Многие компании, ИП, продающие какие-то товары и услуги, собирают на своих сайтах персональные данные потенциальных клиентов (в том числе, в форме обратной связи просят заполнить графы с указанием имени, телефона, электронной почты)
Зачастую собираются только имя и телефон, или имя и адрес электронной почты пользователя. При этом «сборщики данных», полагают, что так как они собирают «не полные данные» (не просят указывать фамилию и отчество пользователя клиента), то и соблюдать закон о персональных данных они не должны. Не должны брать согласие на обработку в установленном законом порядке, публиковать политику по обработке ПД и пр.
В связи с этим, мною (юристом Шаталиной Л.С.) был направлен запрос в Роскомнадзор за разъяснениями, являются ли имя и телефон, имя и электронная почта, собираемые на сайтах, персональными данными, при обработке которых требуется соблюдение ФЗ о ПД.
На запрос был получен ответ от 06.10.22 г. о том, что эти данные являются персональными данными, при обработке которых требуется соблюдение законодательства о ПД, а именно (цитирую):
«Считаем возможным пояснить, что в соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Согласно Правилам оказания услуг телефонной связи, утвержденным Постановлением Правительства РФ от 09.12.2014 № 1342, абонентский номер — телефонный номер, однозначно определяющий (идентифицирующий) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленным в ней (в нем) идентификационным модулем.
Номер телефона будет признаваться персональными данными при условии наличия дополнительной информации, позволяющей отнести его к конкретному физическому лицу.
Таким образом, имя и номер телефона будут признаваться персональными данными.
Адрес электронной почты, зарегистрированный физическим лицом, признается персональными данными этого физического лица.
Кроме того, в соответствии с ч. 2 ст. 18.1 Закона, оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, размещены по адресу https://rkn.gov.ru/personal-data/p908/.
В связи с вышеизложенным, Вы, как оператор, осуществляющий сбор персональных данных субъектов для определенных целей в сети Интернет, обязаны получить согласие пользователя в любой позволяющей подтвердить данный факт форме (например, проставление галочки в специальном чек-боксе, что пользователь дает согласие на обработку его персональных данных) и опубликовать на своем интернет-сайте документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием своего интернет-сайта.
В соответствии с ч. 1 ст. 22 Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Обращаем внимание, что в связи с принятием Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», с 01.09.2022 редакция ч. 2 ст. 22 Закона изменяется, а именно сокращается перечень оснований допускающих проведение обработки оператором персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Таким образом, в случае осуществления Вашей организацией деятельности по обработке персональных данных, не подпадающей под исключения ч. 2 ст. 22 Закона, полагаем, организации надлежит направить уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее – Уведомление) в территориальное управление Роскомнадзора по месту нахождения юридического лица/индивидуального предпринимателя в соответствии с учредительными документами и свидетельством о постановке юридического лица/индивидуального предпринимателя на учет в налоговом органе.
Для внесения сведений об операторе в Реестр операторов, осуществляющих обработку персональных данных, оператору необходимо направить в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица/индивидуального предпринимателя Уведомление по форме, установленной в соответствии с приложением № 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения, утвержденных приказом Роскомнадзора от 30.05.2017 № 94, в виде документа на бумажном носителе или в форме электронного документа».
Таким образом, при вышеуказанном сборе персональных данных через сайты продавцов рекомендую:
- разместить на сайтах актуальную форму согласия на обработку ПД (согласие на рекламную рассылку следует разместить отдельно с возможностью отказа от рассылки). У многих размещены старые формы без учета изменений с 01.09.22 г.;
- разместить политику по обработке ПД (в соответствии с требованиями ФЗ о ПД) с доступом к ней всех заинтересованных лиц). У многих размещены неактуальные на 01.09.22 г. политики, называющиеся политикой о конфиденциальности, включающие положения и о рассылке рекламы;
- разместить сведения о реализуемых требованиях к защите персональных данных (в соответствии с требованиями ФЗ о ПД, в т.ч. о технических средствах защиты).В единичных случаях сейчас можно увидеть соблюдение этого требования;
- подать уведомление через сайт Роскомнадзора об обработке ПД для включения в реестр операторов по обработке ПД.
При этом в компании должен быть ответственный за обработку ПД, и приняты все необходимые локальные акты, регулирующие данный вопрос.
Об авторе. Любовь Шаталина
Авторский блог — статьи, направленные на повышение юридической грамотности предпринимателей
Руководитель Центра защиты прав предпринимателей Москвы и Московской области, Член сообщества предпринимателей Одинцовского городского округа
Телефон: +7 (915) 205 7929
e-mail: law6@yandex.ru
Перейти на личную страницу Любови Шаталиной