Підписуйся на інформаційну страховку бухгалтера
Підписатися

Захист персональних даних в інтернет-торгівлі

29.05.2020 1402 0 3

На відміну від звичайної роздрібної торгівлі, яка може ідентифікувати покупця хіба що за бонусними або платіжними картками, у сфері електронної комерції покупець (замовник, споживач), що приймає пропозицію іншої сторони про укладення електронного договору, зобов’язаний надати необхідну інформацію про себе (ч. 2 ст. 8 Закону від 03.09.15 р. № 675-VIII «Про електронну комерцію», далі – Закон № 675). Тобто будь-який суб’єкт електронної комерції у своїй діяльності зіткнеться з обробкою персональних даних. Розглянемо, на що слід звертати увагу в такому разі.


Що розуміють під обробкою персональних даних

Персональні дані – це відомості або сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано (абзац десятий ст. 2 Закону від 01.06.10 р. № 2297-VI «Про захист персональних даних», далі – Закон № 2297).

Під обробкою таких даних слід розуміти будь-яку дію або сукупність дій, таких як збір, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання та поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем. Тобто будь-який інтернет-магазин у тому чи іншому ступені займається обробкою персональних даних своїх покупців.

Використання персональних даних у сфері електронної комерції може здійснюватися в разі створення суб’єктом цієї діяльності умов для захисту таких даних. Учасники відносин у цій сфері зобов’язані забезпечити захист персональних даних, які стали їм відомі з електронних документів (повідомлень) під час здійснення електронних правочинів, у порядку, передбаченому Законом № 2297 (ч. 1 ст. 14 Закону № 675).

Типові порушення

З 2014 року питання захисту персональних даних перебувають у віданні Уповноваженого ВРУ з прав людини. Але раніше цими питаннями займалася Державна служба з питань захисту персональних даних (ДСЗПД), тож учасникам відносин у сфері електронної комерції буде цікаво ознайомитися з рішенням колегії ДСЗПД від 22.03.13 р. № 6 «Практика застосування законодавства з питань захисту персональних даних під час обробки персональних даних з використанням веб-ресурсів». Матеріали засідання колегії свідчать, що працівники зазначеної служби в результаті проведених перевірок дійшли висновку про вкрай низький рівень правової культури власників персональних даних, які здійснюють їх обробку з використанням вебресурсів українського сегмента мережі Інтернет.

За даними ДСЗПД, ними ігноруються прості вимоги закону під час збору та обробки персональних даних, а використання автоматизованих засобів відстежування особливостей поведінки користувачів Інтернету під час відвідування вебсайтів є некоректним. Зокрема, за результатами перевірок сайтів українського сегмента мережі Інтернет колегія ДСЗПД звернула увагу на такі недоліки.

1. Під час збору персональних даних суб’єкт персональних даних не повідомляється про їх власника (найменування юрособи-власника та його адреса), склад і зміст зібраних персональних даних, права такого суб’єкта, визначені Законом № 2297, мету збору персональних даних та осіб, яким передаються його персональні дані.

Зазначимо, що таке повідомлення є обов’язковим згідно з абзацом другим ч. 2 ст. 12 Закону № 2297. Водночас кожен суб’єкт персональних даних має право знати про джерела збору, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебуванні) власника чи розпорядника персональних даних або дати відповідне доручення про отримання цієї інформації уповноваженим ним особам, окрім випадків, встановлених законом (п. 1 ч. 2 ст. 8 Закону № 2297).

2. Зміст персональних даних, які отримували власники інтернет-ресурсів, часто був надмірним відносно певної мети обробки персональних даних.

Нагадаємо, що п. 3 ст. 6 Закону № 2297 визначає, що склад і зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Мета має бути сформульована в законах, інших нормативно-правових актах, положеннях, засновницьких або інших документах, що регулюють діяльність власника персональних даних, і відповідати законодавству про захист персональних даних.

Частина 2 ст. 14 Закону № 675 забороняє використання та витребування персональних даних сторонами електронного правочину з іншою метою, ніж здійснення такого правочину, якщо інше не встановлено законом або угодою сторін. Якщо у суб’єкта електронної комерції виникає потреба в розширенні обсягу персональних даних, то він має отримати від покупця згоду на надання певного обсягу таких даних.

Тобто на сайті самого інтернет-магазину може бути розміщено певний вид повідомлення (наприклад, віконце), в якому буде перелік усієї інформації, необхідної для отримання згоди на обробку даних від осіб-клієнтів. Причому абзац четвертий ст. 2 Закону № 2297 допускає, що у сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставляння відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови що така система не створює можливостей для обробки персональних даних до моменту проставляння відмітки.

Згідно з ч. 3 ст. 14 Закону № 675 реєстрація фізичної особи в інформаційній системі означає автоматичне надання згоди на використання та обробку персональних даних. Отже, додатково просити підтвердження згоди немає необхідності.

Згода суб’єкта на обробку його персональних даних має бути добровільною та інформованою (п. 2.8 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого ВРУ з прав людини від 08.01.14 р. № 1/02-14).

Під інформованою згодою на обробку персональних даних слід розуміти добровільне компетентне прийняття особою рішення про обробку його персональних даних, засноване на отриманні ним повної, об’єктивної та всебічній інформації про майбутню обробку таких даних (п. 2 роз’яснення Уповноваженого ВРУ з прав людини від 08.01.14 р. «Роз’яснення до Типового порядку обробки персональних даних).

Тобто на сайті інтернет-магазину має бути інформація, наприклад, у вигляді окремого Положення про захист персональних даних, в якому наводиться перелік інформації, що має надати покупець, зазначаються цілі використання продавцем такої інформації, а також окремі аспекти надання та передачі інформації, отриманої продавцем від покупця.

Отже, збір персональних даних, які акумулює інтернет-магазин про клієнта, можна здійснювати в діалоговому режимі, а відповідне натиснення фізособою «Ок» у вікні (повідомленні про обробку даних), що відкрилося під час замовлення товару (послуги), означає згоду на обробку персональних даних. Причому для дотримання вимоги про повідомлення під час збору персональних даних, про яке згадувалося вище, в такому форматі слід продублювати Положення про захист персональних даних.

Ідентифікація особи за допомогою електронного підпису, визначеного ст. 12 Закону № 675, має здійснюватися під час кожного входу в інформаційну систему підприємства електронної комерції. Для недопущення несанкціонованого доступу до облікового запису особи в інформаційно-телекомунікаційній системі суб’єкта електронної комерції для ідентифікації такої особи може використовуватися додатковий унікальний набір електронних даних, які додаються (приєднуються) до спеціального набору електронних даних, який був введений (створений) такою особою під час реєстрації (ч. 4 ст. 14 Закону № 675).

3. Колегія ДСЗПД дійшла висновку, що процедури обробки персональних даних, які часто були визначені на сайтах, насправді не були зафіксовані у відповідних внутрішніх документах таких суб’єктів.

«Особливі» дані

Існують так звані персональних дані, які становлять особливий ризик для прав і свобод суб’єктів. Перелік таких даних наведено в п. 1.2 Порядку повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних під час їх обробки, а також оприлюднення вказаної інформації, затвердженого наказом Уповноваженого ВРУ з прав людини від 08.01.14 р. № 1/02-14, а саме:

  • про расове, етнічне та національне походження;
  • про політичні, релігійні та світоглядні переконання;
  • про членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях або в громадських організаціях світоглядної спрямованості;
  • про стан здоров’я;
  • про статеве життя;
  • біометричні дані – оцифрований підпис, оцифроване зображення обличчя людини, оцифровані відбитки пальців рук, оцифрований малюнок сітківки ока і так далі (п. 2 Роз’яснення Уповноваженого ВРУ з прав людини від 08.01.14 р. «Роз’яснення основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, які представляють особливий ризик для прав і свобод суб’єктів персональних даних»);
  • генетичні дані;
  • про притягнення до адміністративної або кримінальної відповідальності;
  • про застосування щодо особи заходів у межах досудового розслідування;
  • про прийняття щодо особи заходів, передбачених Законом від 18.02.92 р. № 2135-XII «Про оперативно-розшукову діяльність» ;
  • про здійснення щодо особи тих чи інших видів насильства;
  • про місцезнаходження та/або шлях пересування особи. До цієї категорії не потрапляє інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки.

