Мероприятие отменили? Требуйте деньги назад. Или вы передумали идти? Тогда скорее к организатору, иначе останетесь ни с чем
Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.
Согласие клиентов на обработку персональных данных: как составить, чтобы не оштрафовали?
Штраф в размере 40 000 руб. придется уплатить индивидуальному предпринимателю за обработку персональных данных без письменного согласия клиента, а юрлицу – 150 000 руб.
В 2020–2021 гг. бизнес начал активно переходить в онлайн. Прогнозы на 2022 г. подтверждают, что данный тренд сохранится. При этом взаимодействие с клиентами в интернете, впрочем, как и в офлайн-среде, обычно не обходится без получения персональных данных и их обработки (например, клиенты передают их при заполнении заявок на приобретение товаров и услуг, анкет обратной связи и др.).
Как обеспечить правомерность обработки персональных данных клиентов?
Часть 2 ст. 6 Закона «О персональных данных» предусматривает закрытый перечень случаев, когда допускается обработка персональных данных физических лиц. При продаже товаров и услуг такая обработка возможна: 1) с согласия субъекта персональных данных на их обработку; 2) или если обработка персональных данных необходима для исполнения договора, стороной (выгодоприобретателем или поручителем) которого является субъект персональных данных, а также для заключения договора по его инициативе или договора, по которому он будет являться выгодоприобретателем или поручителем.
Доказать, кто выступил инициатором заключения договора, как и факт обработки персональных данных для исполнения договора, может быть затруднительно. Потому наиболее надежным способом обеспечить правомерность обработки персональных данных клиентов является получение от них согласия на это.
Отметим, что за 2021 г. сумма штрафов, взысканных за нарушение положений законодательства о персональных данных, составила 40 217 000 руб. В 2019 г. эта сумма была в 40 раз меньше – 1 099 000 руб. Размер штрафа, налагаемого на ИП за обработку персональных данных без письменного согласия субъекта данных в случаях, когда такое согласие должно быть получено согласно законодательству РФ, доходит до 40 000 руб. А для юрлиц этот штраф может составить 150 000 руб. (ч. 2 ст. 13.11 КоАП РФ). Поэтому получению согласия клиентов на обработку их персональных данных и его содержанию нужно уделять повышенное внимание.
Требования к получению согласия на обработку персональных данных
Часть 1 ст. 9 Закона «О персональных данных» предусматривает, что согласие на обработку персональных данных:
- предоставляется субъектом данных свободно, своей волей и в своем интересе;
- должно быть конкретным, информированным и сознательным;
- предоставляется в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Рассмотрим эти требования повнимательнее.
1. Необходимо волеизъявление субъекта персональных данных на их обработку. Иными словами, клиент должен подписать в бумажном виде или в форме электронного документа согласие на обработку его данных либо иным образом выразить свою волю на предоставление такого согласия (например, проставив отметку в соответствующем чекбоксе на сайте).
2. При включении согласия на обработку персональных данных в текст заключаемого с потребителем договора его воля на предоставление согласия должна быть выражена отдельно (например, путем дополнительного подписания текста согласия). Это важно, поскольку включение условия о том, что, подписывая договор, клиент предоставляет право на обработку своих данных, рассматривается судами как ущемление прав потребителя, ведь такое условие лишает клиента права выбора. Данное нарушение влечет привлечение к административной ответственности по ч. 2 ст. 14.8 КоАП РФ (Определение Верховного Суда РФ от 5 октября 2018 г. № 306-АД18-16256).
3. Согласие должно быть четко выражено. Оно не может допускать неоднозначного толкования или сомнений относительно его выражения или содержания.
4. Юрлицо или ИП должны иметь возможность в любой момент подтвердить получение от клиентов, чьи данные они обрабатывают, согласия на это. Потому при получении согласия на обработку персональных данных через Интернет необходимо проверить наличие технической возможности выгрузить документы, подтверждающие предоставление каждым клиентом согласия и его содержание.
Требования к содержанию согласия на обработку персональных данных
Часть 4 ст. 9 Закона «О персональных данных» устанавливает открытый перечень сведений, которые должно содержать согласие на обработку персональных данных. Так, в письменное согласие должны быть включены:
- Ф.И.О. и адрес субъекта персональных данных или его представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
- реквизиты документа, подтверждающего полномочия представителя субъекта данных (при получении согласия от представителя);
- наименование или Ф.И.О. и адрес оператора персональных данных (т.е. юрлица или ИП, обрабатывающего данные);
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта данных;
- наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора (если обработка будет поручена третьему лицу);
- перечень действий с персональными данными, на совершение которых дается согласие;
- общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта данных.
Разберемся, что значат эти требования.
1. Согласие на обработку персональных данных должно индивидуализировать субъекта данных или его представителя, а также оператора и лица, которому будет поручена обработка данных.
2. Согласие на обработку персональных данных должно включать в себя четкое и не допускающее неоднозначного толкования указание на: 1) персональные данные, согласие на обработку которых предоставляется; 2) цели и способы такой обработки; 3) перечень действий, которые будут совершаться с данными.
3. При определении срока действия согласия на обработку персональных данных можно указать: 1) календарную дату; 2) либо период времени, который исчисляется годами, месяцами, неделями, днями или часами; 3) либо событие, которое должно неизбежно наступить (ст. 190 ГК РФ). Срок действия согласия не рекомендуется определять моментом достижения целей обработки персональных данных или истечения срока действия договора (если договор действует до полного исполнения обязательств сторонами, а не до конкретной даты). В этих случаях срок действия согласия может быть квалифицирован как неустановленный, а значит, обработка персональных данных будет признана неправомерной.
4. Способ отзыва согласия на обработку персональных данных должен давать оператору возможность незамедлительно прекратить обработку данных клиента.
