей галочки), если он не желает получать информацию маркетингового характера (смотрите постановление Двенадцатого арбитражного апелляционного суда от 26 августа 2021 г. N 12АП-6452/21 по делу N А57-6346/2021).
При этом согласие на получение маркетинговых предложений должно быть конкретно выраженным, идентифицировать лицо, изъявившее согласие, и однозначно подтверждать согласие лица на получение подобных сообщений. На этом основании отдельные суды и Роскомнадзор считают, что содержание такого согласия должно соответствовать требованиям ч. 4 ст. 9 Закона N 152-ФЗ (смотрите, например, п. 5 Разъяснений Роскомнадзора от 14 декабря 2012 г. "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве", решение Ленинского районного суда г. Чебоксары от 19 августа 2011 г. по делу N 12-285/2011, постановление Первого арбитражного апелляционного суда от 12 октября 2011 г. N 01АП-4438/11).
Игнорирование данного требования может повлечь неблагоприятные последствия для отправителя (смотрите, например, постановление Московского горсуда от 3 августа 2017 г. по делу N 4а-2675/2017). Поэтому во избежание претензий со стороны контролирующих органов оператору необходимо в обязательном порядке получить согласие гражданина на обработку его персональных данных, причем именно в целях продвижения товаров, работ, услуг на рынке, поскольку в ч. 1 ст. 15 Закона N 152-ФЗ закреплена презумпция отсутствия указанного согласия физического лица, а потому на оператора-отправителя возложена обязанность доказывать, что такое согласие было дано. Так, в одном из дел суд пришел к выводу об отсутствии согласия абонента на получение смс-рекламы, т. к. при оформлении интернет-заявки на кредит на сайте банка гражданин предоставил свое согласие на получение от банка рассылок рекламного и информационного характера путем проставления соответствующей отметки в форме, размещенной на интернет-сайте банка. В связи с тем, что согласие на получение информирования от банка посредством смс-сообщений было выражено в электронной форме, предоставление материалов, подтверждающих получение согласия абонента на распространение информационных сообщений от банка, отсутствовала возможность предоставить его наличие (смотрите решение Арбитражного суда Краснодарского края от 21 марта 2018 г. по делу N А32-37302/2017).
Заметим, что в подобных ситуациях правоприменители, как правило, усматривают также и нарушения законодательства о рекламе, отмечая, что само по себе включение согласия на получение рекламы в качестве цели обработки персональных данных не позволяет констатировать, что потенциальный потребитель согласен на ее получение. Таким образом, потребитель при заполнении анкеты (формы) соглашается на обработку персональных данных, а не на получение рекламы (смотрите: решение Арбитражного суда г. Москвы от 2 февраля 2022 г. по делу N А40-237158/2021, решение Арбитражного суда г.Москвы от 9 апреля 2021 г. по делу N А40-261844/2020).
Так, например, в одном из дел УФАС усмотрел нарушение в том, что при заключении договора через систему ДБО пользователю необходимо проставить галочку "Настоящим я даю свое согласие АО "СМП Банк" (рег. N 77-12-000787 в Реестре операторов, осуществляющих обработку персональных данных) на осуществление обработки, в том числе автоматизированной, в соответствии с Политикой соблюдения конфиденциальности и обеспечения безопасности персональных данных при их обработке в АО "СМИ Банк", размещённой на сайте www.smpbank.ru, в целях заключения договора, предварительной оценки Банком платежеспособности клиента, проведения маркетинговых и исследовательских мероприятий, получения от Банка различной информации, в том числе рекламной, а также в целях продвижения товаров, работ, услуг Банка путем осуществления прямых контактов по предоставленным мною контактным сведениям любым способом, в том числе с помощью средств связи и Интернет. Согласие действует до момента его письменного отзыва в соответствии с требованиями действующего законодательства РФ.
В случае если указанная галочка не установлена, при нажатии на кнопку "Открыть" указанный выше текст подсвечивается красным, и операция открытия вклада не исполняется.
Таким образом, Банк не предоставил гражданину возможность свободного волеизъявления и дачу согласия на получение рекламы (смотрите также решение Арбитражного суда Саратовской области от 29 июня 2021 г. по делу N А57-6346/2021).
В письме ФАС России от 11 ноября 2019 г. N ДФ/98054/19 О надлежащих доказательствах при выявлении нарушения требований части 1 статьи 18 Федерального закона "О рекламе" указано, что согласие, полученное посредством заполнения каких-либо форм на сайтах в информационно-телекоммуникационной сети "Интернет", не позволяющих однозначно установить, кто именно дал согласие на получение рекламы, является ненадлежащим и влечет нарушение указанного требования статьи 18 Федерального закона "О рекламе", поскольку не позволяет подтвердить волеизъявление конкретного абонента на получение рекламы от конкретного рекламораспространителя.
На этом основании полагаем, что согласие гражданина на передачу его персональных данных третьему лицу в маркетинговых целях может быть составлено посредством заполнения соответствующей формы на интернет-сайте оператора и проставления галочки, если оператор технически сможет документально подтвердить получение такого согласия конкретным субъектом и именно для достижения обозначенной оператором цели.
Рекомендуем также ознакомиться с материалами:
- Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах? (ответ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций);
- Информация Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 8 ноября 2017 г. "Должны ли интернет-магазины требовать согласие покупателя на обработку персональных данных - ответ на часто поступающие вопросы граждан".
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
13 августа 2022 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.