Юридическое заключение

LEGATO
Юридическая компания
LEGATO
117105 г. Москва, Варшавское шоссе, 1
Бизнес-центр W Plaza
тел. +7 495 107 02 01
ПРАВОВОЕ ЗАКЛЮЧЕНИЕ
о соблюдении требований законодательства
при работе сервиса Вернидолг.ру (Vernidolg.ru)
I.Механизм работы сервиса Вернидолг.ру
Цель работы сервиса Вернидолг.ру (далее – Сервис) – уведомление физических
лиц, имеющих непогашенную просроченную задолженность (далее – Должники), о
ее наличии и необходимости погашения. Уведомление производится путем
демонстрации Должникам, а также их друзьям из социальных сетей (в случае
выбора этой опции Кредитором) специальных информационных баннеров,
которые изготавливаются автоматически программным обеспечением Сервиса.
Кредитор вносит данные Должника в специальную форму, размещенную на
сайте/в мобильном приложении, выбирает вид баннера и условия его
демонстрации (в том числе, количество и частоту показов), программа создает
баннер с использованием внесенных Кредитором данных, и начинает его
демонстрацию Должнику/его друзьям (баннер появляется на посещаемых ими
страницах в Интернете).
II.Общая правовая оценка работы Сервиса
Работа
указанного
Сервиса
полностью
соответствует
требованиям
законодательства Российской Федерации в области защиты персональных
данных и не может являться основанием для привлечения разработчиков
Сервиса, а также обслуживающих его лиц к ответственности.
1. Соблюдение требований законодательства о защите персональных
данных
Обработка персональных данных в Российской Федерации регулируется
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее
– ФЗ «О персональных данных», Закон). Законом определено, что персональные
данные представляют собой любую информацию, относящуюся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных). Обработка персональных данных согласно ст. 3 Закона
охватывает:
любое действие (операция) или совокупность
совершаемых с персональными данными,
действий
(операций),
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление,
изменение),
извлечение,
использование,
передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.
LEGATO
ФЗ «О персональных данных» (пп. 1 п. 1 ст. 6) закрепляет общее правило,
согласно которому обработка персональных данных может осуществляться
только с согласия их субъекта. Однако из этого правила установлен ряд
исключений. Закон указывает, что получать согласие субъекта персональных
данных на их обработку не нужно, в том числе, в случаях:
обработки персональных данных для целей исполнения договора, стороной,
выгодоприобретателем или поручителем по которому является субъект
персональных данных (пп. 5 п. 1 ст. 6 ФЗ «О персональных данных»);
обработки персональных данных, к которым субъект персональных данных
предоставил доступ неограниченному кругу лиц (пп. 10 п. 1 ст. 6 ФЗ «О
персональных данных»);
обработки персональных данных третьим лицом по поручению оператора
персональных данных, если оператор подтверждает, что он получил
предварительное согласия субъекта персональных данных на такие
действия (п. 3-5 ст. 6 ФЗ «О персональных данных»).
Учитывая описанный выше механизм работы Сервиса, используемая в его работе
информация о Кредиторе и Должнике представляет собой персональные данные
указанных лиц, а осуществляемые с помощью Сервиса действия - обработку этих
данных (сбор, хранение, систематизацию при помощи стандартных шаблонов
баннеров, передачу третьим лица). Персональные данные Кредитора
обрабатываются Сервисом с его согласия, которое он выражает, принимая
условия Пользовательского соглашения и заполняя анкету на сайте/в мобильном
приложении. Получать согласие Должника на обработку его персональных данных
разработчик Сервиса и лицо, обслуживающее его работу (далее - Администратор
Сервиса) не обязаны, так как указанные действия подпадают под разрешенные
Законом случаи обработки данных без согласия их субъекта.
1.1. Сервис обрабатывает персональные данные Должника с целью
исполнения договора
Лицо, сведения о котором Кредитор загружается в программу с использованием
сайта/приложения, имеет непогашенную просроченную задолженность перед ним.
Указанная задолженность является результатом нарушения обязательства, в том
числе из договора между Кредитором и Должником. Демонстрация
информационных баннеров при помощи Сервиса должна стимулировать его к
исполнению обязательства, возврату долга. Таким образом, цель обработки
персональных данных при работе Сервиса законная и связана непосредственно с
исполнением договора, стороной которого (Должником) является субъект,
обрабатываемых данных. Таким образом, на основании пп. 5 п. 1 ст. 6
ФЗ «О персональных данных» разработчик Сервиса, а также лицо, обсуживающее
его работу, имеют право обрабатывать персональные данные Должника без
получения на это его согласия.
Страница 2 из 7
LEGATO
1.2. Большая часть информации о Должнике является общедоступной
Большая часть информации, обрабатываемая в рамках работы Сервиса (имя,
фамилия, изображение Должника), представляет собой общедоступную
информацию, к которой Должник самостоятельно предоставил доступ
неограниченному кругу лиц и дал согласие на ее обработку любым третьим
лицом. В частности, имя, фамилия, изображение (фотография) Должника
размещены его на странице в социальных сетях. Доступ к этим данным имеет
неограниченный круг лиц.
