Знакомая картина: юрист вычитал договор, маркетолог повесил оферту, IT настроил формы – и все выдохнули. Политику обработки персональных данных разместили, галочку поставили и забыли. Однако проверяющие смотрят не на галочки, а на договор. И, если в нем нет упоминаний о персональных данных, это звучит как признание: «мы собираем, но сами не до конца понимаем как и на каком основании». Дальше все предсказуемо: запросы, проверка, санкции. Илья Латышев, юрист, заместитель директора ООО «БиЭлБи Юридические услуги», и Юрий Медведев, DPO, советник по защите персональных данных ООО «БиЭлБи Юридические услуги», рассказывают, что именно должно быть в договорах и как не заработать нарушения на ровном месте.
Можно ли получить штраф за неправильно составленный договор?
Национальный центр защиты персональных данных (НЦЗПД) активно развивается как контролирующий орган. Он проверяет компании, смотрит внутренние документы и оценивает разделы договоров, регламентирующие обработку персональных данных (ПД).
Если выявляются нарушения – применяются санкции (штрафы по КоАП, а в некоторых случаях возможна и уголовная ответственность). Привлекают к ответственности, как правило, руководителей компаний или лиц, ответственных за работу с ПД.
Красный маркер для проверяющих – публичная оферта на сайте. Оферта – это предложение, при принятии которого между сторонами возникают договорные отношения. И если компания продает товары или услуги через сайт, но в ее оферте нет ни слова о том, как обрабатываются персональные данные акцептанта, то для НЦЗПД это повод провести камеральную или даже внеплановую проверку. Многие вешают на сайт Политику обработки ПД и забывают, что в самом договоре (оферте) эти условия также должны быть закреплены.
Что обязательно нужно прописывать в договорах о защите персональных данных?
Точный текст зависит от того, с кем вы заключаете договор. Закон выделяет две основные роли: оператор - тот, кто диктует правила и цели обработки, и уполномоченное лицо - тот, кто обрабатывает данные по поручению оператора.
Если работают два независимых оператора (B2B). Нужно прописать общие условия: как обрабатываются данные, соблюдение норм законодательства, взаимные гарантии безопасности и ссылки на политики обработки ПД. Это касается даже обычных договоров поставки. DPO (Data Protection Officer, или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных) смотрит на любой договор с точки зрения того, какие данные в нем содержатся (данные работников, подписантов, представителей), и требует их защиты.
Если вы работаете с уполномоченным лицом, например нанимаете IT-подрядчика, бухгалтера на аутсорсе или маркетолога. В таком договоре строго обязательно прописывать все требования, указанные в ст.7 Закона «О защите персональных данных» (далее – Закон).
Договоры с физическими лицами (B2C). Неважно, оказываете вы образовательные услуги или ремонтируете автомобили: в договоре с физическим лицом рекомендуется описывать условия обработки его данных в рамках ваших правоотношений.
Какие риски, если не внести условия о защите ПД в договор с уполномоченным лицом?
Вы «зарабатываете» сразу два нарушения: несоблюдение Закона и неисполнение Указа Президента от 28.10.2021 №422 «О мерах по совершенствованию защиты персональных данных», который обязывает операторов выявлять своих уполномоченных лиц и вести их реестр.
В договорах вполне можно и нужно устанавливать ответственность (штрафы) для контрагента. Например, за то, что уполномоченное лицо не соблюдает меры защиты (не разработало свою Политику или забыло уведомить о ее изменении). Попугать контрагента штрафом – отличный рабочий инструмент, чтобы заставить его соблюдать законодательство.
Роль DPO в договорной работе
Должен ли DPO участвовать во внутреннем согласовании (визировании) договоров? Безусловно.
DPO – это методолог и внутренний контролер. Прогонять новые сделки или нетиповые договоры через DPO необходимо, чтобы он заранее оценил риски: не противоречит ли заложенный в сделке механизм обмена персональными данными законодательству. Это прямая страховка компании от штрафов.
Принцип минимизации: берем только то, что действительно нужно
Одна из самых частых проблем в практике договорной работы – сбор избыточных данных. Закон требует собирать ровно тот объем данных, который необходим для достижения цели (ст.4 Закона). Обоснование «наша бухгалтерия всегда так требовала» больше не работает.
Пример из практики
Какое-то время назад Илья Латышев заключал авторский договор с одним крупным издательством на публикацию статьи. Он был готов предоставить Ф.И.О., личный номер и номер счета для оплаты. Но издательство потребовало еще и паспортные данные, адрес регистрации и адрес проживания со ссылкой на то, что «у них так принято в бухгалтерии».
Для чего издательству адрес Ильи? Он передал статью, они перевели гонорар, этого достаточно. Требование адреса и полных паспортных данных в данном случае – это избыточная обработка ПД. Заставлять человека предоставить паспорт под угрозой неоказания услуги – это злоупотребление правом и прямое нарушение Закона.
Типичные ситуации и ответы на вопросы
Нужно ли указывать адрес физлица в договоре (раз уж это «избыточные» данные), если потом придется с ним судиться?
С одной стороны, адрес часто избыточен для самого оказания услуги. Но с точки зрения риск-менеджмента, если речь идет о договоре, когда высока вероятность неоплаты и судов, адрес лучше оставлять, иначе вы не сможете соблюсти досудебный претензионный порядок.
Что делать с типовыми договорами (например, Министерства образования), где нельзя менять форму и добавлять пункты про ПД?
Форму менять действительно нельзя, хотя на практике многие меняют, и это предмет отдельной дискуссии. Легальный лайфхак: если в сам текст влезть нельзя, убедитесь, что все правила обработки ПД прописаны в вашей публичной Политике обработки ПД, разместите ее в доступном месте и ссылайтесь на нее при работе с клиентами.
Если в оферте нет условий об обработке ПД, но есть отсылка к Политике на сайте, это нарушение?
Это хороший посыл, но конструкцию лучше доработать. Простой обыватель не пойдет копаться в многостраничной Политике. Принцип прозрачности требует, чтобы мы объясняли все ясно и просто. Кратко пропишите в самой оферте, как обрабатываются данные конкретно по этому договору, а за деталями уже отсылайте по ссылке в Политику.
ИТ-обслуживание (сисадмины): какая у них цель обработки ПД?
Если сисадмин обслуживает сеть и имеет доступ к базам с ПД, он – уполномоченное лицо. Цель так и формулируется: «техническое обслуживание и поддержка систем». Если же он может чинить железо без доступа к базам, то в договоре нужно прямо прописать запрет на доступ к ПД. Тогда он не будет выступать уполномоченным лицом.
Имеет ли право вышестоящая организация (или просто контрагент) требовать ПД ваших работников?
Любой запрос о предоставлении ПД должен содержать правовое основание. Если прямой нормы законодательства или договорной обязанности передавать такие данные нет, вы имеете полное право отказать. В ответном письме попросите обосновать законность их запроса.
Паспортные данные в договоре проката на сумму менее 30 базовых величин, то есть до 1350 BYN по состоянию на 2025 год, и на СТО.
Если сумма проката свыше 30 базовых, закон прямо предписывает указывать паспорт, тут все легально. Но если меньше, а человек сам по привычке вписал паспорт, то оператор должен был его остановить. Если не остановил – теперь обязан эти данные бережно хранить.
В договоре на СТО переписывать паспортные данные не нужно. Достаточно данных техпаспорта автомобиля и Ф.И.О. владельца, чтобы вернуть имущество.
Нужно ли сверять личность директора контрагента с его паспортом?
На самом деле попросить человека показать паспорт, чтобы убедиться, что он действительно Вася Пупкин, а не Петя Иванов, – это нормальная практика безопасности. Но это не значит, что вы должны переписывать данные его паспорта в договор. Вы просто убедились в личности подписанта и в том, что договор действительно подписывает то лицо, которое в нем указано.
Являются ли пункты о ПД существенными условиями договора (по Гражданскому кодексу)?
Нет, Гражданский кодекс не относит условия о ПД к существенным, только если одна из сторон прямо не заявит об этом на стадии заключения. Отсутствие таких пунктов не делает договор незаключенным, но влечет возможность административной ответственности для компании со стороны регулятора.
Можно ли в NDA (соглашении о конфиденциальности) прописать требование об уничтожении ПД после завершения договора?
Вполне. ПД относятся к конфиденциальной информации. Детализация того, как именно уничтожаются данные после прекращения сотрудничества, будет только плюсом.
Что писать в доверенности: номер паспорта или личный (идентификационный) номер?
Принцип минимизации гласит, что достаточно Ф.И.О. и данных паспорта либо Ф.И.О. и идентификационного номера.
Личный (идентификационный) номер уникален и не меняется всю жизнь. Паспорт же может потеряться или закончиться. Если в доверенности указан номер старого паспорта, а человек пришел с новым, доверенность, скорее всего, не примут (прежде всего, госорганы), ее придется переделывать, что особенно огорчит, если она нотариальная.
При этом идентификационный номер является более «чувствительными» персональными данными, чем номер паспорта и дата его выдачи. С этой точки зрения целесообразнее указать данные паспорта.
Что сообщать, решать вам. Главное помнить – достаточно чего-то одного.
Договор поручительства с физическим лицом: какие ПД поручителя можно в нем указать?
Поручитель – это ваш «запасной должник». Указание паспортных данных или как минимум Ф.И.О., личного номера и адреса регистрации абсолютно разумно и обоснованно, так как вам нужно будет его искать для взыскания долга.
Можно ли внести данные конкретных разработчиков в договор на доработку ПО (1С)?
Это отличная практика информационной безопасности. Указание поименного списка лиц, имеющих доступ к базам, защищает обе стороны от киберрисков и утечек конфиденциальной информации. С точки зрения Закона, нарушением это не будет.
Пропускной режим на предприятии – охранник переписывает паспорт. Законно ли это?
Если это режимный объект или завод, такие правила легальны в целях безопасности и контроля доступа. Главное, чтобы это было закреплено во внутренних документах и Политике компании.
Акт оказанных услуг и акт к счету: можно ли в них указывать паспортные данные стороны по договору?
Во-первых, юридически акт составляется к договору, а не к счету. Во-вторых, дублировать в акте все паспортные или избыточные данные из договора не нужно. Минимально достаточно Ф.И.О. и ссылки на реквизиты договора.