Суть проблемы: относится ли настройка таргетированной рекламы к обработке персональных данных, на которую требуется согласие физического лица, нужно ли такое согласие при заключении договора страхования в обеспечение исполнения обязанностей страховщика, а также при страховании нанимателем работников? Мы предложили экспертам высказать свои позиции по этим вопросам.

Своим мнением поделились:

	Кирильчик Александр, заместитель директора юридического департамента ОАО «АСБ Беларусбанк».
	Шафеев Кирилл, ассоциированный партнер ООО «Юридическая компания ЮКОН», руководитель направления «Privacy & Data Protection».

Ситуация 1

Настройка таргетированной рекламы в мобильных приложениях (системах дистанционного обслуживания) банков по полу, возрасту, геолокации, интересам. Относится ли это действие к обработке персональных данных?

Ответ лидеров мнений

Ответ Шафеева К.

Эксперт считает, что если банк имеет возможность выделить конкретного субъекта персональных данных из числа иных субъектов персональных данных на основе его/ее пола, геолокации и интересов, то такие действия будут обработкой персональных данных. В обоснование эксперт приводит общемировую практику по вопросу регулирования определения персональных данных — это критерий косвенной идентификации. Это значит, чтобы отнести ту или иную информацию к персональным данным, достаточно наличия возможности выделить конкретного индивида из группы индивидов без его/ее прямой идентификации.

Ответ Кирильчика А.

Эксперт обратил внимание на то, что ни Закон о рекламе, ни иные акты законодательства Республики Беларусь не определяют понятия «таргетированная реклама». Исходя из анализа происхождения термина «таргетированная» (от английского слова «target» — цель), его использования в иных новостях, статьях и материалах, а также принимая во внимание терминологию Закона о рекламе, можно определить таргетированную рекламу как мультимедийную рекламу, которая благодаря использованию заранее установленных критериев программного поиска определенной целевой аудитории распространяется (размещается) способами, позволяющими адресно ознакомить с ее содержанием группы физических лиц, соответствующих указанным критериям.

Эксперт указал, что большинство банков в договорах на использование систем дистанционного банковского обслуживания предусматривают условия о возможности направления клиентам рекламы (рекламных сообщений) в таких системах. Суть таргетированной рекламы заключена в ее адресности, для чего первоначально необходима обработка данных по заранее установленным критериям — с целью выборки соответствующих групп клиентов и их интересов.

К обработке персональных данных сложно отнести конечное действие по размещению (распространению) рекламы (к примеру, демонстрация графической картинки с текстом). Поэтому основной проблемой является использование персональных данных клиентов в рамках осуществления выборки и формирования определенных целевых групп.

Для подобных целей может использоваться значительный перечень информации о клиенте, которая будет относиться к его персональным данным. Закон о защите персональных данных не представляет исчерпывающего их перечня, в частности, не говорится, являются ли таковыми возраст и пол физического лица (например, если они используются обезличено не в целях его идентификации). Однако исходя из крайне широкой дефиниции соответствующего понятия, представленной в указанном нормативном правовом акте и включающей «любую информацию» о физическом лице, которое «может быть идентифицировано», представляется обоснованным относить соответствующие сведения к персональным данным. Также сам процесс обезличивания персональных данных относится к их обработке.

Эксперт делает вывод, что исходя из общераспространенных видов таргетинга (географический, социально-демографический, психографический и др.) достаточно вероятно, что часть обрабатываемых персональных данных клиентов может являться специальной. Это значит, что их обработка без отдельного согласия физического лица (как самостоятельного основания) в таких случаях невозможна. В частности, не допускается обработка специальных персональных данных без согласия субъекта персональных данных «на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором» или «когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа».

Справочно
К специальным персональным данным относятся персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Эксперт обращает внимание, что данные правила не исключают возможности предоставить согласие на обработку персональных данных в том же договоре, заключаемом с банком и регулирующим порядок доступа и использования клиентом системы дистанционного банковского обслуживания.

Однако для обработки обычных персональных данных достаточно было бы использования в качестве основания самого договора и указания в его содержании такой возможности в рамках его исполнения (например, уведомление о том, что банк в рамках исполнения договора будет анализировать статистику заказываемых услуг клиента для формирования оптимальных предложений в системе дистанционного банковского обслуживания). А для обработки специальных персональных данных необходимо соблюдение требований ст. 5 Закона о защите персональных данных, в том числе предоставление до выражения согласия (подписания договора) информации согласно п. 5 ст. 5 Закона о защите персональных данных. Подобная информация может быть представлена и в самом тексте договора, если оферту на его заключение делает банк.

Эксперт отмечает, что исходя из изложенного необходимо различать такие основания обработки персональных данных, как «договор» и непосредственно «согласие». В первом случае оператору не нужно выполнять обязанностей по представлению субъекту персональных данных информации, указанной в п. 5 ст. 5 Закона о защите персональных данных, с которой последнего необходимо ознакомить до получения согласия. В то же время, в отличие от договорного основания для обработки персональных данных, основание «согласие» является более юридически хрупким, поскольку физическое лицо может отозвать такое согласие в любой момент (п. 8 ст. 5, п. 1 ст. 10 Закона о защите персональных данных). Поэтому эксперт рекомендует в заключаемом договоре не указывать о предоставлении согласия на обработку персональных данных, когда обработка персональных данных будет осуществляться для совершения действий, установленных данным договором. При этом эксперт считает допустимым указывать в договоре, что контрагент имеет соответствующее право и/или уведомляет субъекта персональных данных о том, что его персональные данные будут обрабатываться в рамках исполнения соответствующего договора (с детализацией способов такой обработки). Повторно эксперт обращает внимание, что к специальным персональным данным такой подход не применим.

Если для целей совершения действий, установленных договором, будут обрабатываться персональные данные, не относимые к специальным, также возможно разделение оснований на «договор» и «согласие» (которое будет даваться только для обработки специальных персональных данных, либо персональных данных, обработка которых будет осуществляться не для исполнения договора). В этой ситуации физическому лицу необходимо будет подписывать два документа, а оператору (в части получения согласия на обработку специальных персональных данных) — выполнять обязанности, закрепленные в п. 5 ст. 5 Закона о защите персональных данных.

Ситуация 2

Можно ли применить положения абз. 15 ст. 6 Закона о защите персональных данных и обрабатывать персональные данные без согласия субъекта при заключении договора страхования для целей исполнения обязанностей, предусмотренных договором страхования?

Ответы на вопросы экспертов — читайте в ilex: