Илья Латышев, юрист, зам. директора, партнер ООО “БиЭлБи Юридические услуги”
Юрий Медведев, DPO, советник по защите персональных данных ООО “БиЭлБи Юридические услуги”
В этой статье мы пройдемся по основным моментам и правилам защиты персональных данных в договорной работе.
Если вам нужны консультации по защите персональных данных в договорной работе или помощь в разработке документов по защите персональных данных, пишите — поможем.
А в нашем онлайн-курсе «Про договоры. Для юристов и не только» теме защиты персональных данных в договорной работе посвящены два отдельных урока. Посмотрите!
Могут ли наказать за отсутствие пунктов по защите персональных данных в договоре?
Национальный центр защиты персональных данных активно развивается как контролирующий орган. Их основная функция — контрольная деятельность. Они проверяют компании, смотрят внутренние документы и, конечно же, заглядывают в разделы договоров, регламентирующие обработку персональных данных (ПД).
Если выявляются нарушения — применяются санкции (штрафы по КоАП, а в тяжелых случаях возможна и уголовная ответственность). Привлекают к ответственности, как правило, руководителей компаний или лиц, ответственных за работу с ПД.
Красный маркер для проверяющих — это публичная оферта на сайте. Оферта — это предложение, при принятии которого возникает договор. И если компания продает товары или услуги через сайт, но в ее оферте нет ни слова о том, как обрабатываются персональные данные акцептанта, для НЦЗПД это повод провести камеральную или даже внеплановую проверку. Многие вешают на сайт «Политику обработки ПД» и забывают, что в самом договоре (оферте) эти условия тоже должны быть закреплены.
Что обязательно нужно писать в договорах по персданным?
Точный текст зависит от того, с кем вы заключаете договор. Закон выделяет две основные роли: «оператор» (тот, кто диктует правила и цели обработки) и «уполномоченное лицо» (тот, кто обрабатывает данные по поручению оператора).
- Если работают два независимых оператора (B2B). Нужно прописать общие условия: как обрабатываются данные, соблюдение норм законодательства, взаимные гарантии безопасности и ссылки на политики обработки ПД. Это касается даже обычных договоров поставки. DPO смотрит на любой договор с точки зрения того, какие данные в нем циркулируют (данные работников, подписантов, представителей) и требует их защиты.
- Если вы работаете с уполномоченным лицом. Например, нанимаете IT-подрядчика, бухгалтера на аутсорсе или маркетолога. В таком договоре строго обязательно прописывать все требования, указанные в статье 7 Закона о защите персональных данных.
- Договоры с физическими лицами (B2C). Неважно, оказываете вы образовательные услуги или ремонтируете автомобили — в договоре с физическим лицом крайне рекомендуется описывать условия обработки его данных в рамках ваших правоотношений.
Какие риски, если забыть про условия о защите персональных данных в договоре с уполномоченным лицом?
Вы получаете сразу два нарушения: несоблюдение Закона Республики Беларусь «О защите персональных данных» (далее — Закон) и неисполнение Указа Президента Республики Беларусь № 422 от 28.10.2021 “О мерах по совершенствованию защиты персональных данных” (далее — Указ 422), который обязывает операторов выявлять своих уполномоченных лиц и вести их реестр.
Кстати, в договорах вполне можно и нужно устанавливать ответственность (штрафы) для контрагента. Например, за то, что уполномоченное лицо не соблюдает меры защиты (не разработало свою Политику или забыло уведомить вас о ее изменении). Попугать контрагента штрафом — отличный рабочий инструмент, чтобы заставить его соблюдать закон.
Роль DPO в договорной работе
Должен ли DPO (Data Protection Officer или по-нашему лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных) участвовать во внутреннем согласовании (визировании) договоров?
Безусловно.
DPO — это методолог и внутренний контролер. Прогонять новые сделки или нетиповые договоры через DPO необходимо, чтобы он заранее оценил риски: не противоречит ли заложенный в сделке механизм обмена персональными данными законодательству. Это прямая страховка компании от штрафов.
Принцип минимизации: берем только то, что действительно нужно
Одна из самых частых проблем в практике договорной работы — сбор избыточных данных. Закон требует собирать ровно тот объем данных, который необходим для достижения цели (статья 4 Закона). Обоснование «наша бухгалтерия всегда так требовала» больше не работает.
Пример из нашей практики: Какое-то время назад Илья Латышев заключал авторский договор с одним крупным издательством на публикацию статьи. Он готов был дать ФИО, личный номер и номер счета для оплаты. Но издательство потребовало еще и паспортные данные, адрес регистрации и адрес проживания со ссылкой на то, что «у них так принято в бухгалтерии».