Политики конфиденциальности социальных сетей прямо указывают, что
информация, содержащаяся в профиле пользователя, является общедоступной.
К примеру, в п. 3.1. Политики конфиденциальности Вконтакте1 указано,
следующее:
«пользователь … осознает, что информация, размещаемая в
результате использования … Приложений, может становиться
доступной для других пользователей …, может быть скопирована
и распространена такими пользователями».
Политикой использования данных Facebook2 предусмотрено, что сведения в
публичном профиле пользователя (к их числу относятся, к примеру, имя и
фотография) или материалы, которыми пользователь делится на своей странице
Facebook, являются общедоступной информацией.
Таким образом, большая часть обрабатываемой Сервисом информации является
общедоступной, поскольку добровольно сообщается Должником неограниченному
кругу лиц. Получение согласия на обработку таких данных разработчиком Сервиса
или лицом, обслуживающим его работу, не требуется.
1.3. Обработка данных Должника осуществляется по поручению
Кредитора, который подтверждает согласие Должника на обработку
его персональных данных
В рамках работы Сервиса Администратор осуществляет обработку персональных
данных Должника по поручению Кредитора, являющегося оператором
персональных данных. Принимая условия Пользовательского соглашения3 и
Политики конфиденциальности4 Сервиса, Кредитор подтверждает, что заранее
получил согласие Должника на передачу его данных третьему лицу (в данном
случае Администратору) для обработки.
Пользовательское соглашение, в частности, предусматривает:
1
https://vk.com/dev/uprivacy
https://ru-ru.facebook.com/about/privacy/; https://ru-ru.facebook.com/help/203805466323736
3
http://vernidolg.ru/offer.pdf
4
http://vernidolg.ru/politics.pdf
2
Страница 3 из 7
LEGATO
5.2. По заданию Пользователя Администратор обеспечивает
обработку переданных Пользователем данных, в том числе,
путем их сбора, хранения, сортировки, систематизации с
использованием стандартных шаблонов баннеров, передачи и
демонстрации третьим лицам
6.2. При предоставлении Администратору данных третьих лиц (в
том числе, биометрических) Пользователь признает и
подтверждает,
что
предварительно
получил
согласие
соответствующих третьих лиц на обработку и распространение
информации о них, в том числе, способами, указанными в п. 5.2.
настоящего Соглашения. Предоставляя указанные данные
Пользователь
также
подтверждает,
что
передаваемые
биометрические данные должника являются общедоступными.
В Политике конфиденциальности также отмечено:
2.4. Начиная использовать услуги Сервиса Пользователь
подтверждает, что передаваемые им данные являются
достоверными, а также то, что он имеет право их
обрабатывать (в том числе, передавать их третьим лицам).
Предоставление Пользователем недостоверных данных, а также
предоставление данных о третьих лицах без их согласия не
влечет ответственности Администратора.
Описанная модель обработки персональных данных одного лица по поручению
другого полностью соответствует требованиям российского законодательства, а
именно п. 3-5 ст. 6 ФЗ «О персональных данных». Данной статьей установлено,
что лицо, осуществляющее обработку персональных данных по поручению
оператора, не обязано получать согласие субъекта персональных данных на
обработку его персональных данных. В случае если оператор поручает обработку
персональных данных другому лицу, ответственность перед субъектом
персональных данных за действия указанного лица несет оператор. Лицо,
осуществляющее обработку персональных данных по поручению оператора,
несет ответственность перед оператором.
Таким образом, получив персональные данные Должника от Кредитора,
подтверждающего правомерность таких действий, разработчик и Администратор
Сервиса не обязаны запрашивать дополнительно согласия Должника.
Обрабатывая данные Должника без такого дополнительного согласия, они
действуют законно (п. 3-5 ст. 6 ФЗ «О персональных данных»).
Страница 4 из 7
LEGATO
1.4. Правоприменительная практика
Судебная практика подтверждает, что модель обработки персональных данных
одним лицом по поручению другого (в том числе с целью взыскания
задолженности) в отсутствии согласия субъекта персональных данных
соответствует требованиям законодательства. К примеру, в Апелляционном
определении от 16.10.2012 г. по делу № 11-18797 Московской городской суд
признал законной передачу банком коллекторскому агентству данных должника с
целью взыскания задолженности, а также обработку этих данных агентством,
несмотря на то, что указанное право отдельно в договоре банка и Должника
закреплено не было. В решении, в частности, указано следующее.
«Отказывая в удовлетворении требований истца о признании
незаконными действий ОАО «Сбербанк России» по передаче
персональных данных, суд исходил из того, что действия ОАО
«Сбербанк России» по передаче данных об истце ООО «Бюро
кредитной
безопасности
«РУССКОЛЛЕКТОР»
в
целях
осуществления мероприятий по погашению задолженности по
кредитному
договору
соответствовали
требованиям
законодательства, не нарушали и не могли нарушить прав истца
как потребителя.
При этом суд учел, что в силу ч. 3 ст. 6 ФЗ «О персональных
данных» оператор вправе поручить обработку персональных
данных другому лицу с согласия субъекта персональных данных,
если иное не предусмотрено федеральным законом, на основании
заключаемого с этим лицом договора. Положениями п. 5 ч. 1
названной статьи предусмотрено, что обработка персональных
данных допускается в случае, если обработка персональных
данных необходима для исполнения договора, стороной которого
либо выгодоприобретателем или поручителем по которому
является субъект персональных данных.
Согласно ч. 4. ст. 6 Закона лицо, осуществляющее обработку
персональных данных по поручению оператора, не обязано
получать согласие субъекта персональных данных на обработку
его персональных данных.
При таких данных, судебная коллегия соглашается с выводом
суда о том, что у ответчиков отсутствовала обязанность
получать согласие истца на обработку его персональных данных
и передаче этих данных одним ответчиком другому».
При этом необходимо отметить, что в большинстве случаев банковские договоры
содержат специальное условие, в соответствии с которым заемщик
предоставляет банку право передавать его персональных данных третьим лицам
для обработки в целях взыскания задолженности. Это служит дополнительной
Страница 5 из 7
LEGATO
гарантией правомерности действий по передачи данных.5 Действия же по
обработке персональных данных, осуществляемые сторонним лицом по
поручению оператора, будут в любом случае являться законными, т.к. закон не
обязывает таких лиц проверять действительность получения оператором
согласия Должника.
1.5. Аналогичные онлайн сервисы
Законность описанной модели обработки персональных данных подтверждается
также существованием других интернет-сервисов, в рамках которых
осуществляется обработка персональных данных по поручению лиц, не
являющихся субъектами этих данных. Это, к примеру, сервис Намбастер
(http://numbuster.com/ru/). С помощью указанного сервиса пользователь загружает
телефонные номера своих закомых (которые являются персональными данными в
понимании ФЗ “О персональных данных”) из телефонной книги в программу и тем
самым делает их доступным всем остальным пользователям. В результате при
совершении звонка с номера, загруженного в систему, любой пользователь
сможет увидеть информацию о том, кто звонит (фамилию, имя, комментарии о
нем, оставленные другими пользователеями Намбастер), даже если раньше этого
номера не было в его списке контактов.
Пользовательское соглашение Намбастер6 предусматривает, что:
«при предоставлении мобильному приложению NumBuster!
информации о третьих лицах, …, Вы [пользователь Намбастер]
признаете и безусловно подтверждаете, что предварительно
получили согласие соответствующего третьего лица на
распространение соответствующей информации о нем среди
Пользователей мобильного приложения NumBuster!».
Указанное
положение
аналогично
описанному
выше
положению
Пользовательского соглашения и Политики Конфиденциальности Сервиса
Вернидолг.ру.
2. Соблюдение требований иных законов
Цель Сервиса, состоящая в информировании Должников о существовании и
размере задолженности, не противоречит нормам законодательства Российской
Федерации. Используемые при этом методы не ущемляют честь и достоинство
Должников, в их адрес не используются запрещенные законом способы и методы
воздействия (угрозы, оскорбления).
Использование Сервиса, напротив, позволяет защитить нарушенные права
Кредитора, обязательство перед которым Должник не исполняет, и восстановить
баланс интересов сторон договорных отношений.
5
Напр., Апелляционное определение суда Еврейской автономной области от 17.12.2014 по делу № 33677/2014, Апелляционные определения Калининградского областного суда от 18.09.2013 по делу № 334135/2013.
6
http://numbuster.com/ru/tos
Страница 6 из 7
LEGATO
Администратор Сервиса соблюдает требования законодательства Российской
Федерации в части обеспечения технических безопасности при обработке
персональных данных, в том числе новое требование о нахождении сервера для
хранения данных граждан Российской Федерации на территории России.
III. Выводы
Работа Сервиса Вернидолг.ру связана с обработкой персональных данных
граждан, в том числе тех, которые не являются пользователями Сервиса и не
давали отдельного согласия на обработку своих данных.
Правовым основанием указанной деятельности являются следующие положения
Федерального закона «О персональных данных»:
Получать согласие субъекта персональных данных на их обработку не нужно, в
том числе, в случаях:
обработки персональных данных для целей исполнения договора, стороной,
выгодоприобретателем или поручителем по которому является субъект
персональных данных (пп. 5 п. 1 ст. 6 ФЗ «О персональных данных»);
обработки персональных данных, к которым субъект персональных данных
предоставил доступ неограниченному кругу лиц (пп. 10 п. 1 ст. 6 ФЗ «О
персональных данных»);
обработки персональных данных третьим лицом по поручению оператора
персональных данных, если оператор подтверждает, что он получил
предварительное согласия субъекта персональных данных на такие
действия (п. 3-5 ст. 6 ФЗ «О персональных данных»).
С учетом изложенного деятельность Сервиса Вернидолг.ру полностью
соответствует требованиям законодательства Российской Федерации и не может
являться основанием для привлечения разработчика сервиса или лица,
осуществляющего его обслуживание, к какой-либо ответственности.
С уважением,
Тимчук
Андрей Викторович
Партнер / Адвокат
Юридическая компания
LEGATO
Моб. +7 926 254 46 74
a.timtchouk@legatocompany.ru
Страница 7 из 7