Хранение и использование персональных данных: 3 опасных мифа

1920
Некорректное обращение с личной информацией клиента может привести компанию к солидным штрафам. Именно поэтому эксперты рекомендуют удостовериться, что в случае судебного процесса вы сможете доказать получение согласия клиента на использование его персональных данных. Три страшных мифа о личной информации клиентов – в нашей статье.
Хранение и использование персональных данных: 3 опасных мифа
Фото: Shutterstock

Елена Денисова,
руководитель коммерческой практики, CLIFF

В этой статье вы прочитаете:
  • Как хранить и использовать персональные данные, чтобы не попасть под суд
  • Как разработать локальные нормативные акты по защите персональных данных

Хранение и использование персональных данных часто является головной болью коммерсантов. Ведь каждая компания, занимающаяся онлайн-торговлей, собирает данные о своих клиентах, не задумываясь о том, что желание лучше узнать потребителя может обернуться для нее судом и штрафами. Чтобы обезопасить организацию, необходимо принять разумные меры предосторожности для защиты персональной информации.

Предприниматели зачастую считают, что на проблему использования персональных данных работника можно не обращать внимания: «Может, стоит забыть об этом, а что? Про суды не слышал… Штрафы небольшие», или «А может, мы и не собираем данные?», или «У нас же интернет в России вроде бы не урегулирован и не отслеживается». Это недальновидный подход, который означает готовность оставаться в «теневой сфере». Если вы заботитесь о себе, о репутации своей компании, проявите должную осмотрительность в данном вопросе. Итак, давайте развеем мифы и посмотрим, стоит ли так беспокоиться по этому поводу.

Миф первый. Интернет — зона, не регулируемая законами

Бизнесмены полагают, что вопросы хранения и использования персональных данных к интернету не относятся, ведь в Федеральном законе от 27.07.2006 №152‑ФЗ «О персональных данных» (далее — Закон) об этом прямо не говорится. Однако это не так. Указанный документ регулирует и интернет-торговлю, а также отношения, связанные с обработкой данных с помощью средств автоматизации (глоссарий). А значит, опасно размещать информацию о сотрудниках на корпоративном портале или о клиентах на сайте без их согласия.

При неаккуратном отношении к использованию персональных данных работников компании грозит штраф до 10 тыс. руб., ее директору — до 500 тыс. руб., а также тюремное заключение на срок до пяти лет и лишение права занимать определенные должности на тот же срок (ст. 13.11, 13.14, 19.7 КоАП; ст. 137, 140, 272 УК РФ). При этом наказание зависит от состава преступления и его тяжести.

Так, основанием для привлечения к ответственности может стать, например, жалоба клиента в Роскомнадзор. Именно этот орган занимается защитой прав субъектов персональных данных (п. 1 ст. 23 Закона и п. 1 Постановления Правительства РФ от 16.03.2009 №228). Кроме того, он уполномочен контролировать соблюдение требований Закона, блокировать или приостанавливать на неопределенный срок обработку данных.

Наконец, злоупотребление правами субъекта персональных данных может стать инструментом недобросовестной конкуренции, ведь массовые запросы и жалобы пользователей в контролирующие органы и проверки со стороны этих органов — как следствие таких жалоб — способны парализовать вашу работу. Недочетами и ошибками в ней могут воспользоваться в том числе недобросовестные конкуренты и рейдеры, «инициирующие» подобные жалобы физических лиц. Подают их с помощью электронных форм, размещенных на сайтах ведомств.

Глоссарий

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных — государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие ее цели, состав данных, подлежащих обработке, и совершаемые с ними операции.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка, которая производится с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на их раскрытие неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для их уточнения).

Уничтожение персональных данных — действия, после которых невозможно восстановить данные в информационной системе и (или) материальные носители данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Источник: ст. 3 Федерального закона №152‑ФЗ «О персональных данных»

Миф второй. Нарушать можно: штрафы незначительные

Иногда от проблемы хранения и использования персональных данных отмахиваются, потому что о судебных делах известно мало, а штрафы кажутся небольшими. На текущий момент Роскомнадзор активно реализует полномочия по судебной защите прав граждан, в том числе и неопределенного круга лиц. Еще в 2009 году в суды были направлены первые иски против интернет-сайтов, на которых были размещены без согласия на использование персональные данные работников.

Судебная практика по этим вопросам тогда отсутствовала. Только за 2014 год, по сведениям Роскомнадзора, в судебном порядке прекращена деятельность более 20 ресурсов в доменной зоне. RU, на которых были незаконно размещены персональные данные. Тогда удалось взыскать свыше 200 тыс. руб. штрафов, возбуждено 145 административных дел, по которым привлечены к ответственности 125 лиц. Все административные дела подведомственны мировым судьям, и факты привлечения к ответственности не слишком широко известны. Сейчас сумма наказания не так высока (максимум 10 тыс. руб. за каждое выявленное нарушение), но Роскомнадзор планирует повысить ее в 70 и более раз1.

За нарушение законодательства РФ о персональных данных в трудовых отношениях дополнительно предусмотрена дисциплинарная (подпункт «в» п. 6 ст. 81 ТК РФ), материальная (ст. 238 ТК РФ) и гражданско-правовая ответственность.

Миф третий. Сбор сведений — это всего лишь внимание к клиенту

Часто предприниматели считают, что не занимаются обработкой персональных данных, поскольку «просто собирают их, чтобы знать своего потребителя», или уверены в том, что интернет-сайт нельзя назвать инструментом автоматизированной обработки, а потому к ним это не относится. Однако согласно Закону оператором персональных данных является любое лицо (физическое, юридическое), которое организует и осуществляет обработку персональных данных, а также определяет цели сбора информации. Чтобы избежать проблем с хранением и использованием персональных данных и соблюсти требования Закона, нужно сделать следующее:

Определить, как, когда и в каком объеме вы получаете сведения о клиентах. Если вы не получаете никакой информации, по которой клиента можно идентифицировать (получаете только адрес электронной почты, не предлагая зарегистрироваться или оставить контактные данные, не получаете от своих покупателей никаких сведений — все происходит исключительно на условиях конфиденциальности), значит, вы не работаете с персональными данными. В остальных случаях вы подпадаете под все требования Закона.

Подумать, когда и при каких обстоятельствах потребуется получить согласие на использование его персональных данных. Оно необходимо как для осуществления торговых операций, так и для любой деятельности, направленной на продвижение товаров, работ или услуг на рынке с помощью прямого контакта с потребителем (SMS-сообщения, телефонные звонки, электронная рассылка и прочее). При этом доказать в случае споров, что согласие (в любой форме, не обязательно в письменной) было дано, обязан оператор, то есть ваша компания. Поэтому необходимо разработать правила сбора, обработки, хранения и уничтожения персональных данных, а также специальную форму согласия на эти действия (см. материал для скачивания). Однако согласие покупателя не требуется, если обработка данных осуществляется в целях исполнения договора, одной из сторон которого он является, то есть если информация используется лишь вашей компанией без передачи третьим лицам и только ради оформления сделки купли-продажи с клиентом.

Удостовериться, что получение согласия можно будет доказать. Просто разместить на сайте правила и форму согласия на использование персональных данных недостаточно, это не гарантирует защиты от претензий со стороны потребителя и контролирующих органов. Пока у вас в наличии не будет подписанного покупателем документа, из которого четко следует его согласие на обработку его персональных данных (а также виды и цели этой обработки), организация рискует быть привлеченной к ответственности. Разумеется, доказательством может выступать бумажная анкета с подписью клиента, но для интернет-торговли такой вариант непригоден.

По мнению Роскомнадзора, согласием на обработку персональных данных на сайте может являться файл электронной цифровой подписи. Кроме того, предложения оператора о продаже товара в отдельных случаях могут рассматриваться как публичная оферта. Таким образом, субъект персональных данных, соглашаясь на оферту в момент заказа или регистрации, фактически выражает свою волю и одобрение на обработку данных, предоставленных при заполнении заявки. По мнению судебных органов, на сайте желательно предусмотреть веб-метку, означающую согласие клиента с правилами и порядком обработки персональных данных (постановление ФАС СЗО от 13.12.2010 по делу №А56-73636/2009, постановление ФАС УО от 18.03.2010 по делу №Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 по делу №33-2064).

Определите, нужно ли вам уведомлять Роскомнадзор. Если вы получаете персональные данные покупателя и при этом самостоятельно реализуете договор с клиентом (например, розничной купли-продажи), не передавая никому его личную информацию, то получать статус оператора обработки персональных данных не нужно. А вот согласие клиента на их обработку необходимо. Если же вы передаете информацию о клиенте третьим лицам (в том числе с целью исполнения договора — например, курьерской службе), то вам нужно и получать согласие на обработку данных, и иметь статус оператора, а кроме того, получать отдельное согласие на передачу персональных данных третьим лицам2.

Меры предосторожности

Чтобы обезопасить себя от конфликтов с потребителями и проверяющими органами, следует разработать и утвердить локальные нормативные акты, связанные как с технической, так и с организационной защитой персональных данных.

В них должны содержаться: обязательство об использовании и хранении персональных данных только с согласия покупателя; обязательство о неразглашении персональных данных покупателей; описание технических мер, которые принимает организация для защиты персональных данных покупателей; перечень лиц, имеющих доступ к базе данных покупателей; обязательство сообщать покупателю о целях и способах использования его персональных данных и использовать их сугубо по назначению и этими способами. 

Также следует предупредить клиентов об ответственности за сообщение чужих персональных данных при регистрации или оформлении покупки (ответственность по ст. 137 УК РФ за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия).

Хранение и использование персональных данных: 3 опасных мифа

В правилах, описывающих порядок работы с персональными данными покупателей, надо указать, что это делается в целях выполнения их заказов, а продавец имеет право на использование, сбор, систематизацию, хранение, распространение, уничтожение, передачу персональных данных третьим лицам в соответствии с законодательством Российской Федерации. Такие правила всегда лучше создавать отдельно и размещать в свободном доступе.

1 http://pd.rkn.gov.ru/press-service/news3119.htm
2Образец формы уведомления об обработке персональных данных и методические рекомендации по ее заполнению размещены на официальном сайте Роскомнадзора www.rsoc.ru

 

Материалы для скачивания:  Образец формы согласия на обработку персональных данных.docx 17 КБ

Информация об авторе и компании


Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцей, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области.

CLIFF — группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат — более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции — от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт — www.cliff.ru



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа руководителя

Школа руководителя

Проверьте свои знания и приобретите новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Выбор редактора

Дайджест самых нужных статей

Шеф-редактор журнала «Коммерческий директор» Амина Атавова

Главный редактор журнала «Коммерческий директор»
Амина Атавова.

Читать сейчас

Рассылка




© 2011–2016 ООО «Актион управление и финансы»

Журнал «Коммерческий директор» –
профессиональный журнал коммерсанта

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Коммерческий директор». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.


Яндекс.Метрика
  • Мы в соцсетях
Зарегистрируйтесь на сайте и продолжите чтение! Это бесплатно и займет всего минуту!

Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте и документ Ваш! Это бесплатно и займет всего минуту!

Вы сможете бесплатно скачать документ, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль