Иконка поиска

Вопрос

Анализ юридических рисков и стратегий для сервиса по работе с персональными данными без согласия в контексте законодательства

У нас есть сервис, который помогает продавцам в компаниях находить B2B-контакты лиц, принимающих решения, в организациях. Пользователи могут фильтровать компании по разным критериям, например, по годовому обороту или кодам ОКВЭД, и выбирать нужные должности. В результате сервис выдает номера телефонов и электронные почты, которые часто связаны с ФИО и должностями для этих контактов. Мы не получаем согласие у субъектов персональных данных, а собираем информацию из различных баз, которые когда-то просочились в интернет, включая данные из публичных источников и утечек. Задачи, которые нужно решить: сначала проанализировать и оценить риски, изучив судебную практику по делам об использовании и распространении персональных данных, определить возможные юридические угрозы для проекта, учитывая, что мы работаем без согласия и используем данные из слитых баз. Потом разобраться с санкциями и ответственностью: выяснить, какие штрафы и другие меры, включая административные и уголовные, применяются за незаконное использование и продажу персональных данных, особенно если это приводит к ущербу. Далее, разработать юридические стратегии для снижения рисков: оценить, можно ли легально предоставлять контактную информацию без привязки к ФИО и должности, и какие будут последствия; проанализировать законность схемы, где мы предлагаем консультационные услуги с бесплатным доступом к сервису для выгрузки данных; рассмотреть возможность регистрации компании в другой юрисдикции, чтобы снизить правовые риски, и понять, как это повлияет на ответственность. В конце, создать рекомендации: предложить, как адаптировать бизнес-модель для минимизации юридических рисков в связи с текущими требованиями к обращению с персональными данными, и изменить договоры с клиентами, чтобы уменьшить их опасения по поводу использования сервиса, например, добавив пункты о конфиденциальности и ограничении ответственности.

Вопрос №8115Ответы: 1
29.09.2025
Аватар НейроадвокатаНейроадвокат
Анализ рисков деятельности сервиса по распространению B2B-контактов без согласия субъектов персональных данных

1. Правовой анализ ситуации

Деятельность вашего сервиса связана с обработкой персональных данных без законных оснований, что создает существенные юридические риски.

Основные нарушения законодательства:

Нарушение конфиденциальности персональных данных:

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7)

Отсутствие законных оснований обработки:
Обработка персональных данных допускается только в установленных случаях, основным из которых является получение согласия субъекта. В вашем случае согласие не получается.

2. Судебные риски и подтвержденная практика

Гражданско-правовая ответственность:

Компенсация морального вреда:

"Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда." (Источник: Гражданский кодекс Российской Федерации, статья 151)

Защита частной жизни:

"Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни." (Источник: Гражданский кодекс Российской Федерации, статья 152.2)

3. Административная ответственность

Штрафы за нарушения в области персональных данных:

Основные составы нарушений:

  • Обработка персональных данных без согласия - штраф для юридических лиц от 300 000 до 700 000 рублей
  • Повторное нарушение - штраф до 1,5 млн рублей
  • Неправомерная передача данных - штрафы от 3 до 15 млн рублей в зависимости от масштаба

"Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных... - влечет наложение административного штрафа на юридических лиц - от трехсот тысяч до семисот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11 часть 2)

4. Уголовная ответственность

Нарушение неприкосновенности частной жизни:

"Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия... - наказываются штрафом в размере до двухсот тысяч рублей... либо лишением свободы на срок до двух лет." (Источник: Уголовный кодекс Российской Федерации, статья 137)

Незаконные действия с компьютерной информацией:

"Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа..." (Источник: Уголовный кодекс Российской Федерации, статья 272.1)

5. Анализ предложенных схем минимизации рисков

Предоставление контактной информации без ФИО и должности

Даже без привязки к ФИО номера телефонов и электронные адреса являются персональными данными, так как:

"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)

Схема "консультационные услуги с бесплатным доступом"

Данная схема может быть квалифицирована как притворная сделка:

"Притворная сделка, то есть сделка, которая совершена с целью прикрыть другую сделку, в том числе сделку на иных условиях, ничтожна." (Источник: Гражданский кодекс Российской Федерации, статья 170)

Регистрация компании в другой юрисдикции

Не устраняет ответственности, поскольку:

  • Российское законодательство применяется к обработке персональных данных на территории РФ
  • Доступ к сервису из России делает деятельность поднадзорной российским органам
  • Блокировка ресурса на территории РФ по решению суда

6. Рекомендации по минимизации рисков

Немедленные меры:

  1. Прекратить текущую деятельность с персональными данными из утечек
  2. Уничтожить незаконно полученные базы данных
  3. Разработать легальную модель сбора данных

Легальные альтернативы:

  1. Работа только с общедоступными источниками при условии соблюдения требований:

    "В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 8)

  2. Получение прямого согласия от субъектов персональных данных

  3. Сбор данных исключительно из официальных открытых реестров

Изменение договоров с клиентами:

  • Включение пунктов о конфиденциальности
  • Ограничение ответственности в пределах, допустимых законом
  • Положения о допустимых целях использования данных

Выводы

Текущая бизнес-модель сервиса является незаконной и создает неприемлемые юридические риски, включая:

  • Крупные административные штрафы
  • Уголовную ответственность руководителей
  • Гражданские иски о компенсации морального вреда
  • Блокировку сервиса на территории РФ

Рекомендуется кардинально пересмотреть бизнес-модель в сторону легальных способов сбора и обработки персональных данных. Для разработки конкретного плана действий рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение