Анализ рисков деятельности сервиса по распространению B2B-контактов без согласия субъектов персональных данных
1. Правовой анализ ситуации
Деятельность вашего сервиса связана с обработкой персональных данных без законных оснований, что создает существенные юридические риски.
Основные нарушения законодательства:
Нарушение конфиденциальности персональных данных:
"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7)
Отсутствие законных оснований обработки:
Обработка персональных данных допускается только в установленных случаях, основным из которых является получение согласия субъекта. В вашем случае согласие не получается.
2. Судебные риски и подтвержденная практика
Гражданско-правовая ответственность:
Компенсация морального вреда:
"Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда." (Источник: Гражданский кодекс Российской Федерации, статья 151)
Защита частной жизни:
"Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни." (Источник: Гражданский кодекс Российской Федерации, статья 152.2)
3. Административная ответственность
Штрафы за нарушения в области персональных данных:
Основные составы нарушений:
- Обработка персональных данных без согласия - штраф для юридических лиц от 300 000 до 700 000 рублей
- Повторное нарушение - штраф до 1,5 млн рублей
- Неправомерная передача данных - штрафы от 3 до 15 млн рублей в зависимости от масштаба
"Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных... - влечет наложение административного штрафа на юридических лиц - от трехсот тысяч до семисот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11 часть 2)
4. Уголовная ответственность
Нарушение неприкосновенности частной жизни:
"Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия... - наказываются штрафом в размере до двухсот тысяч рублей... либо лишением свободы на срок до двух лет." (Источник: Уголовный кодекс Российской Федерации, статья 137)
Незаконные действия с компьютерной информацией:
"Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа..." (Источник: Уголовный кодекс Российской Федерации, статья 272.1)
5. Анализ предложенных схем минимизации рисков
Предоставление контактной информации без ФИО и должности
Даже без привязки к ФИО номера телефонов и электронные адреса являются персональными данными, так как:
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Схема "консультационные услуги с бесплатным доступом"
Данная схема может быть квалифицирована как притворная сделка:
"Притворная сделка, то есть сделка, которая совершена с целью прикрыть другую сделку, в том числе сделку на иных условиях, ничтожна." (Источник: Гражданский кодекс Российской Федерации, статья 170)
Регистрация компании в другой юрисдикции
Не устраняет ответственности, поскольку:
- Российское законодательство применяется к обработке персональных данных на территории РФ
- Доступ к сервису из России делает деятельность поднадзорной российским органам
- Блокировка ресурса на территории РФ по решению суда
6. Рекомендации по минимизации рисков
Немедленные меры:
- Прекратить текущую деятельность с персональными данными из утечек
- Уничтожить незаконно полученные базы данных
- Разработать легальную модель сбора данных
Легальные альтернативы:
-
Работа только с общедоступными источниками при условии соблюдения требований:
"В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 8)
-
Получение прямого согласия от субъектов персональных данных
-
Сбор данных исключительно из официальных открытых реестров
Изменение договоров с клиентами:
- Включение пунктов о конфиденциальности
- Ограничение ответственности в пределах, допустимых законом
- Положения о допустимых целях использования данных
Выводы
Текущая бизнес-модель сервиса является незаконной и создает неприемлемые юридические риски, включая:
- Крупные административные штрафы
- Уголовную ответственность руководителей
- Гражданские иски о компенсации морального вреда
- Блокировку сервиса на территории РФ
Рекомендуется кардинально пересмотреть бизнес-модель в сторону легальных способов сбора и обработки персональных данных. Для разработки конкретного плана действий рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных.