Новый порядок сбора контактов «теплых» клиентов на сайте в ЕС и Беларуси

Сергей Чеславович Белявский,
директор юридической фирмы ООО «Экономические споры»,
медиатор, председатель третейского суда «Экономические споры

Лаура Витальевна Юодайтис,
юрист

Современный интернет-маркетинг одной из целей ставит получение контактов «теплых» клиентов. Для этого повсеместно используются формы обратной связи, опросники, калькуляторы, квизы — короткие онлайн-опросы и т.д. В результате пользователь сам оставляет свои персональные данные, которые потом используют продавцы, чтобы направлять предложения.

Персональные данные — это любая информация, позволяющая идентифицировать физическое лицо. Объем таких данных в последнее время вырос, возникают новые механизмы мошенничества и необходимость обезопасить лицо от посягательств на его персональные данные. В связи с указанным возникает необходимость законодательно урегулировать порядок защиты таких данных. С 15 ноября 2021 года на территории Беларуси вступил в силу Закон о защите персональных данных — первый, специально посвященный защите персональных данных в стране.

За рубежом вопросы защиты персональных данных уже давно оформлены. Так, в ЕС еще в 2016 году был разработан и 25 мая 2018 года вступил в законную силу Регламент о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Общие правила защиты данных) (далее — GDPR). Хотя данный правовой акт приняли органы ЕС, любая организация подпадает под его действие, если:

— официальный сайт организации позволяет получить обратную связь, а также техническую поддержку на одном из государственных языков стран ЕС;

— размещает рекламу, направленную на жителей ЕС;

— мониторит действия физических лиц, которые находятся на территории ЕС;

— прямо указывает, что нацелена на продвижение своей продукции на территории ЕС.

Многие положения GDPR актуальны и для белорусских пользователей, что подтверждают нормы белорусского законодательства в области защиты персональных данных. Обработка таких данных должна быть законной, справедливой и прозрачной для субъекта; данные должны обрабатываться для понятных субъекту законных целей; должно собираться и обрабатываться лишь необходимое для указанных целей количество данных; должна поддерживаться точность личных данных и при необходимости предусматриваться возможность их изменения; личные данные могут храниться лишь необходимый промежуток времени.

Обработка должна обеспечить безопасность, целостность и конфиденциальность данных, защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения. При этом следует использовать соответствующие технические или организационные меры (например, шифрование). Немаловажный фактор — соблюдение принципа ответственности через назначение инспектора по защите данных (Data protection officer), если обработку проводит госорган, осуществляется регулярный мониторинг данных, обрабатываются их специальные категории в крупных масштабах.

Кроме того, необходимо вести подробную документацию с информацией о собираемых данных, их использовании, месте хранения и ответственных за это. Нужно определить законные основания для обработки данных, оценить риски и принять технические и организационные меры по их снижению.

Чтобы реализовать все поставленные цели по сбору данных через сайт на территории ЕС, белорусской организации необходимо подготовить минимальный пакет документов, в числе которых:

1) уведомление об обработке персональных данных (Privacy Notice) с информацией о порядке использования персональных данных пользователя: их объеме, порядке сбора, использования и периоде хранения, а также при необходимости о возможности передачи третьим сторонам;

2) политика обработки персональных данных (Privacy Policy);

3) согласие на обработку персональных данных (Consent to the processing of personal data);

4) политика защиты персональных данных (Personal data protection policy);

5) соглашение, заключаемое между оператором персональных данных (controller) и их обработчиком (processor) (Data Processing Agreement) (составляется в случае необходимости);

6) политика обработки cookie-файлов (Сookie Policy).

При этом существует возможность создать один консолидированный документ -политику обработки персональных данных (Privacy Policy), который будет включать и уведомление об обработке персональных данных, и политику обработки cookie-файлов. Сookie-файлы тоже представляют собой персональные данные, которые позволяют определить их субъекта. Конкретный пользователь по его паспортным данным и месту жительства не определяется, лишь используется информация о его активности на сайте для возможного контакта по email.

Согласие на обработку персональных данных — одно из законных оснований для их обработки согласно GDPR. Требуется, если пользователь подписывается на предлагаемую компанией email-рассылку. Строгой формы согласия не существует. Общее требование — оно должно быть понятным и содержать цели сбора данных, порядок их обработки. Причем согласие на обработку персональных данных должно предусматривать возможность его отзыва, предусмотренную политикой обработки.

Белорусский Закон о защите персональных данных направлен на обеспечение их защиты, а также защиты прав и свобод физических лиц при обработке данных. Этот НПА во многом схож с GDPR. Например, сохраняет подход к определению персональных данных как любой информации, с помощью которой можно идентифицировать физическое лицо. Однако существуют и отличия.

В частности, Закон о защите персональных данных предусматривает порядок их трансграничной передачи. Она запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. В то же время GDPR позволяет передавать собранные сведения в третьи страны, даже когда эти страны не обеспечивают надлежащего уровня защиты, если субъект данных дал согласие на их передачу. Достаточно лишь подписать специальное соглашение и стандартные условия о передаче персональных данных.

Еще одно отличие — Закон о защите персональных данных не содержит требований к программному обеспечению для защиты пользователей и достаточно поверхностно регулирует технические способы защиты персональных данных.

Если компания обрабатывает данные пользователей (собирает их телефоны, email для обратной связи), назначается ответственный за защиту персональных данных. GDPR требует назначать ответственного, только если основная деятельность компании требует масштабного, регулярного и систематического мониторинга данных. Согласно Закону о защите персональных данных ответственный назначается в любом случае.

По смыслу Закона о защите персональных данных любой субъект, который самостоятельно или совместно с кем-либо осуществляет обработку данных, является оператором. Им может стать любое лицо, которое обрабатывает персональные данные в связи с профессиональной или предпринимательской деятельностью. При этом не важно, как они обрабатываются: с помощью автоматизированных средств или без них (например, картотеки, списки и т.д.).

Оператору всегда необходимо согласие субъектов на обработку их персональных данных. По GDPR при определенных условиях согласие можно не получать, а ссылаться на законный (легитимный) интерес. Согласие на обработку данных можно дать как в письменной форме, так и с помощью CMC с кодом, email, а также путем проставления отметки на сайте. Доказать получение согласия субъекта персональных данных обязан оператор, поэтому рекомендуется хранить их. Оператор также должен обеспечить неограниченный доступ, в том числе с использованием интернета, к документам, определяющим его политику в отношении обработки персональных данных, до начала обработки. Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. При появлении новых целей потребуется новое согласие.

Субъект персональных данных, давая согласия на их обработку, указывает свои фамилию, имя, отчество (если есть), дату рождения, идентификационный номер или номер документа, удостоверяющего личность. Но если исходя из целей обработка такая информация не нужна, оператор ее не обрабатывает. Пользователь может в любой момент отозвать свое согласие на использование данных, и оператор обязан в 15-дневный срок прекратить их сбор, удалить данные и уведомить об этом пользователя.

Белорусский законодатель скорректировал нормы КоАП об ответственности за нарушения в сфере персональных данных. Раньше ответственность нес только узкий круг физических лиц, которым коммерческая или иная охраняемая законом тайна либо персональные данные были известны в связи с профессиональной или служебной деятельностью. С 1 марта 2021 года незаконные сбор, обработка, хранение или предоставление данных физического лица либо нарушение его прав, связанных с обработкой данных, повлекут штраф в размере до 50 базовых величин (ч. 1 ст. 23.7 КоАП). Если такие деяния совершит лицо, которому персональные данные известны в связи с профессиональной деятельностью, размер штрафа может увеличиться до 100 базовых величин (ч. 2 ст. 23.7 КоАП). Рассматривается вопрос ужесточения уголовной ответственности за незаконное раскрытие персональных данных.

Таким образом, Закон о защите персональных данных отличается от GDPR, хотя и перенял во многом европейский опыт. Например, оба этих акта отмечают, что обработка персональных данных оператором или уполномоченным лицом невозможна без согласия субъекта данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям, а при появлении новых целей необходимо новое согласие. Его можно дать как в письменной форме, так и с помощью CMC с кодом, email либо проставления отметки на сайте.