Штраф в размере 40 000 руб. придется уплатить индивидуальному предпринимателю за обработку персональных данных без письменного согласия клиента, а юрлицу – 150 000 руб.
В 2020–2021 гг. бизнес начал активно переходить в онлайн. Прогнозы на 2022 г.
подтверждают, что данный тренд сохранится. При этом взаимодействие с клиентами в интернете, впрочем, как и в офлайн-среде, обычно не обходится без получения персональных данных и их обработки (например, клиенты передают их при заполнении заявок на приобретение товаров и услуг, анкет обратной связи и др.).
Как обеспечить правомерность обработки персональных данных клиентов?
Часть 2 ст. 6 Закона «О персональных данных» предусматривает закрытый перечень случаев, когда допускается обработка персональных данных физических лиц. При продаже товаров и услуг такая обработка возможна: 1) с согласия субъекта персональных данных на их обработку; 2) или если обработка персональных данных необходима для исполнения договора, стороной (выгодоприобретателем или поручителем) которого является субъект персональных данных, а также для заключения договора по его инициативе или договора, по которому он будет являться выгодоприобретателем или поручителем.
Доказать, кто выступил инициатором заключения договора, как и факт обработки персональных данных для исполнения договора, может быть затруднительно. Потому наиболее надежным способом обеспечить правомерность обработки персональных данных клиентов является получение от них согласия на это.
Отметим, что за 2021 г. сумма штрафов, взысканных за нарушение положений законодательства о персональных данных, составила 40 217 000 руб. В 2019 г.
эта сумма была в 40 раз меньше – 1 099 000 руб. Размер штрафа, налагаемого на ИП за обработку персональных данных без письменного согласия субъекта данных в случаях, когда такое согласие должно быть получено согласно законодательству РФ, доходит до 40 000 руб. А для юрлиц этот штраф может составить 150 000 руб.
(ч. 2 ст. 13.11 КоАП РФ).
Поэтому получению согласия клиентов на обработку их персональных данных и его содержанию нужно уделять повышенное внимание.
Требования к получению согласия на обработку персональных данных
Часть 1 ст. 9 Закона «О персональных данных» предусматривает, что согласие на обработку персональных данных:
- предоставляется субъектом данных свободно, своей волей и в своем интересе;
- должно быть конкретным, информированным и сознательным;
- предоставляется в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Рассмотрим эти требования повнимательнее.
1. Необходимо волеизъявление субъекта персональных данных на их обработку. Иными словами, клиент должен подписать в бумажном виде или в форме электронного документа согласие на обработку его данных либо иным образом выразить свою волю на предоставление такого согласия (например, проставив отметку в соответствующем чекбоксе на сайте).
2. При включении согласия на обработку персональных данных в текст заключаемого с потребителем договора его воля на предоставление согласия должна быть выражена отдельно (например, путем дополнительного подписания текста согласия). Это важно, поскольку включение условия о том, что, подписывая договор, клиент предоставляет право на обработку своих данных, рассматривается судами как ущемление прав потребителя, ведь такое условие лишает клиента права выбора.
Данное нарушение влечет привлечение к административной ответственности по ч. 2 ст. 14.8 КоАП РФ (Определение Верховного Суда РФ от 5 октября 2018 г.
№ 306-АД18-16256).
3. Согласие должно быть четко выражено. Оно не может допускать неоднозначного толкования или сомнений относительно его выражения или содержания.
4. Юрлицо или ИП должны иметь возможность в любой момент подтвердить получение от клиентов, чьи данные они обрабатывают, согласия на это. Потому при получении согласия на обработку персональных данных через Интернет необходимо проверить наличие технической возможности выгрузить документы, подтверждающие предоставление каждым клиентом согласия и его содержание.
Изменения в обработке персональных данных с 1 сентября 2022 года
С 1 сентября 2022 г. вступает в силу Федеральный закон № 266-ФЗ от 14 июля 2022 г. Он вносит множество важных изменений в порядок работы с персональными данными, который установлен Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ (далее — Закон № 152-ФЗ или Закон о персональных данных), и касается, в том числе, усиления защищенности персональных данных граждан.
В каких случаях нужно уведомить Роскомнадзор
ФИО, адрес, телефон, паспортные данные и другие сведения о физическом лице — эта информация относится к персональным данным. А организации и ИП, которым сообщают такие данные — операторы персональных данных, которые эти данные обрабатывают. Поэтому любая компания, имеющая такие данные о своих работниках, клиентах или покупателях является оператором персональных данных.
Организация или ИП вправе осуществлять обработку персональных данных физического лица с его письменного согласия либо без согласия в установленных законом случаях. Исчерпывающий перечень таких случаев содержится в п.2—11 ч.1 ст.6 Закона о персональных данных.
При этом, до начала обработки персональных данных организация обязана сообщить об этом в Роскомнадзор, за исключением установленных законом случаев. С 1 сентября исключений почти не останется (ст.22 Закона № 152 ФЗ).
Сообщать об обработке персональных данных будет необходимо даже в том случае, если организация или ИП становится обладателем информации только о фамилии, имени и отчестве физического лица. Например, при оформлении дисконтных карт клиентов. Кроме того, если раньше не требовалось подавать уведомление, когда персональные данные собирались для однократного пропуска на ее территорию, то с 1 сентября это нужно будет делать.
С 1 сентября возникает обязанность уведомлять Роскомнадзор, если организация или ИП будет заключать «обычные» договоры с физическими лицами, даже если их персональные данные не распространяются и не предоставляются третьим лицам. Например, сообщить в Роскомнадзор нужно будет интернет-магазину или организации, оказывающей услуги, в случае, когда они заключают договор с физическим лицом, и в договоре содержатся персональные данные (Ф.И.О., адрес и другие персональные данные, необходимые для оформления заказа).
Но самый распространенный повод для уведомления — обработка персональных данных работников. Т.е. ВСЕМ работодателям необходимо сообщить в Роскомнадзор об обработке персональных данных работников.
В новой редакции Закона № 152-ФЗ предусмотрено всего три ситуации, когда обрабатывать данные можно без уведомления Роскомнадзора:
- Работа государственных информационных систем по охране безопасности и общественного порядка.
- Обработка персональных данных без каких-либо средств автоматизации.
- Обработка персональных данных в случаях, предусмотренных законодательством о транспортной безопасности.
Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.
Обратите внимание! Действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:
- на основании договора или соглашения, стороной которого является гражданин России;
- или на основании согласия такого гражданина на обработку его персональных данных.
Таким образом, по новым правилам иностранная организация или иностранный гражданин, даже если они зарегистрированы и осуществляют свою деятельность на территории иностранного государства, обязаны соблюдать все требования Закона № 152-ФЗ (вкл. получение согласия субъекта персональных данных, уведомление Роскомнадзора и т.п.), если они обрабатывают персональные данные российских граждан.