Право
15 марта 2021«"Галочки" на сайте недостаточно» — как собирать персональные данные клиентов, чтобы не нарваться на штраф
Сбором персональных данных клиентов в том или ином виде занимаются все компании. На что стоит обратить внимание собственникам, чтобы по незнанию не нарушить новые нормы законодательства в этой сфере, рассказали юристы компании Borovtsov & Salei Лада Майсеня и Матвей Городник.
- С 1 марта 2021 года вступил в силу новый Кодекс Республики Беларусь об административных правонарушениях. Одно из нововведений в нем - статья 23.7, предусматривающая ответственность за нарушение законодательства о защите персональных данных. Знать об этом важно, потому что сбором персональных данных клиентов так или иначе занимаются все компании - это важный элемент ведения бизнеса.
- Во-первых, персональные данные (номера мобильных телефонов и адреса электронной почты) зачастую бизнес использует для рекламирования товаров, работ и услуг
- Во-вторых, те же номера мобильных телефонов и адреса электронной почты необходимы для коммуникации с клиентами.
Что теперь относится к нарушениям
Как мы уже говорили, новая статья 23.7 кодекса предусматривает ответственность за нарушение законодательства о защите персональных данных. К таким нарушениям относят:
1. Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных. Например, это может быть сбор номеров мобильных телефонов граждан без их согласия с целью рассылки рекламы и/или какой-либо продукции по ним.
Ответственность для физических лиц - штраф до 50 базовых величин (сейчас 1450 бел. рублей - около $ 560).
2. Указанные выше действия человека, которому персональные данные стали известны в связи с его профессиональной или служебной деятельностью. Например, если сотрудник школы иностранных языков, которая совершенно законно получила адреса электронной почты своих клиентов для рассылки им информации о новых курсах, использует эту информацию в личных целях, например, передает ее другой компании.
Ответственность для физических лиц - штраф от 4 до 100 базовых величин (сейчас от 116 до 2900 бел. рублей (от $ 45 до $ 1120)).
3. Умышленное незаконное распространение персональных данных физических лиц. Ответственность для физических лиц - штраф до 200 базовых величин (сейчас 5800 бел. рублей). К примеру, публикация паспортных данных граждан в сети Интернет без их согласия.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц. Например, когда компания, использующая персональных данные граждан, не назначила должностных лиц, ответственных за обеспечение защиты указанной информации. Ответственность за такое нарушение для индивидуальных предпринимателей - от 10 до 25 базовых величин (сейчас от 290 до 725 бел. рублей (от $ 111 до $ 280)), для юридических лиц - от 20 до 50 базовых величин (сейчас от 580 до 1450 бел. рублей (от $ 223 до $ 558)).
Можно ли собирать персональные данные законно
Как осуществлять сбор, обработку, хранение, передачу и пользование персональными данными физических лиц законно?
В настоящий момент Закон Республики Беларусь «О защите персональных данных» все еще не принят. Его текущая стадия - подготовка ко второму чтению в Палате Представителей Национального собрания Республики Беларусь.
Однако по-прежнему действует Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации». В соответствии с положениями статей 18 и 32 указанного закона сбор, обработка, хранение персональных данных, а также пользование ими и их последующая передача осуществляются с письменного согласия физического лица.
Таким образом, формально на данный момент персональные данные физических лиц (в т.ч. ФИО, адреса электронной почты и номера мобильных телефонов) можно использовать (путем сбора, обработки, хранения передачи и т.д.) только после получения от них соответствующего письменного согласия. При этом не существует нормы о том, что понимается под «письменным» согласием. В идеальном варианте это специальная бумажная форма-согласие, которая подписывается вручную лицом, к которому относятся персональные данные.
В проекте Закона «О защите персональных данных» указывается возможность предоставления подобного разрешения также в виде электронного документа или в иной электронной форме (например, посредством простановки субъектом персональных данных галочки или иной отметки на интернет-ресурсе).
Однако в силу того, что Закон «О защите персональных данных» еще не принят, варианты с проставлением «галочек» на сайте до сих пор не легализованы.
В связи с этим можно сделать вывод, что при текущем правовом регулировании такой подход может считаться ненадлежащим. Это, полагаем, потенциально может привести к привлечению ответственности в соответствии со ст. 23.7 нового Кодекса Республики Беларусь об административных правонарушениях. Иными словами, представляется, что для компаний (их сотрудников), которые получают персональные данные своих клиентов исключительно с помощью своего интернет-ресурса (без письменного согласия), имеются определенные риски привлечения к ответственности по ст. 23.7 нового Кодекса Республики Беларусь об административных правонарушениях.
Таким образом, на данный момент рекомендуется запрашивать у физических лиц соответствующее согласие в письменном виде.
Как грамотно оформить согласие
Встречаются случаи, когда в силу разных причин для ряда компаний сделать это объективно невозможно (например, для бизнеса, работающего только онлайн). В таком случае рекомендуется обращать особое внимание на защиту персональных данных физических лиц и в случае возникновения конфликтов по этому поводу не игнорировать их и стремиться разрешить ситуацию как можно быстрее.
Представляется, что со вступлением в силу нового Кодекса Республики Беларусь об административных правонарушениях без принятия Закона «О защите персональных данных» ситуация для многих компаний может усложниться, поскольку будет существовать риск привлечения к административной ответственности за «умышленное незаконное» использование персональных данных. После принятия Закона «О защите персональных данных» и, как следствие, легализации варианта с проставлением «галочек» этот риск будет минимизирован.
Отдельно отметим неопределенность действующего правового регулирования относительно содержания согласия физического лица на использование его персональных данных.
На данный момент содержание подобного согласия законодательством не установлено. Однако в проекте Закона «О защите персональных данных» указывается на то, что согласие субъекта персональных данных, независимо от формы его получения, должно включать в себя:
- ФИО (наименование) и место нахождения лица, получающего согласие
- Цель (цели) сбора, обработки, распространения, предоставления персональных данных
- Перечень персональных данных
- Перечень действий с персональными данными, на совершение которых дается согласие
- Срок, на который дается согласие
- Порядок отзыва согласия.
В связи с указанным подобное содержание в согласии физического лица на использование его персональных данных рекомендуем отразить уже сейчас.
Полагаем, что сбор согласий субъектов персональных данных с учетом требований проекта Закона «О защите персональных данных» позволит работать с персональными данными независимо от того, когда будет принят и вступит в силу Закон «О защите персональных данных». Это поможет избежать повторного сбора согласий после вступления в силу указанного Закона.
С точки зрения граждан решение о предоставлении собственных персональных данных третьим лицам принимается исключительно ими и на свой риск.
Особое внимание следует обратить на перечень персональных данных, предоставляемых третьему лицу. Насторожить должны чрезмерные запросы персональных данных, когда в этом нет необходимости. Например, информация о болезнях, сведения о воинском учете, данные о трудовой деятельности и т.д.
Кроме того, следует обратить внимание и на правила компании в отношении персональных данных ее клиентов. Обычно они размещаются на сайте компании в документе под названием «Политика конфиденциальности» или «Пользовательское соглашение». В указанном документе, как правило, отражены перечень собираемых персональных данных, цели использования этих данных, длительность их хранения и права клиентов, в том числе и на отзыв своего согласия о предоставлении персональных данных.
Насторожить должны непроработанность (например, не указаны права клиента в отношении собственных персональных данных) или полное отсутствие такого документа.
Резюме
В заключение можно отметить, что возникшая ситуация с регулированием персональных данных в Беларуси уникальна. В Российской Федерации, например, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что согласие на использование персональных данных в письменной форме требуется в лишь в специальных случаях, предусмотренных федеральным законом (к примеру, письменное согласие на обработку биометрических персональных данных).
В то же время специальная административная ответственность согласно ч. 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях за обработку персональных данных без согласия в письменной форме была введена только в 2017 году, то есть значительно позже принятия Закона «О персональных данных». Иными словами, в Российской Федерации аналогичного «пробела» в правовом регулировании не было.