договор как правовое основание

Договор как правовое основание: как использовать по GDPR?

Анастасия Пархимович,
CIPP/E, консультант и тренер корпоративных программ Data Privacy Office.

Для тех, кто спешит

Правовое основание «Договор» (ст. 6(1)(b) GDPR) законно только тогда, когда обработка объективно необходима для исполнения конкретного договора с субъектом данных или для преддоговорных шагов, предпринятых по его запросу. Само по себе упоминание обработки в оферте или пользовательском соглашении её не оправдывает.

  • «Необходимость» толкуется узко: если договор реально исполнить без обработки данных, нужно другое правовое основание.
  • Оценивайте необходимость по фактически заключённому договору, а не по потенциальному пакету услуг.
  • Дополнительные условия в оферте (обязательная рассылка, cookie по умолчанию, профилирование) нельзя «прикрывать» «Договором».
  • Обработка после исполнения договора возможна, но не «по умолчанию»: учитывайте контекст и разумные ожидания субъекта.
  • На преддоговорном этапе основание работает, только если шаги инициированы самим субъектом (скоринг заявителя банком — не подходит).

Что дальше: разберите два случая применения «Договора» — исполнение и преддоговорные шаги — и сверьтесь с рекомендациями EDPB в блоке в конце статьи.

Правовое основание для обработки персональных данных — это то, что делает ее законной. Одно из правовых оснований, именуемое специалистами для краткости «Договор», относится к случаям, когда обработка необходима для исполнения договора с субъектом данных или подготовки к его заключению (ст. 6(1)(b) GDPR). То есть, ваша обработка будет законной, если вы обрабатываете данные человека, чтобы исполнить заключенный с ним договор (или выполнить какие-то шаги на преддоговорном этапе). Есть ли какие-то ограничения по использованию этого правового основания? Разбираемся в этой статье.

Содержание

Анализ правового основания по GDPR: два случая, когда можно использовать «Договор»

Чтобы понять, когда можно использовать правовое основание «Договор», стоит разобрать его формулировку из ст. 6(1)(b) GDPR. Итак, обработка является законной, если она:

  1. 1) Необходима для исполнения договора, в котором субъект данных является стороной, или
  2. 2) необходима для реализации шагов, предшествующих заключению договора, если эти шаги были предприняты по поручению субъекта данных.

Первый случай: обработка необходима для исполнения договора

Исходя из позиции EDPB (European Data Protection Board — Европейский совет по защите данных, надзорный орган Евросоюза в области защиты прав субъектов персональных данных), «необходимость» для исполнения договора или принятия преддоговорных мер следует толковать очень узко. Обработка будет считаться «необходимой», если без такой обработки исполнить договор или принять преддоговорные меры невозможно. Если это возможно (хоть и неудобно для контролера либо не соответствует его интересам), следует подобрать другое правовое основание, поскольку обработка не является объективно «необходимой».

Пример: при оформлении заказа в интернет-магазине с доставкой на дом пользователь указывает свой адрес. Обработка данных об адресе покупателя необходима — без этой информации продавец не сможет доставить товар (то есть, исполнить договор невозможно). Однако если продавец требует от покупателя указать свой адрес еще на этапе регистрации личного кабинета, при этом вариант «Самовывоз из пункта выдачи» тоже доступен, для обработки адреса следует подобрать другое правовое основание. Почему? Потому что «необходимость» следует оценивать в контексте не потенциального договора (который может быть заключен, например, если покупатель закажет товар с доставкой), а в контексте договора реального (который фактически заключен, то есть, с условием о самовывозе). Если все фактически заключенные договоры (оформленные пользователем заказы) предусматривали доставку только для пункта самовывоза, нет никакой необходимости обрабатывать адрес покупателя.

При определении «необходимости» обработки для исполнения договора важно учитывать конкретный договор с клиентом, а не «сферический договор в вакууме». Так, контролер может предоставлять разные типы услуг, которые требуют обработки разного набора персональных данных. Если клиент приобрел услуги А и Б, обработка персональных данных должна ограничиться категориями данных, необходимых именно для этого набора услуг. Обрабатывать дополнительные данные, необходимые для услуг В и Г, нельзя.

На это следует обратить особое внимание компаниям, которые включают в текст договора с клиентом (или в пакеты услуг) много дополнительных опций — и потом обрабатывают избыточные персональные данные, поскольку это «предусмотрено договором».

