Нередко в своей коммерческой деятельности предприниматели рассматривают возможности использования баз потенциальных клиентов. На рынке существует множество различных предложений по покупке и продаже баз персональных данных, однако при их покупке стоит учитывать законодательство о персональных данных и его применение к покупателю таких данных. Рассмотрим основные проблемы, с которыми может столкнуться покупатель базы персональных данных.

Проблема наличия согласия у покупателя на обработку персональных данных.

Любая база данных содержит персональные данные (как минимум ФИО и контактные данные физического лица). Если рассматривать лица, которые продают базы данных (далее – БД), то у продавца БД должны быть собраны соответствующие согласия (причем составленные на отдельном документе) о разрешении субъекта персональных данных их распространять. При этом, действующим законодательством предусмотрено, что в согласии должны быть указаны конкретные цели их обработки и, соответственно, передачи персональных данных третьим лицам (п. 1 ч. 1 ст. 6, ч. 4 ст. 9 Закона о персональных данных).

Так как базы данных для последующей продажи собираются для неопределенного круга лиц, описание в согласии продавцом БД всех целей надлежащим образом представляется сомнительным. В связи с этим, покупка даже легально собранной базы данных может стать нарушением, если согласие оформлено неверно.

При покупке такой БД (с неправильно оформленными согласиями) на покупателя будет наложен штраф за обработку ПД по ч.2 ст. 13.11 КоАП РФ. Уголовной ответственности за такого рода нарушения не предусмотрено.

Если же согласие оформлено корректно, то на основании части 4 статьи 6 Закона о персональных данных  обработка персональных данных не будет являться нарушением закона, так как покупатель БД в данном случае не обязан получать согласие субъекта персональных данных на обработку его персональных данных (Апелляционное определение Саратовского областного суда от 11.01.2019 N 33-28/2019, Апелляционное определение Московского областного суда от 23.03.2015 по делу N 33-6483/2015).

Тем не менее, стоит учитывать, что на рынке часто встречаются продавцы баз данных, собранных нелегально, без оформления соответствующих согласий от субъектов персональных данных.

Законна ли покупка баз данных?

На сегодняшний день пока еще не введено ответственности за приобретение баз данных. Тем не менее, данный вопрос (о введении как административной, так и уголовной ответственности) за продажу и покупку незаконных баз данных обсуждается с 2019 года и вполне вероятно в ближайшее время будет законодательно урегулирован.

Таким образом, на сегодняшний день сама покупка БД не является нарушением, однако к ответственности можно привлечь за обработку персональных данных без согласия субъекта.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа (ч. 2, 3 ст. 4.1.2, ч. 2 ст. 13.11 КоАП РФ):

  • на граждан в размере от 6 000 до 10 000 руб.;
  • на должностных лиц – от 10 000 до 40 000 руб.;
  • на юридических лиц – от 30 000 до 150 000 руб.

Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 – 1101 ГК РФ, ст. 24 Закона о персональных данных).

Уголовная ответственность за нарушения при работе с персональными данными установлена (может наступить, если сама БД собирается незаконно):

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);

Проблема получения согласия на получение рекламы

Так как база данных приобретается с целью привлечения новых клиентов, следовательно к данным правоотношениям применяется Закон о рекламе.

В соответствии с частью 1 статьи 18 Закона о рекламе распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом, реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.

Согласие на получение рекламы должно быть получено отдельно от согласия на обработку персональных данных (Постановление Тринадцатого арбитражного апелляционного суда от 29.09.2022 N 13АП-25207/2022 по делу N А56-41177/2022).

В случае нарушения указанного требования на распространителя рекламы может быть наложена ответственность в соответствии со ст. 14.3. КоАП РФ:

Нарушение рекламодателем, рекламопроизводителем или рекламораспространителем законодательства о рекламе влечет наложение административного штрафа:

  • на граждан в размере от 2 000 до 2 500 рублей;
  • на должностных лиц – от 4 000 до 20 000 рублей;
  • на юридических лиц – от 100 000 до 500 000 рублей.

Ответственность сотрудника за незаконное копирование базы данных

Сотрудники, незаконно копирующие базу данных, могут быть привлечены к следящим видам ответственности:

А) Сотрудник будет привлечен к дисциплинарной ответственности в виде увольнения по пп. В п. 6 ст. 81 ТК РФ.

Б) Уголовная ответственность:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ, п. 3 Постановления Пленума Верховного Суда РФ от 15.12.2022 N 37) В рамках указанной статьи отвечает сотрудник, получивший и несанкционированно скопировавший базу персональных данных;
  • Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе (ч.2 ст. 183 УК РФ);
  • Если БД была получена с применением программных средств, то сотрудник может быть привлечен по ст. 183 УК РФ за создание, использование и распространение вредоносных компьютерных программ;
  • За злоупотребление должностными полномочиями по ст. 185 УК РФ.

Если база данных собирается под конкретного покупателя, то покупатель тоже может быть привлечен к уголовной ответственности, как участник группы лиц по предварительному сговору.

Поддержка Konsu

Наши специалисты готовы оказать поддержку по приведению инфраструктуры, процессов и документов вашей компании в соответствие с законодательством о персональных данных, международными стандартами и лучшими практиками:

В России:

В Казахстане:

Защита персональных данных Персональные данные Риски компаний Юридические риски