Для чего издательству адрес Ильи? Он передал статью, они перевели гонорар. Все. Требование адреса и полных паспортных данных в данном случае — это избыточная обработка ПД. Если бы ему этот договор был жизненно необходим, пришлось бы договариваться, но юридически он имел полное право отказаться предоставлять излишнюю информацию. Заставлять человека дать паспорт под угрозой неоказания услуги — это злоупотребление правом и прямое нарушение закона.
Что нужно учитывать по защите персональных данных в разных видах договоров
| Вид договора / ситуации | Что обязательно или рекомендуется прописать | Основные риски при отсутствии условий |
|---|---|---|
| B2B-договор между двумя независимыми операторами | Общие условия обработки ПД, гарантии соблюдения законодательства, меры защиты данных, ссылки на Политики обработки ПД | Претензии НЦЗПД, нарушение принципа прозрачности, риски утечки данных работников и представителей |
| Договор с уполномоченным лицом (IT, бухгалтерия, маркетинг, CRM и т.д.) | Полный набор условий по ст. 7 Закона: цели обработки, меры защиты, обязанности сторон, уведомление об инцидентах, порядок обработки | Нарушение Закона о ЗПД, нарушение Указа №422, штрафы, претензии регулятора |
| Публичная оферта на сайте | Условия обработки персональных данных пользователя, ссылки на Политику обработки ПД, цели обработки | Камеральная или внеплановая проверка НЦЗПД |
| Договор с физическим лицом (B2C) | Описание обработки ПД клиента, цели обработки, сроки хранения, права субъекта ПД | Жалобы клиентов, претензии регулятора, споры по законности обработки |
| Договоры с передачей данных подрядчикам | Указание статуса уполномоченного лица, меры защиты, ответственность за нарушения | Утечки данных, ответственность оператора за действия подрядчика |
| Нетиповые сделки и новые бизнес-процессы | Согласование с DPO, анализ законности обработки данных | Штрафы из-за скрытых нарушений и незаконных механизмов обмена данными |
| Договоры, где собираются паспортные данные или адреса | Проверка необходимости каждого запрашиваемого ПД, соблюдение принципа минимизации | Избыточная обработка персональных данных, нарушения ст. 4 Закона |
| Договоры с санкциями за нарушения ЗПД | Штрафы и ответственность контрагентов за несоблюдение мер защиты | Сложность взыскания убытков и контроля подрядчиков |
| Договоры с онлайн-сервисами и CRM | Условия хранения, передачи и защиты данных, порядок удаления данных | Утечки, отсутствие контроля за обработкой данных |
| Договоры, связанные с рассылками и маркетингом | Основания для обработки ПД, наличие согласий на рекламу | Нарушение законодательства о рекламе и персональных данных |
Разбор ситуаций и ответы на вопросы про защиту персональных данных в договорной работе
1. Нужно ли указывать адрес физлица в договоре (раз уж это «избыточные» данные), если потом придется с ним судиться?
С одной стороны, адрес часто избыточен для самого оказания услуги. Но с точки зрения риск-менеджмента, если речь идет о договоре, где высока вероятность неоплаты и судов, адрес лучше оставлять. Иначе вы не сможете соблюсти досудебный претензионный порядок.
2. Что делать с типовыми договорами (например, Минобразования), где нельзя менять форму и добавлять пункты про ПД?
Форму менять действительно нельзя (хотя на практике многие меняют, и это предмет отдельной дискуссии). Легальный лайфхак: если в сам текст влезть нельзя, убедитесь, что все правила обработки ПД прописаны в вашей публичной Политике обработки ПД, разместите ее в доступном месте и ссылайтесь на нее при работе с клиентами.
3. Если в оферте нет условий об обработке ПД, но есть отсылка к Политике на сайте — это нарушение?
Это хороший посыл, но конструкцию лучше доработать. Простой обыватель не пойдет копаться в многостраничной Политике. Принцип прозрачности требует, чтобы мы объясняли все ясно и просто. Кратко пропишите в самой оферте, как обрабатываются данные конкретно по этому договору, а за глубокими деталями уже отсылайте по ссылке в Политику.
4. ИТ-обслуживание (сисадмины): какая у них цель обработки ПД?
Если сисадмин обслуживает сеть и имеет доступ к базам с ПД, он — уполномоченное лицо. Цель так и формулируется: «техническое обслуживание и поддержка систем». Если же он может чинить железо без доступа к базам, то нужно прямо в договоре прописать запрет на доступ к ПД. Тогда он не будет уполномоченным лицом.
5. Имеет ли право вышестоящая организация (или просто контрагент) требовать ПД ваших работников?
Любой запрос о предоставлении ПД должен содержать правовое основание. Если прямой нормы законодательства или договорной обязанности передавать такие данные нет, вы имеете полное право отказать. В ответном письме просто попросите обосновать законность их запроса.
6. Паспортные данные в договоре проката (< 30 базовых величин) и на СТО. Если сумма проката свыше 30 базовых, закон прямо предписывает указывать паспорт — тут все легально. Но если меньше, а человек сам по привычке вписал паспорт, оператор должен был его остановить. Если не остановил — теперь обязан эти данные бережно хранить.
В договоре на СТО переписывать паспортные данные не нужно. Достаточно данных техпаспорта автомобиля и ФИО владельца, чтобы вернуть имущество.
7. Проверка паспорта и копирование данных — не одно и то же.
Одна девушка сомневалась, идти ли на наш онлайн-курс “Про договоры. Для юристов и не только”, прочитав пост Ильи о том, что нужно сверять личность директора контрагента с его паспортом. Мол, «вы выдумываете ситуации».
На самом деле, попросить человека показать паспорт, чтобы убедиться, что он действительно Вася Пупкин, а не Петя Иванов, — это нормальная практика безопасности. Но это не значит, что вы должны переписывать данные его паспорта в договор. Вы просто убедились в личности подписанта и в том, что договор действительно подписывает то лицо, которое в нем указано.
8. Являются ли пункты о ПД «существенными условиями» договора (по ГК)?
Нет, Гражданский кодекс не относит условия о ПД к существенным (если только одна из сторон прямо не заявит об этом на стадии заключения). Отсутствие этих пунктов не делает договор незаключенным, но оно влечет возможность административной ответственности для компании со стороны регулятора.
9. Можно ли в NDA (соглашении о конфиденциальности) прописать требование об уничтожении ПД после завершения договора?
Вполне. ПД относятся к конфиденциальной информации. Излишняя детализация того, как именно уничтожаются данные после прекращения сотрудничества, будет только плюсом.
10. Что писать в доверенности: номер паспорта или личный (идентификационный) номер?
Принцип минимизации гласит, что достаточно ФИО и данных паспорта либо ФИО и идентификационного номера.
Личный (идентификационный) номер уникален и не меняется всю жизнь. Паспорт же может потеряться или закончиться. Если в доверенности указан номер старого паспорта, а человек пришел с новым — доверенность скорее всего не примут (особенно госорганы), ее придется переделывать (что особенно больно, если она нотариальная).
При этом идентификационный номер является более “чувствительными” персональными данными, чем номер паспорта и дата его выдачи. С этой точки зрения, целесообразнее указать данные паспорта.
Что указывать, решать вам. Главное помнить — достаточно чего-то одного: или данных паспорта или идентификационного номера. И то, и другое — это будут уже избыточные ПД.
11. Договор поручительства с физическим лицом — какие ПД поручителя там можно указать?
Поручитель — это ваш «запасной должник». Здесь указание паспортных данных или, как минимум, ФИО, личного номера и адреса регистрации абсолютно разумно и обоснованно, так как вам нужно будет его искать для взыскания долга.
12. Можно ли внести данные конкретных разработчиков в договор на доработку ПО (1С)?
Это отличная практика информационной безопасности. Указание поименного списка лиц, имеющих доступ к базам, защищает обе стороны от киберрисков и утечек конфиденциальной информации.
С точки зрения ЗПД, нарушением это не будет.
13. Пропускной режим на предприятии: охранник переписывает паспорт. Законно ли это?
Если это режимный объект или завод, такие правила легальны в целях безопасности и контроля доступа. Главное, чтобы это было закреплено во внутренних документах и Политике компании.
14. Акт оказанных услуг (и акт к счету) — можно ли там указывать паспортные данные стороны по договору?
Во-первых, юридически акт составляется к договору, а не к счету. Во-вторых, дублировать в акте все паспортные или избыточные данные из договора не нужно. Минимально достаточно ФИО и ссылки на реквизиты договора.
Если вам нужны консультации по защите персональных данных в договорной работе или помощь в разработке документов по защите персональных данных, пишите — поможем.
А в нашем онлайн-курсе «Про договоры. Для юристов и не только» теме защиты персональных данных в договорной работе посвящены два отдельных урока. Посмотрите!