Вот два примера, которые иллюстрируют эту ошибку:

Пример 1: при регистрации на сервисе изучения иностранного языка пользователь обязан заполнить поля «Интересы», «Предпочитаемые социальные сети или видеоплатформы» и «Любимые блогеры» (кнопка «Зарегистрироваться» неактивна, пока пользовать не предоставил такие данные). В тексте пользовательского соглашения указано, что по желанию пользователь может приобрести дополнительную услугу «Рекомендации» и система будет еженедельно предлагать ему 4 дополнительных видеоролика на изучаемом языке, подобранных с учетом его интересов. Однако пользователь может никогда и не оплатить такой функционал. Тем не менее, данные уже собраны и могут быть использованы компанией для собственных целей (в том числе для рекламы и анализа аудитории).
Пример 2: онлайн-магазин одежды включил в текст пользовательского соглашения информацию о том, что всем зарегистрированным пользователям оказывается бесплатная услуга «Личный стилист». Специалист магазина анализирует покупки пользователя (в том числе фасон и стиль изделий) и ежемесячно направляет пользователю по электронной почте подборку подходящей по стилю одежды из ассортимента магазина. Магазин оказывает услугу «Личный стилист» по умолчанию, отказаться от нее невозможно. Поскольку эта «услуга» включена в текст пользовательского соглашения, магазин использует правовое основание «Договор». Однако фактически это лишь прикрытие для рекламной рассылки.

С точки зрения EDPB договор — это не текст пользовательского соглашения или оферты, а согласованные интересы сторон. Если интерес покупателя относится лишь к конкретной услуге или части услуг из сформированного контролером пакета, контролеру следует ограничиться обработкой лишь тех данных, которые касаются выбранной услуги.

Значит ли это, что формировать пакеты услуг нельзя? Нет, по-прежнему можно. Однако важно минимизировать обработку данных, например:

  • — предлагать услуги как в составе пакета, так и по отдельности. То есть, у покупателя должна быть возможность купить каждую услугу отдельно;
  • — настроить личный кабинет пользователя так, чтобы он сам мог активировать отдельные услуги из пакета и указывать лишь те данные, которые необходимы для активированных услуг;
  • — при подборе услуг для включения в пакет руководствоваться интересами клиента. Насколько вероятно то, что клиент, купивший услугу А, будет заинтересован и в услуге Б?

Подход EDPB также означает, что в текст договора (как правило, это происходит с пользовательскими соглашениями или публичной офертой) нет смысла включать дополнительные условия, не относящиеся к договору. Например, о том, что договор предусматривает обязательную рекламную рассылку. Или согласие на установку рекламных и аналитических cookie по умолчанию. Или возможность профилирования для маркетинговых целей. Даже если контролер включает в договор такие условия, правовое основание «Договор» для такой обработки использовать нельзя. Иными словами, описание какой-либо обработки в тексте договора не означает, что эта обработка будет непременно проводиться на основании «Договора». И наоборот, отсутствие соответствующего упоминания в договоре не означает, что такая обработка не может быть основана на ст. 6(1)(b) GDPR.

легетимгый интерес по gdpr

Мы выяснили, что «Договор» не оправдывает рекламные рассылки, cookie по умолчанию и профилирование. Но и «легитимный интерес» здесь уже не спасает: разбираем, почему по GDPR этот аргумент для маркетинга больше не проходит и что использовать вместо него.

Примеры обработок, объективно необходимых для исполнения договора:

  • — обработка данных платежной карты для проведения платежа за приобретаемый продукт;
  • — обработка параметров фигуры субъекта данных при индивидуальном пошиве одежды;
  • — обработка сведений из рецепта на очки при индивидуальном изготовлении очков;
  • — обработка данных о примененном промокоде для расчета цены товара с учетом скидки;
  • — обработка данных об активации дополнительных услуг в личном аккаунте для собственно оказания этих услуг и включения их в счет.

Напоследок отметим: использовать правовое основание из ст. 6(1)(b) GDPR можно только тогда, когда договор заключен (или может быть заключен — при реализации преддоговорных шагов) между контролером и субъектом персональных данных (не между двумя контролерами или контролером и процессором) и действителен с точки зрения гражданского права соответствующего государства.

Что делать, если обработка связана с исполнением договора, но в ней нет необходимости для его исполнения?

В некоторых случаях обработка может не быть необходимой для исполнения договора. Например, она может возникнуть после того, как договор исполнен. При этом она объективно связана с ним. В таких случаях, как отмечает EDPB, обработка может быть основана на ст. 6(1)(b) GDPR. Однако это правовое основание не должно использоваться «по умолчанию» для любых дальнейших действий, которые запускаются неисполнением договора, или других ситуаций, которые могут возникнуть при его исполнении. В каждой конкретной ситуации важно учитывать контекст обработки и разумные ожидания субъекта персональных данных при заключении договора.

Примеры обработок, связанных с исполнением договора (можно использовать правовое основание «Договор»):

  • — направление уведомлений о просрочке платежа;
  • — исправление ошибок или задержек в исполнении договора, в том числе обработка обращений субъекта в службу поддержки контролера;
  • — предоставление гарантии и обработка заявок на гарантийное обслуживание;
  • — возвращение неиспользованных денег (неиспользованного материала) при прекращении (расторжении) договора до его полного исполнения.

При этом правовое основание «Договор» не может быть использовано, если:

  • — контролер хранит сведения об исполнении договора для возможного использования этих сведений в суде (например, если субъект персональных данных подаст жалобу против контролера). Такая обработка персональных данных, хоть и связана по смыслу с договором, не является объективно необходимой для его исполнения (в том числе потому, что договор уже прекращен);
  • — контролер хранит сведения об исполнении договора (в том числе персональные данные клиента) для исполнения обязанности, предусмотренной налоговым законодательством или законодательством о бухгалтерском учете и отчетности. Для этой обработки лучше подойдет правовое основание из ст. 6(1)(c) GDPR («Требование закона»).

Второй случай: обработка необходима для реализации шагов, которые предшествуют заключению договора

Правовое основание из ст. 6(1)(b) GDPR также можно использовать на преддоговорном этапе. При этом не важно, будет ли договор вообще заключен: даже если нет, законность обработки персональных данных на преддоговорном этапе не пострадает.

Критерий необходимости следует применять так же строго, как и в случае необходимости обработки для исполнения уже заключенного договора. То есть, если преддоговорные шаги можно реализовать без обработки персональных данных, для такой обработки правовое основание «Договор» использоваться не может.

Примеры обработок, необходимых на преддоговорном этапе:

  • — ответ на запрос потенциального клиента в службу поддержки о наличии товара определенной модели;
  • — запись на прием к врачу (даже если клиент отменит запись или просто не придет);
  • — оставление заявки на сайте строительной компании с указанием адреса клиента и удобного времени для визита специалиста.
Пример: банк проводит оценку кредитополучателя, получив заявку субъекта персональных данных на выдачу кредита. Объективно банк может заключить и исполнить договор (предоставить заявителю деньги) и без такой оценки. Цель банка при проведении скоринга — не исполнение договора и не подготовка к его заключению, а уменьшение риска убытков. Соответственно, такая обработка не будет основана на «Договоре» (ст. 6(1)(b) GDPR), хотя «Легитимный интерес» (ст. 6(1)(f) GDPR) может подойти при условии, что в ходе оценки легитимного интереса — Legitimate Interest Assessment, LIA — права и свободы субъектов данных не «перевесят» легитимный интерес банка.

Обратим внимание на важный нюанс: правовое основание «Договор» может использоваться лишь тогда, когда такие преддоговорные меры принимаются контролером (или процессором — по поручению контролера) по запросу (инициативе) субъекта данных. В противном случае компании могли бы использовать это правовое основание, например, для профилирования потенциальных клиентов или для рекламных рассылок, рассматривая рекламу как шаги, предшествующие заключению договора. Пример с оценкой кредитополучателя банком очень нагляден: такая обработка не может быть основана на ст. 6(1)(c) GDPR не только потому, что она не является объективно необходимой для заключения договора, но и потому, что она инициируется банком, а не потенциальным заемщиком. Субъект данных направил заявку на выдачу кредита, но вовсе не на проведение его оценки (скоринга). Следовательно, критерий «по запросу субъекта» также не соблюдается.

Пример: cубъект вводит свой почтовый индекс на сайте контролера, чтобы определить стоимость доставки товара в его регион. Такая обработка необходима субъекту на преддоговорном этапе и проводится по его инициативе. «Договор» — подходящее правовое основание для этой обработки.

Вывод

Обращаясь к «Договору» как правовому основанию, не забывайте: соответствующая обработка должна быть действительно необходимой для исполнения конкретного договора с субъектом данных, а не «обслуживать» интересы бизнеса. Если есть реалистичные альтернативы, которые используют меньше персональных данных или не требуют таких данных вовсе, обработка не является «необходимой».

При решении вопросов, связанных с обработкой персональных данных при исполнении договора, рекомендуем обратиться к документам EDPB:

Сделайте свой бизнес безопасным с Data Privacy Office

обучение по защите данных

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.