Статья затрагивает вопросы пределов применения Закона о защите персональных данных, основаниях ответственности, субъектах, обязанностях юридических лиц – розничных торговых компаний при торговле off-line и интернет-магазинов, использующих дистанционный способ торговли on-line.
Мне часто задают вопрос о рисках, связанных с защитой персональных данных по итогам проведения клиентами «комплексного анализа информации в сети Интернет», а также о необходимости соблюдения требований Федерального закона от 27. 07.2006 г. № 152-ФЗ «О персональных данных».
Действительно, информации о «необходимости принятия мер и формирования нормативной базы для соблюдения защиты персональных данных» много. Пугает, не понятно, вызывает вопросы. Пришло время внести ясность.
Оговорюсь, что формат блога не преследует академичности изложения, присущей юридической литературе. Форма изложения нацелена на преподнесение юридической информации понятными словами для широкого круга читателей. Да не будут в упрек слова коллег о нарушении правил изложения и юридической техники.
Итак. 1 июля 2017 года, спустя 11 лет, наконец, введена ответственность за несоблюдение Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон), и у государства появился еще один механизм правового регулирования (рычаг давления – прим.).
В большей степени Закон затрагивает и вызывает опасения в сфере розничной электронной торговли, в той мере, что любой посетитель сайта, проходящий процедуру регистрации, и осуществляющий покупки попадает на первый взгляд под действие Закона. В итоге это побуждает предпринимателя, использующего дистанционную торговлю, задаться вопросами:
1) Необходимость формирования внутренней процедурно-нормативно базы. Регламенты хранения, предоставления доступа к персональным данным, соответствующие приказы.
2) Необходимость уведомления уполномоченного органа по защите прав субъектов персональных данных (http://www.consultant.ru/document/cons_doc_LAW_61801/d996966e22e1320c9de1ab82d9f6be12c3d9d765/).
3) Как получать и оформлять согласия у субъектов персональных данных.
4) Допускается ли формат получения согласия покупателя (как потребителя) при помощи интерфейса сайта в Сети Интернет выражением его воли посредством нажатия кнопки интерфейса «Оформить Заказ» и установления галочки «Даю свое согласие на обработку персональных данных» и «Согласен с правилами» и проч.
Чтобы ответить на эти вопросы необходимо ответить на другие:
- На какую сферу Закон распространяется (какие правоотношения регулирует)?
- Так ли страшен этот Закон (какие основания и меры ответственности)?
- Кто под него попадает (какие субъекты правоотношений)?
- Кто может привлекать (Кто администрирует соблюдение Закона и привлекает к ответственности)?
СОКРАЩЕНИЯ:
Федеральный закон от 27.07.2006 №152 – Закон
Защита персональных данных – ЗПД
Персональные данные — ПД
Физическое лицо – ФЛ
Юридическое лицо – ЮЛ
ВО-ПЕРВЫХ, необходимости формирования нормативной базы в том объеме как предлагает Интернет — нет. И вот почему.
Большинство переоценивают силу и сферу действия Закона, придавая ему большое значение по сравнению с реальными рисками для организации. В частности, коммерческие компании, не подпадают под действие Закона или весьма условно. Так, под операторов ПД в чистом виде, как понимает Закон, попадают кредитные организации, бюро кредитных историй, государственные органы, которые консолидируют полную информацию о физических лицах через их анкеты: ГИБДД, ЕГРЮЛ, Кадастр, СПАРК, Госуслуги и проч. Это огромный пласт ЮЛ, которые специализируются на том, что хранят данные о людях, которые подают данные самостоятельно, и их личность устанавливается с соблюдением официальных процедур.
Закон изначально на стадии проекта направлялся на ограничение оборота незаконных баз данных из тех же госорганов, которые свободно обращались, что позволяло использовать их с разными целями.
НО! Информация, которая собирается, к примеру Интернет-магазином как розничным продавцом, осуществляющим торговлю дистанционным способом – не попадает под Закон, и, следовательно, интернет-магазин не является оператором в понятии Закона, а значит субъектом предполагаемого административного правонарушения.
Так, интернет-магазин, как продавец собирает информацию от потребителей неполную, и условно правдивую, и лишь ту, которая необходима для целей розничной торговли. При этом личность покупателей не устанавливается на основании паспорта при покупке товара; потребители не заполняют анкеты с паспортными данными и проч.
Более того, покупатели зачастую заказывают товары не по своим реальным адресам, и проводят оплату не своими банковскими картами — то есть исполнение обязательств третьими лицами. И это важно! Далее я напишу подробно об этом. Следовательно, для целей продажи – идентификация личности покупателя и его данных интернет-магазину не нужна. Равно как и продавец в магазине розничной торговли не спрашивает паспорт покупателя при покупке одежды или обуви.
Приведу пример. Физическое лицо принимает условия оферты и регистрируется. Затем заказывает товар, который ему привозят. Паспорт при выдаче не проверяется. Оплата происходит наличными или оплачена заранее через сайт. Курьер уезжает. Все. Некое лицо, от имени некоего лица, оплатило товар. Вопрос – где здесь субъекты персональных данных? Их нет.
Особо следует отметить статус магазина как розничного продавца, который обязан заключить договор продажи с каждым, который к нему обратился.
ВЫВОД. Интернет-магазины (дистанционная торговля) и розничные магазины (торговля в залах) под определение оператора персональных данных не попадают. Следовательно, нет может возникнуть и состав административного правонарушения, что является необходимым для привлечения к административной ответственности.
ВО-ВТОРЫХ, Обязанности уведомлять Роскомнадзор как уполномоченный орган — нет.
Обязанности уведомлять, так как компания-продавец не является оператором ПД и вот почему.
Читаем закон. Так, в соответствии со ст. 22 Закона («Уведомление об обработке персональных данных») оператор до начала обработки персональных данных (а этот момент уже всеми все равно пропущен, так как все уже по существу обрабатывают ПД, если исходить из тезиса, что компания оператор ПД – прим.) обязан уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку, за исключением случаев, предусмотренных частью 2 статьи (ниже по тексту).
Если следовать логике закона: Любой магазин уже является лицом допустившим нарушение, так как уже обрабатывает ПД.
Статья 22 закона исчерпывающим образом дает ответы на все вопросы относительно обязанностей по уведомлению Роскомнадзора о факте обработки ПД, позволяя также выделить пределы применения закона для целей привлечения к налоговой ответственности. Привожу целиком ее пункт 2 с комментариями.
В частности, пункт 2 ст. 22 ФЗ указывает следующе. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
Комментарий: Трудовые отношения, данные сотрудников и карточки сотрудников под ФЗ о ПД не попадают.
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Комментарий: Это случай как раз договор розничной продажи. То есть магазин берет от потребителя ПД для исполнения договора (!): Номер телефона, адрес и проч.
И только если мы намерены использовать для рекламных целей электронную почту – для рассылки рекламных сообщений — или номер телефона – для рассылки смс – вы этом случае необходимо брать его согласие в оферте, что эти сведения будут использоваться для рекламных целей.
Следовательно, для оффлайна (розничной торговли в торговом зале) – эта норма вовсе не применима.
Пример. Потребитель приходит в торговый зал. Покупает. Продавец в лице его работников-продавцов даже не знают — кто эти люди. И лишь на стадии претензий потребителя – продавец (магазин) узнает — кто они, и то только в том случае, если пишут заявление о возврате товара с требованием уплаты денежных средств. Но, даже если потребитель пишет заявления о возврате товара или денег – магазин исполняет договор как продавец с точки зрения исполнения обязательств из договора.
Следовательно, магазин также не является Оператором ПД, как следует из пп. 2 п. 2 ст. 22 ФЗ о ПД. И только в on-line торговле, для рекламных целей Интернет-магазин предлагает ввести почту или телефон. И это существенное различие для определения обязанностей магазина!
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
Комментарий: Не имеет отношения к нишей ситуации.
4) сделанных субъектом персональных данных общедоступными;
Комментарий: Это сведения, которые человек сам размещает о себе в онлайн (социальные сети и проч.), действуя в своей воле самостоятельно.
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
Комментарий: ФИО – не является ПД. Как правило пользователи интернет-магазинов оставляют только имена и адреса – удобные для доставки. То есть продавец не обладает сведениями об идентичности персональные данных им самим или родственникам, друзьям и проч..
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
Комментарий: Эта норма – спасения для сотрудников охраны, чтобы не оформлять согласия об обработке персональных данных при входе.
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
Комментарий: К таким информационным системам как раз относится ЕГРЮЛ (в котором есть данные все о человеке), СПАРК, официальные ресурсы ФНС России и прочие автоматизированные системы.
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
Комментарий: Это как раз тот случай, если потребитель решил вернуть вещи в магазин и написал заявление с адресом и телефоном и даже счетом, куда перевести деньги за возвращенный товар. (Основание – Закон о ЗПП – Защите прав потребителей или Постановление Правительства о дистанционной торговле). В этом случае, на бланках заявлений необходимо внести отельную строчку: «Даю свое согласие на обработку персональных данных».
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Комментарий: Затрагивает билеты на авиа и ж/д и проч.
ВЫВОД. Таким образом, у розничного магазина, использующего как дистанционную торговлю, так и торговлю через торговые залы – обязанность уведомлять Роскомнадзор о обработке ПД – нет, так как это не установлено ст. 22 ФЗ и такое юридическое лицо не является оператором ПД.
В-ТРЕТЬИХ. Правовая природа согласия на обработку персональных данных, выраженного в электронной форме.
Дача пользователем сайта согласия на обработку ПД при регистрации или заключая договор розничной купли-продажи (т.н. «оферту» интернет-магазина), не имеет правового значения для целей Закона о ПД. Так, их согласие только тогда будет иметь последствия, когда оно будет выражено в электронно-цифровой подписи (далее — ЭЦП) или личном заявлении при приходе в магазин.
ВЫВОД. Либо клиенты потребителя должны обладать ЭЦП, выданными удостоверенными центрами, или приезжать в магазин и предъявлять паспорта и писать заявления об обработке ПД. Иного варианта — нет.
Подготовка пакета документов.
С оглядкой на закон, можно легко допустить возможные спекуляции и откровенное использование этого государственного рычаг для различных целей (по принципу — докопаться можно ко всему) и говорить о привлечении к административной ответственности.
Так, беглое знакомство в интернете с этим предметом позволяет уверенно сказать, что тема Защиты ПД раздута до необоснованных размеров. К примеру, для целей соблюдения Закона предлагают такой необходимый краткий список (!) локальных нормативных актов, которые могут, якобы, обезопасить организации, которые обрабатывают персональные данные. Я понимаю, что это «тренд» на котором зарабатывают, создавая шумиху, и предлагая за 50-70 руб. пакет макулатуры из 20-25 бессодержательных документов, наименование которых вызовет паралич у любого юриста – специалиста по инструкциям. И еще журналы, и описи, реестры и проч. доставят много радости.
Вот самые «веселые» документы (Комментарии в скобках мои – прим.).
- Акт определения уровня защищенности данных. (Как определять уровни защищенности, каких данных и проч. – не ясно)
- Акт оценки потенциального вреда субъектам ПД (ГК РФ – читать не перечитать)
- Инструкция по антивирусной защите (Это работа для ребят в IT – поразмять умы)
- Инструкция по порядку уничтожения и обезличивания ПД (Туда же)
- Инструкция по проведения внутреннего контроля (Кого на кем? И что контролировать?!)
- Инструкция по проведению инструктажа (Стоять прямо, слушать усердно!)
- Инструкция по рассмотрению запросов субъектов ПД (Все ясно)
Пребываю в убежденности, что можно ограничиться Приказом (регламентом), в котором кратко изложить кто, за что и как отвечает и примерный перечень полномочий. Это избавит как от ненужного труда, так и от административной ответственности, в том случае если придут. И если вообще дойдут по этому основанию в ближайшие пару-тройку лет…
Особо заострю внимание читателя, претерпевшего тяготы чтения до конца, на следующем. Невзирая на «страшные риски», которыми кишит юридический Интернет, для любой организации порядок привлечения к административной ответственности один и представляет собой упорядоченную процессуальную процедуру, которая требует правильного закрепления. В любом случае государственной орган обязан обеспечить процесс набором обязательных действий: прийти, выявить, составить протокол, правильно его написать, и вынеси решение, которое и будет ненормативным актом для любого лица, физического или юридического, и станет законом после вступления его в силу.
Следовательно, до той поры пока привлекут – еще нужно много потрудиться госоргану.
Некоторые процессы государство администрировать просто не в состоянии – ни по объемам, ни по структуре государственного органа. Проще говоря, у Роскомнадзора нет столько сил, чтобы обеспечить административный процесс.
ВЫВОДЫ
- Подводя итоги, можно подчеркнуть следующее:
Большинство юридических лиц не является операторами ПД в точки зрения ФЗ, и его действие на них не распространяется; - Уведомлять Роскомнадзор – не требуется по правилам ст. 22 ФЗ о ПД.
- Невнятный шаг, опаснее неведения. Уведомление без обязанности – пригласительная карточка на перспективу.
- В целях безопасности можно ограничиться изданием приказа, в котором кратко изложить, полномочия по соблюдению ФЗ о ПД (Just in case) и это снимет вопрос в случае прихода госоргана;
- Вероятность привлечения к административной ответственности мала, особенно по сравнению с иными рисками, которые имеют гораздо большее значение.