1. Передача данных платежному агенту в целях взыскания задолженности без отдельного согласия признана правомерной, если это прямо предусмотрено законом (Решение Раменского городского суда Московской области от 10.02.2025 г. по делу № 2-10577/2024 (УИД: 50RS0039-01-2024-017194-36))
Фабула дела:
Истец оспаривал обработку своих персональных данных региональным оператором по обращению с твердыми коммунальными отходами (Оператор ТКО) и единым информационно-расчетным центром (ЕИРЦ). Ответчики использовали его данные для начисления платы за коммунальную услугу, формирования единого платежного документа, а также для обращения в суд с иском о взыскании задолженности. Согласие на обработку и передачу данных истец не давал, полагая, что такие действия нарушают его права как субъекта персональных данных. Истец требовал признать действия обоих ответчиков незаконными, запретить дальнейшую передачу данных третьим лицам, обязать ЕИРЦ уничтожить его данные и взыскать компенсацию морального вреда в общем размере 450 000 рублей.
Позиция суда:
Суд отказал в иске, сославшись на ч. 16 ст. 155 ЖК РФ, которая прямо исключает необходимость согласия при передаче персональных данных для взимания коммунальных платежей. Передача данных от Оператора ТКО в ЕИРЦ и последующее обращение в суд за взысканием задолженности были квалифицированы не как незаконное распространение, а как правомерный механизм взыскания, разрешенный законом.
Кроме того, истец не доказал факт реального нарушения своих прав: представленный им платежный документ был оформлен на другое лицо, а само по себе обращение в суд с иском о взыскании долга, содержащим персональные данные, не является нарушением – оно охватывается правом кредитора на судебную защиту. При наличии прямого законного основания обработка персональных данных без согласия признана правомерной.
Комментарий Lidings:
Для ритейла и FMCG это решение закрепляет важное правило: передача персональных данных платежным агентам, коллекторам и BNPL-сервисам для взимания платы и взыскания задолженности правомерна без отдельного согласия, если она прямо предусмотрена законом или договором. DPO должен обеспечить четкое разграничение целей обработки в информационных системах – выделить расчетно-долговой контур из маркетингового, а служба информационной безопасности обязана организовать защищенные каналы передачи данных партнерам с логированием доступа и контролем объема раскрываемых сведений. В договоры с потребителями и платежными агентами следует включать положения, разрешающие такую передачу без дополнительного согласия, а при поступлении претензий – оперативно ссылаться на правовое основание, что снижает репутационные и процессуальные риски.
2. Иск к маркетплейсу о передаче персональных данных покупателей не может быть признан надлежащим способом защиты (Решение Арбитражного суда г. Москвы от 24.03.2025 по делу № А40-144888/2024)
Фабула дела:
Продавец заключил с маркетплейсом договор на оказание услуг. Товары, заказанные покупателями, были доставлены в пункты выдачи, однако покупатели за ними не явились, от получения товаров отказались. Маркетплейс вернул покупателям денежные средства, но не удержал с них расходы на доставку и возврат товаров. Ранее суд уже отказал продавцу в иске о возмещении этих расходов с самого маркетплейса, указав, что надлежащими ответчиками являются непосредственно покупатели. Для предъявления исков к покупателям продавцу потребовались их персональные данные (ФИО, адрес регистрации, паспортные данные или ИНН, дата и место рождения). Продавец обратился в суд с отдельным иском, в котором просил обязать маркетплейс предоставить эти данные, а также взыскать судебную неустойку за каждый день просрочки исполнения решения.
Позиция суда:
Суд отказал в иске, указав, что доказательств согласия покупателей на передачу их персональных данных продавцу для предъявления имущественных требований не представлено. Оформление заказа на маркетплейсе само по себе такого согласия не образует, а Федеральный Закон от 27.07.2006 № 152-ФЗ «О персональных данных» запрещает оператору раскрывать данные третьим лицам без согласия субъекта, если иное не предусмотрено законом.
Кроме того, избранный истцом способ защиты – самостоятельный иск об обязательстве предоставить персональные данные – не предусмотрен статьей 12 ГК РФ. Продавец вправе при подаче иска к конкретному покупателю заявить ходатайство об истребовании доказательств в порядке ст. 66 АПК РФ, если докажет невозможность их самостоятельного получения. Суд также учел, что ранее в деле № А40-26451/2024 уже было установлено: удержание стоимости доставки с покупателя – право, а не обязанность маркетплейса, и попытка переложить на него решение этой проблемы через иск о предоставлении данных признана ненадлежащим способом защиты.
Комментарий Lidings:
Решение подтверждает: маркетплейсы не обязаны раскрывать персональные данные покупателей без их явного согласия, а самостоятельный иск о предоставлении таких данных не является надлежащим способом защиты. DPO на этапе заключения договора с e-commerce платформой должен проработать механизмы компенсации логистических расходов, не требующие доступа к персональным данным конечных покупателей, а служба информационной безопасности – внедрить процедуру минимально необходимого раскрытия данных при поступлении обоснованных запросов и обеспечить контроль за их легитимностью. Если данные всё же необходимы для судебного разбирательства, правильным инструментом остается ходатайство об истребовании доказательств. Одновременно в собственных программах лояльности и на онлайн-витринах стоит предусмотреть получение согласия покупателя на передачу его персональных данных для целей урегулирования споров.
3. Отзыв согласия на обработку персональных данных не прекращает ее, если есть действующие договоры или требования закона: решение на примере банка (Решение Алексинского городского суда Тульской области от 25.02.2025 по делу № 2-261/2025)
Фабула дела:
Гражданин потребовал от ПАО «Сбербанк» полностью прекратить обработку его персональных и биометрических данных. Банк отказал, указав на наличие открытых счетов, непогашенной задолженности по расторгнутому кредитному договору, ареста счетов судебными приставами и на обязанность хранить данные не менее 5 лет в силу Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (Закон № 115). Истец счел отказ незаконным и обратился в суд с требованиями о прекращении обработки, взыскании морального вреда и судебных расходов.
Позиция суда:
Суд отказал в иске полностью, признав, что у банка имелись самостоятельные законные основания для продолжения обработки. Обработка данных без согласия допускается, если она необходима для исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»), а наличие действующих счетов и кредитной задолженности давало банку такое основание. Кроме того, Закон № 115 императивно предписывает хранить документы, полученные при идентификации клиента, не менее пяти лет после прекращения отношений, что также служит законным основанием для обработки вне зависимости от согласия клиента. Отзыв согласия в такой ситуации не влечет обязанности прекратить обработку.
Комментарий Lidings:
Данное решение подтверждает: отзыв согласия не прекращает обработку персональных данных, если она нужна для исполнения договора (учет заказов, начисление бонусов, обработка возвратов) или прямо предписана законом (бухгалтерский, налоговый учет, хранение). DPO должен выстроить такую систему классификации оснований обработки, при которой маркетинговая обработка на основании согласия немедленно прекращается, а обработка на основании договора или закона продолжается, с обязательным уведомлением субъекта о правовых основаниях и сроках. Служба информационной безопасности со своей стороны обеспечивает техническую сегрегацию данных, предотвращает преждевременное удаление информации, подлежащей обязательному хранению, и контролирует журналы, чтобы исключить инциденты, связанные с уничтожением чувствительных данных.
4. Публикация персональных данных на сайте без согласия субъекта признана незаконной: суд удовлетворил иск Роскомнадзора к администратору домена (Решение Октябрьского районного суда г. Тамбова № 2-2713/2025 2-2713/2025~М-1844/2025 М-1844/2025 от 17.08.2025 г. по делу № 2-2713/2025)
Фабула дела:
Управление Роскомнадзора по Тамбовской области по обращению заявителя выявило, что на интернет-странице без согласия субъекта персональных данных размещена информация, относящаяся к его персональным данным (в частности, сведения о субъекте как об архитекторе). Администратором доменного имени являлся ответчик, который по запросу ведомства не удалил спорную информацию. Роскомнадзор обратился в суд с иском о признании деятельности интернет-страницы в части распространения персональных данных незаконной и о признании распространяемой информации обрабатываемой с нарушением закона.
Позиция суда:
Суд удовлетворил исковые требования в полном объеме, признав деятельность интернет-страницы незаконной в части распространения персональных данных заявителя. Суд исходил из того, что согласие субъекта на обработку персональных данных является обязательным в силу п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а доказательств такого согласия ответчик не представил. Установленный факт бездействия после получения требования Роскомнадзора об удалении данных также свидетельствовал о нарушении ст. 10.1 указанного закона, обязывающей прекратить распространение данных в течение 3 рабочих дней. Суд подчеркнул, что незаконное распространение персональных данных в Интернете посягает на конституционное право гражданина на неприкосновенность частной жизни, личную и семейную тайну.
Комментарий Lidings:
Размещение на корпоративных сайтах, в соцсетях или карточках товаров любой информации, позволяющей идентифицировать физическое лицо, без его письменного согласия незаконно, что напрямую подтверждено решением суда. Данный кейс также относится и к ритейлерам, и к FMCG-компаниям, которым стоит учесть, что DPO обязан организовать регулярный аудит всех публичных цифровых ресурсов компании на предмет подобных «архивных» упоминаний о клиентах, бывших сотрудниках или партнерах, а служба информационной безопасности – внедрить процессы оперативного удаления такой информации по требованию субъекта или Роскомнадзора и мониторинг появления подобных данных в открытых источниках. Процедура реагирования должна гарантировать удаление в течение 3 рабочих дней. Игнорирование требования создает прямые риски административной и гражданской ответственности.
5. Банк вправе обрабатывать персональные данные субъекта без его согласия в случае оформления дополнительной карты другим клиентом (Постановление 13 арбитражного апелляционного суда от 25.03.2026 № 13АП-32750/2025 по делу А56-71399/2025)
Фабула дела:
Управление Роскомнадзора по Северо-Западному Федеральному округу обратилось с заявлением о привлечении банка к ответственности за обработку им персональных данных субъекта без его согласия. Субъекту персональных данных стало известно об обработке его данных после получения текстовых сообщений банка о приглашении в семейную группу, об открытии личного кабинета на сайте банка, о получении дополнительной карты. При этом субъект отмечал, что никогда не являлся клиентом банка, карту не оформлял, согласие на обработку своих персональных данных банку не давал.
Банк подтвердил факт обработки персональных данных субъекта при оформлении дополнительной карты другим клиентом. Кроме того, в ходе телефонного разговора сотрудник банка сообщил субъекту персональных данных о выдаче данной карты на руки неизвестному гражданину.
Позиция суда:
Суд указал, что есть случаи, в которых допускается обработка без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого или выгодоприобретателем, по которому является субъект персональных данных (п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Возможность обработки банками персональных данных выгодоприобретателей без их согласия подтверждается совместным информационным письмом Центрального Банка России № ИН-06-59/57 и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 08ЛА-48666 от 29 июля 2021 г. «О согласии заемщиков на обработку их персональных данных».
Обслуживание клиентов банка осуществляется на основании договора комплексного обслуживания, в рамках которого клиентам открываются счета, карты, подключается система дистанционного банковского обслуживания. Для удобства клиентов-владельцев счетов в банке имеется возможность выпустить дополнительную банковскую карту к счету на третье лицо на основании заявления, заполненного клиентом.
Важно отметить, что карта выпускается именно к счету клиента банка, а не третьего лица. Это дает возможность клиенту самостоятельно определять, кому именно он предоставляет доступ к своим денежным средствам.
Так, клиент банка направил в банк заявление о выпуске дополнительной карты, привязанной к своему счету, на имя субъекта. Таким образом, субъект персональных данных является выгодоприобретателем. В связи с чем согласие на обработку его персональных данных не требуется.
Комментарий Lidings:
Указанная правовая позиция, а именно возможность обработки персональных данных выгодоприобретателя без его согласия, также нашла свое отражение в Определении Верховного Суда Российской Федерации от 10.06.2025 № 5-КГ25-56-К2.
Резюмируя, мы видим возможности для практического использования альтернативного правового основания, позволяющего осуществлять обработку без согласия субъекта. Применение данной нормы в текущих бизнес-процессах розничной торговли и потребительского сектора позволяет обосновать правомерность сбора персональных данных фактом исполнения договора, где клиент выступает непосредственным выгодоприобретателем. Мы рекомендуем не забывать про это основание в текущей деятельности, поскольку его внедрение может позволить снизить административную нагрузку при оформлении документов и минимизировать риски, связанные с потенциальным отзывом согласий клиентами, при условии, что цели обработки строго ограничены рамками обязательств по сделке.
6. Потенциальный работодатель не вправе запрашивать у предыдущего работодателя информацию о кандидате без его собственного согласия на это (Постановление 13 арбитражного апелляционного суда от 19.05.2026 № 13АП-9850/2026 по делу А21-13246/2025)
Фабула дела:
Управление Роскомнадзора по Калининградской области обратилось в арбитражный суд с заявлением о привлечении общества к ответственности за обработку персональных данных в случаях, не предусмотренных законодательством. Ранее кадровое агентство нашло анкету соискателя на общедоступном сайте по поиску работы. После этого сотрудники агентства без разрешения гражданина направили официальный запрос его предыдущему работодателю, чтобы подтвердить стаж. В запросе содержались персональные данные соискателя.
Позиция суда:
Сам факт размещения резюме в интернете для поиска работы не означает, что любые компании могут свободно пересылать их третьим лицам. Обязанность доказать наличие согласия гражданина на обработку всегда лежит на операторе, то есть на работодателе, направившем запрос. Суд признал агентство виновным по части 1 статьи 13.11 КоАП РФ.
Комментарий Lidings:
В сфере торговли и производства потребительских товаров происходит массовый наем линейного персонала, поэтому риски привлечения к ответственности здесь особенно высоки. Любые звонки, письменные запросы или проверки по прошлым местам работы кандидата можно делать только после того, как он подпишет письменное согласие на обработку персональных данных. Публичный доступ к анкете соискателя на сайтах вроде HeadHunter или Avito дает право только связаться с ним лично, но не отправлять запросы его предыдущим работодателям.
7. Оператор обязан соблюдать требования о локализации персональных данных граждан РФ на территории РФ (Решение Арбитражного суда г. Москвы от 21.05.2026 по делу № А40-272718/25-21-2028)
Фабула дела:
Оператор, платформа для изучения иностранных языков, осуществлял сбор персональных данных граждан РФ, в том числе посредством информационно-телекоммуникационной сети «Интернет», не обеспечив выполнение требований о локализации.
Позиция суда:
Согласно политике конфиденциальности, опубликованной на сайте Оператора, последний собирал следующие данные пользователей: имя, адрес электронной почты, номер мобильного телефона, почтовый адрес, фотографию, платёжную информацию, файлы cookie, IP-адрес. Вышеперечисленная информация относится прямо или косвенно к определенному или определяемому лицу, т.е. отвечает признакам персональных данных.
Таким образом, Оператор обрабатывает персональные данные граждан РФ, поэтому на него распространяются требования по обеспечению их локализации на территории РФ.
В ходе анализа политики конфиденциальности, а также посредством использования общедоступного сервиса было выявлено, что Оператор использует базу данных, находящуюся за пределами РФ.
РКН направил в адрес Оператора письмо о предоставлении информации (бумажная версия вернулась РКН, а электронное письмо было получено). Несмотря на получение электронного письма, Оператор проигнорировал запрос регулятора.
Суд посчитал нарушение требований о локализации со стороны Оператора доказанным и привлек его к административной ответственности по ч. 8 ст. 13.11 КоАП РФ с назначением штрафа в размере 1 000 000 рублей.
Комментарий Lidings:
Судебная практика по ч. 8 ст. 13.11 КоАП РФ носит единообразный характер, и суды практически всегда встают на сторону регулятора при выявлении нарушений требований о локализации. Обращаем внимание, что РКН выявляет такие нарушения удаленно с помощью общедоступных сервисов (whois-сервисы). Поскольку компании сфер FMCG и ритейла активно используют сайты и приложения для взаимодействия с потребителями, рекомендуем проактивно воспользоваться данными сервисами и проверить соблюдение требований о локализации, если это не было сделано ранее.