Обработка персональных данных, “необходимая для исполнения договора”: всегда ли она необходима?

Борьба за персональные данные клиентов (а в конечном итоге – за возможность продать побольше и подороже) иногда напоминает борьбу хищника и жертвы. Хищник неустанно изобретает варианты, чтобы собрать побольше данных, при этом остаться в рамках закона. А жертва сопротивляется: изменяет настройки приложений, обращается в надзорные органы, СМИ, пишет разгромные посты в соцсетях, привлекая внимание общественности (уж очень неравны могут быть силы). Иногда на помощь приходит даже Европейский совет по защите персональных данных (European Data Protection Board, EDPB) и ставит точку в споре. Как, например, это случилось при обсуждении того, когда именно компании могут использовать “необходимость для исполнения договора” в качестве правового основания для обработки персональных данных (ст. 6(1)(b) GDPR).

contract

Terms of Services: чем длиннее, тем чудесатее!

Когда дело касается индивидуальных договоров, условия которых обсуждаются участниками совместно, вариантов для злоупотребления со стороны компании немного (хотя, конечно, и здесь они присутствуют). Но наибольший риск для субъекта данных представляет как раз договор присоединения, текст которого составлен компанией единолично и не предназначен для доработки под каждого конкретного человека. Такие договоры клиент принимает по принципу “take it or leave it”, и наиболее частый сценарий – это как раз “take it”: если субъекту нужен соответствующий сервис, выбирать обычно не приходится. Договоры эти по объёму напоминают Большую советскую энциклопедию, а по стилю изложения – Особенную часть Налогового кодекса. Неудивительно поэтому, что большая часть клиентов просто не читает подобные соглашения. 

А стоило бы. 

agree

 

Хотя бы потому, что компании, предоставляющие услуги на основе таких договоров, иногда не стыдятся включать в них условия, сильно ограничивающие права клиентов, предусматривающие оказание дополнительных услуг без возможности отказаться от них или просто дающие возможность компании использовать персональные данные клиента в собственных целях. А что такого? Клиент ведь нажал кнопку “Я согласен с Условиями использования сервиса”! В этом случае любую обработку персональных данных для упомянутой в договоре цели можно подвести под ст. 6(1)(b) GDPR и не опасаться, что клиент оспорит легитимность интереса или вовсе отзовет своё согласие. Отличный вариант, разве нет?

Договор – это не текст, это отношения

Увы, не всё так радужно. Будучи осведомлен о проблеме объёмных Terms of Services, которые включают всевозможные условия от приема платежей до маркетинговой рассылки, EDPB опубликовал Руководство 2/2019 об обработке персональных данных в соответствии со Статьей 6(1)(b) GDPR в контексте оказания онлайн-услуг субъектам данных. Хотя формально это Руководство относится именно к оказанию онлайн-услуг, принципы, о которых пишет EDPB, относятся к договорам любого рода, в том числе договорам страхования, купли-продажи, проката и т.д.

contracr

 

В первую очередь надо отметить, что договор (вопреки расхожему мнению) – это не многостраничный документ, а отношения между сторонами. Сама суть договора (от слова “договариваться”) предполагает, что две стороны пришли к согласию относительно чего-то. С этой точки зрения оказание услуг “в нагрузку” (особенно если пользователь не только не запрашивал такие услуги, а даже не знает о том, что они ему оказываются) выглядит крайне сомнительно в контексте согласия. Именно поэтому EDPB несколько раз в Руководстве подчеркивает значимость запроса субъекта данных, его активных действий, направленных на заключение договора. То есть, если контролер оказывает услуги без запроса субъекта (например, посылает ему уведомления о новых товарах, доступных на сайте, или подключает дополнительные сервисы без ведома клиента), обработку данных для этих целей нельзя обосновать “необходимостью исполнения договора”, ведь договора (как отношений, согласия между сторонами) вовсе не было. Даже если вам кажется, что предоставляя субъекту данных такие дополнительные сервисы, вы делаете это из лучших побуждений.

Необходимость – это не про “пусть будет”. Это про “без этого никак”

EDPB в Руководстве рассматривает несколько факторов, которые следует оценить перед выбором ст. 6(1)(b) GDPR в качестве правового основания. 

