Защита персональных данных в интернет-торговле
В отличие от обычной розницы, которая может идентифицировать покупателя разве что по бонусным или платежным карточкам, в сфере электронной коммерции покупатель (заказчик, потребитель), принимающий предложение другой стороны о заключении электронного договора, обязан предоставить необходимую информацию о себе (ч. 2 ст. 8 Закона от 03.09.15 г. № 675-VIII «Об электронной коммерции», далее – Закон № 675). То есть любой субъект электронной коммерции в своей деятельности столкнется с обработкой персональных данных. Рассмотрим, на что следует обращать внимание при этом.
Что понимают под обработкой персональных данных
Персональные данные – это сведения или совокупность сведений о физлице, которое идентифицировано или может быть конкретно идентифицировано (абзац десятый ст. 2 Закона от 01.06.10 г. № 2297-VI «О защите персональных данных», далее – Закон № 2297).
Под обработкой таких данных следует понимать любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптация, изменение, восстановление, использование и распространение (реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем. То есть любой интернет-магазин в той или иной мере занимается обработкой персональных данных своих покупателей.
Использование персональных данных в сфере электронной коммерции может осуществляться в случае создания субъектом такой деятельности условий для защиты таких данных. Участники отношений в этой сфере обязаны обеспечить защиту персональных данных, которые стали им известны из электронных документов (сообщений) при совершении электронных сделок, в порядке, предусмотренном Законом № 2297 (ч. 1 ст. 14 Закона № 675).
Типичные нарушения
С 2014 года вопросы защиты персональных данных находятся в ведении Уполномоченного ВРУ по правам человека. Но ранее этими вопросами занималась Государственная служба по вопросам защиты персональных данных (ГСЗПД), и участникам отношений в сфере электронной коммерции будет интересно ознакомиться с решением коллегии ГСЗПД от 22.03.13 г. № 6 «Практика применения законодательства по вопросам защиты персональных данных при обработке персональных данных с использованием веб-ресурсов». Материалы заседания коллегии свидетельствуют, что работники указанной службы в результате проведенных проверок пришли к выводу о крайне низком уровне правовой культуры владельцев персональных данных, которые осуществляют их обработку с использованием веб-ресурсов украинского сегмента сети Интернет.
По данным ГСЗПД, ими игнорируются простейшие требования закона при сборе и обработке персональных данных, а использование автоматизированных средств отслеживания особенностей поведения пользователей Интернетом при посещении веб-сайтов является некорректным. В частности, по результатам проверок сайтов украинского сегмента сети Интернет коллегия ГСЗПД обратила внимание на следующие недостатки.
1. При сборе персональных данных субъект персональных данных не уведомляется о их владельце (наименование юрлица-владельца и его адрес), составе и содержании собранных персональных данных, правах такого субъекта, определенных Законом № 2297, цели сбора персональных данных и лицах, которым передаются его персональные данные.
Отметим, что такое уведомление обязательно согласно абзацу второму ч. 2 ст. 12 Закона № 2297. Вместе с тем, каждый субъект персональных данных имеет право знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении или местожительстве (пребывании) владельца или распорядителя персональных данных или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом (п. 1 ч. 2 ст. 8 Закона № 2297).
2. Содержание персональных данных, которые получали владельцы интернет-ресурсов, часто было чрезмерным по отношению к определенной цели обработки персональных данных.
Напомним, что п. 3 ст. 6 Закона № 2297 определяет, что состав и содержание персональных данных должны быть соответствующими, адекватными и нечрезмерными по отношению к определенной цели их обработки. При этом последняя должна быть сформулирована в законах, иных нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца персональных данных, и соответствовать законодательству о защите персональных данных.
Часть 2 ст. 14 Закона № 675 запрещает использование и истребование персональных данных сторонами электронной сделки с другой целью, нежели совершение такой сделки, если иное не установлено законом или соглашением сторон. Если у субъекта электронной коммерции возникает необходимость в расширении объема персональных данных, то следует получить от покупателя согласие на предоставление определенного объема таких данных.
То есть на сайте самого интернет-магазина может быть размещен определенный вид сообщения (например, окошко), в котором будет перечислена вся информация, необходимая для получения согласия на обработку данных от физлиц-клиентов. Причем абзац четвертый ст. 2 Закона № 2297 допускает, что в сфере электронной коммерции согласие субъекта персональных данных может быть предоставлено при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки, при условии что такая система не создает возможностей для обработки персональных данных до момента проставления отметки.
Согласно ч. 3 ст. 14 Закона № 675 регистрация физлица в информационной системе означает автоматическое предоставление согласия на использование и обработку персональных данных. Соответственно, дополнительно запрашивать подтверждение согласия нет необходимости.
Согласие субъекта на обработку его персональных данных должно быть добровольным и информированным (п. 2.8 Типового порядка обработки персональных данных, утвержденного приказом Уполномоченного ВРУ по правам человека от 08.01.14 г. № 1/02-14).
Под информированным согласием на обработку персональных данных следует понимать добровольное компетентное принятие лицом решения об обработке его персональных данных, основанное на получении им полной, объективной и всесторонней информации о будущей обработке таких данных (п. 2 разъяснения Уполномоченного ВРУ по правам человека от 08.01.14 г. «Разъяснения к Типовому порядку обработки персональных данных).
То есть на сайте интернет-магазина должна быть информация, например, в виде отдельного Положения о защите персональных данных, в котором перечисляется, какую информацию предоставляет покупатель, указываются цели использования продавцом такой информации, а также отдельные аспекты предоставления и передачи информации, полученной продавцом от покупателя.
Таким образом, сбор персональных данных, которые аккумулирует интернет-магазин о клиенте, можно осуществлять в диалоговом режиме, а соответственно нажатие физлицом «Ок» в открывшемся окне (сообщении об обработке данных) при заказе товара (услуги) означает согласие на обработку персональных данных. Причем для соблюдения требования об уведомлении при сборе персональных данных, о котором упоминалось выше, в таком формате необходимо продублировать Положение о защите персональных данных.
Идентификация личности с помощью электронной подписи, определенной ст. 12 Закона № 675, должна осуществляться при каждом входе в информационную систему предприятия электронной коммерции. В целях недопущения несанкционированного доступа к учетной записи лица в информационно-телекоммуникационной системе субъекта электронной коммерции для идентификации такого лица может использоваться дополнительный уникальный набор электронных данных, которые прилагаются (присоединяются) в специальный набор электронных данных, который был введен (создан) таким лицом при регистрации (ч. 4 ст. 14 Закона № 675).
3. Коллегия ГСЗПД пришла к выводу, что процедуры обработки персональных данных, которые зачастую были определены на сайтах, на самом деле не были зафиксированы в соответствующих внутренних документах таких субъектов.
«Особые» данные
Существуют так называемые персональных данные, которые представляют особый риск для прав и свобод субъектов. Перечень таких данных приведен в п. 1.2 Порядка уведомления Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных, которые представляет особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, которое организует работу, связанную с защитой персональных данных при их обработке, а также обнародовании указанной информации, утвержденного приказом Уполномоченного ВРУ по правам человека от 08.01.14 г. № 1/02-14, а именно:
- о расовом, этническом и национальном происхождении;
- о политических, религиозных и мировоззренческих убеждениях;
- о членстве в политических партиях и/или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;
- о состоянии здоровья;
- о половой жизни;
- биометрические данные – оцифрованная подпись, оцифрованное изображение лица человека, оцифрованные отпечатки пальцев рук, оцифрованный рисунок сетчатки глаза и т.д. (п. 2 Разъяснения Уполномоченного ВРУ по правам человека от 08.01.14 г.) «Разъяснение основных положений Порядка уведомления Уполномоченного по определению обработки персональных данных, которые представляют особый риск для прав и свобод субъектов персональных данных»;
- генетические данные;
- о привлечении к административной или уголовной ответственности;
- о применении в отношении лица мер в рамках досудебного расследования;
- о принятии в отношении лица мер, предусмотренных Законом от 18.02.92 г. № 2135-XII «Об оперативно-розыскной деятельности»;
- о совершении в отношении лица тех или иных видов насилия;
- о местонахождении и/или пути передвижения лица. В данную категорию не попадают информация о месте проживания, месте регистрации, служебных и других командировках и поездках.
Если субъект электронной коммерции обрабатывает перечисленные данные, необходимо уведомить Уполномоченного ВРУ в течение 30 рабочих дней с начала такой обработки (ч. 1 ст. 9 Закона № 2297).
Ответственность за нарушения
За нарушение требований о защите персональных данных предусмотрена административная и уголовная ответственность.
Административная ответственность. Наложение штрафных санкций зависит от того, является ли правонарушение разовым или длящимся, а также от того, кто применяет такие санкции (ст. 38 КУоАП). Если административное взыскание применяет суд, то за разовое нарушение оно может налагаться не позднее чем через три месяца со дня совершения правонарушения, а при длящемся правонарушении – не позднее чем через три месяца со дня его выявления.
Таблица 1. Нарушения законодательства в сфере защиты персональных данных
№ п/п |
Вид нарушения |
Кто привлекается к ответственности |
Кто составляет протокол |
Кто привлекает к ответственности |
Размер штрафа |
Норма КУоАП |
1 |
Неуведомление или несвоевременное уведомление Уполномоченного ВРУ по правам человека об обработке персональных данных или об изменении сведений, подлежащих уведомлению согласно закону, уведомление неполных или недостоверных сведений |
Граждане |
Уполномоченные лица секретариата Уполномоченного ВРУ по правам человека или представители ВРУ по правам человека (п. 81 ч. 1 ст. 255 KУоАП) |
Судьи районных, районных в городе, городских или городских районных судов (ст. 221 KУоАП) |
От 100 до 200 НМДГ |
Ч. 1 ст. 18839 |
Должностные лица, граждане-СПД |
От 200 до 400 НМДГ |
|||||
2 |
Невыполнение законных требований (предписаний) Уполномоченного ВРУ по правам человека или определенных им должностных лиц секретариата Уполномоченного ВРУ по правам человека по предотвращению или устранению нарушений законодательства о защите персональных данных |
Граждане |
Судьи районных, районных в городе, городских или городских районных судов (ст. 221 КУоАП) |
От 200 до 300 НМДГ |
Ч. 2 ст. 18839 |
|
Должностные лица, граждане-СПД |
От 300 до 1000 НМДГ |
|||||
3 |
Повторное в течение года совершение нарушения из числа предусмотренных п. 1 или 2 настоящей таблицы, за которое лицо уже подвергалось административному взысканию |
Граждане |
Судьи районных, районных в городе, городских или городских районных судов (ст. 221 КУоАП) |
От 300 до 500 НМДГ |
Ч. 3 ст. 18839 |
|
Должностные лица, граждане-СПД |
От 500 до 2 000 НМДГ |
|||||
4 |
Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных |
Граждане |
Судьи районных, районных в городе, городских или городских районных судов (ст. 221 КУоАП) |
От 100 до 500 НМДГ |
Ч. 4 ст. 18839 |
|
Должностные лица, граждане-СПД |
От 300 до 1 000 НМДГ |
|||||
5 |
Повторное в течение года совершение нарушения, предусмотренного п. 4 настоящей таблицы, за которое лицо уже подвергалось административному взысканию |
Граждане, должностные лица, граждане-СПД |
Судьи районных, районных в городе, городских или городских районных судов (ст.221 КУоАП) |
От 1 000 до 2 000 НМДГ |
Ч. 5 ст. 18839 |
|
6 |
Невыполнение законных требований Уполномоченного ВРУ по правам человека или представителей Уполномоченного ВРУ по правам человека |
Должностные лица, граждане-СПД |
Судьи районных, районных в городе, городских или городских районных судов (ст. 221 КУоАП) |
От 100 до 200 НМДГ |
Ст.18840 |
Уголовная ответственность. Нормами Уголовного кодекса (далее – УК) предусмотрены определенные меры государственного воздействия, применяемые к лицу, признанному виновным в совершении преступлений, и, в частности, за нарушение неприкосновенности частной жизни. Уголовное производство осуществляется по нормам Уголовного процессуального кодекса. К уголовной ответственности лицо, совершившее правонарушение (преступление), привлекается по решению суда.
Таблица 2. Нарушение неприкосновенности частной жизни
№ п/п |
Вид нарушения |
Вид санкции |
Норма УК |
1 |
Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, кроме случаев, предусмотренных другими статьями УК |
Штраф от 500 до 1000 НМДГ или исправительные работы на срок до двух лет; или арест на срок до шести месяцев; или ограничение свободы на срок до трех лет |
Ч. 1 ст. 182 |
2 |
Действия, приведенные в стр. 1 этой таблицы, совершенные повторно, или если они нанесли существенный ущерб* охраняемым законом правам, свободам и интересам лица |
Арест на срок от трех до шести месяцев; или ограничение свободы на срок от трех до пяти лет; или лишение свободы на тот же срок |
Ч. 2 ст. 182 |
* Если он заключается в причинении материального ущерба и в 100 и более раз превышает НМДГ: в 2020 году – 105 100 грн (100 × 1 051 грн). |
Выводы
- Каждый интернет-магазин обрабатывает персональные данные покупателей.
- В сфере электронной коммерции нужно получить согласие клиента на обработку его персональных данных.
- Обработка персональных данных покупателей интернет-магазина должна регламентироваться его локальными документами.
- Штрафы за нарушение законодательства в сфере защиты персональных данных существенны.
Комментарии к материалу