1. Между сторонами должен иметь место договор (что предполагает как раз согласие и двусторонние отношения – прим. Data Privacy Office).

2. Такой договор действителен в соответствии с применимым к нему правом (при этом EDPB уточняет, что применимое к договору право (даже если это право страны, не входящей в Европейскую экономическую зону, например, право Китая или США) значения не имеет.

3. Обработка персональных данных необходима для исполнения договора.

Остановимся подробнее на последнем критерии.

При оценке необходимости обработки для исполнения договора следует исходить из того, что обработка необходима тогда, когда без этой обработки невозможно исполнить соответствующий договор.

📌 Пример: клиент через мобильное приложение заказал пиццу с доставкой на дом, указав в системе свой домашний адрес. Может ли компания доставить пиццу на дом, если не будет знать адрес? Конечно, нет. Таким образом, обработка персональных данных в виде адреса клиента необходима для исполнения договора и может основываться на ст. 6(1)(b) GDPR. Но если клиент захочет забрать пиццу в пункте самовывоза, обрабатывать данные об адресе клиента уже не нужно: в этом случае компании необходимо искать другое правовое основание для хранения и использования адреса.

покупатель

 

При оценке того, подходит ли ст. 6(1)(b) GDPR в качестве правового основания для обработки, EDPB рекомендует ответить на следующие вопросы:

 

💬  какова природа услуг, оказываемых субъекту? 

💬  каковы их отличительные характеристики? 

💬  какова цель договора (его предмет, значимый для субъекта)?

💬  каковы существенные условия договора? 

💬  каковы ожидания сторон договора от их отношений?* 

💬  может ли обычный пользователь сервиса (то есть, клиент) разумно ожидать, что, с учетом сути оказываемых ему услуг, соответствующая обработка будет происходить для исполнения договора, который он заключил?

 

*Следует учитывать не только ожидания компании, которая, конечно, отлично знает условия договора с клиентом (даже если это Terms of Service на 20+ страниц), но и ожидания клиента субъекта данных. 

📌 Пример: субъект данных заключил с онлайн-магазином договор на покупку товаров с доставкой на дом. Со стороны клиента будет разумно ожидать, что онлайн-магазин обрабатывает его данные для сбора заказа (например, номер заказа, домашний адрес для доставки). Однако что если владелец онлайн-магазина включит в соглашение с пользователем условие о том, что необходимой частью договора купли-продажи является отправка клиенту маркетинговой рассылки для информирования о новых товарах? Ключевая услуга, предоставляемая онлайн-магазином это продажа товаров. Для того, чтобы обработать заказ клиента и доставить ему товар, вовсе не нужно направлять ему рекламные сообщения. Таким образом, обработка email клиента, а также списка его покупок для рассылки персонализированной рекламы будет явно выходить за рамки продажи товаров, а именно за ней и обращался клиент. Соответственно, обрабатывать персональные данные клиента для маркетинговой рассылки владельцу магазина придется на основе легитимного интереса или согласия, но не на основании статьи 6(1)(b) GDPR.

План действий

Итак, вы считаете, что ваша обработка персональных данных необходима для исполнения договора и может основываться на ст. 6(1)(b) GDPR. Что нужно проверить, чтобы быть в этом уверенным?

 

  1. Определите, услуги какого рода вы предоставляете. Подсказка: это как раз те услуги, за которыми к вам приходит субъект данных. Инициатива - на его стороне;
  2. Отделите те обработки, которые необходимы вам для оказания таких услуг. Необходимость следует понимать узко: данные необходимы вам тогда, когда без них вы не можете оказать услуг, предоставить товары, выдать кредит и т.д. Если вы можете сделать это и без соответствующих данных (например, после их отзыва или в ситуации, когда субъект предоставил вам ложные данные), их явно не стоит относить к “необходимым”;
  3. Для всех обработок, которые нельзя отнести к необходимым для исполнения договора, определить их собственное правовое основание. Так, например, обязанность банка проводить проверку клиента до заключения договора может быть предусмотрена применимым правом (в этом случае правовым основанием будет требование закона). 
  4. Составьте политику приватности и расскажите клиентам, как именно вы обрабатываете их персональные данные.
план
Расписание курсов загружается, подожди несколько секунд