Якщо суб’єкт електронної комерції обробляє перелічені дані, то він має повідомити Уповноваженого ВРУ протягом 30 робочих днів з початку такої обробки (ч. 1 ст. 9 Закону № 2297).

Відповідальність за порушення

За порушення вимог щодо захисту персональних даних передбачено адміністративну та кримінальну відповідальність.

Адміністративна відповідальність. Накладення штрафних санкцій залежить від того, яким є правопорушення – разовим чи триваючим, а також від того, хто застосовує такі санкції (ст. 38 КУоАП). Якщо адміністративне стягнення застосовує суд, то за разове порушення воно може накладатися не пізніш як через три місяці із дня здійснення правопорушення, а за триваючого правопорушення – не пізніш як через три місяці із дня його виявлення.

Таблиця 1. Порушення законодавства у сфері захисту персональних даних

з/п

Вид порушення

Хто притягується до відповідальності

Хто складає протокол

Хто притягає до відповідальності

Розмір штрафу

Норма КУпАП

1

Неповідомлення або несвоєчасне повідомлення Уповноваженого ВРУ з прав людини про обробку персональних даних або про зміну відомостей, що підлягають повідомленню згідно із законом, повідомлення неповних або недостовірних відомостей

Громадяни

Уповноважені особи секретаріату Уповноваженого ВРУ з прав людини або представники ВРУ з прав людини (п. 81 ч. 1 ст. 255 КУпАП)

Судді районних, районних у місті, міських або міських районних судів (ст. 221 КУпАП)

Від 100 до 200 НМДГ
(від 1 700 до 3 400 грн)

Ч. 1 ст. 18839

Посадовці, громадяни-СПД

Від 200 до 400 НМДГ
(від 3 400 до 6 800 грн)

2

Невиконання законних вимог (приписів) Уповноваженого ВРУ з прав людини або визначених ним посадовців секретаріату Уповноваженого ВРУ з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних

Громадяни

Судді районних, районних в місті, міських або міських районних судів (ст. 221 КУпАП)

Від 200 до 300 НМДГ
(від 3 400 до 5 100 грн)

Ч. 2 ст. 18839

Посадовці, громадяни-СПД

Від 300 до 1000 НМДГ
(від 5 100 до 17 000 грн)

3

Повторне протягом року здійснення порушення з числа передбачених п. 1 або 2 цієї таблиці, за яке особу вже було піддано адміністративному стягненню

Громадяни

Судді районних, районних в місті, міських або міських районних судів (ст. 221 КУпАП)

Від 300 до 500 НМДГ
(від 5 100 до 8 500 грн)

Ч. 3 ст. 18839

Посадовці, громадяни-СПД

Від 500 до 2 000 НМДГ
(від 8 500 до 34 000 грн)

4

Недотримання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних

Громадяни

Судді районних, районних в місті, міських або міських районних судів (ст. 221 КУпАП)

Від 100 до 500 НМДГ
(від 1 700 до 8 500 грн)

Ч. 4 ст. 18839

Посадовці, громадяни-СПД

Від 300 до 1 000 НМДГ
(від 5 100 до 17 000 грн)

5

Повторне протягом року здійснення порушення, передбаченого п. 4 цієї таблиці, за яке особу вже було піддано адміністративному стягненню

Громадяни, посадовці, громадяни-СПД

Судді районних, районних в місті, міських або міських районних судів (ст. 221 КУпАП)

Від 1 000 до 2 000 НМДГ
(від 17 000 до 34 000 грн)

Ч. 5 ст. 18839

6

Невиконання законних вимог Уповноваженого ВРУ з прав людини або представників Уповноваженого ВРУ з прав людини

Посадовці, громадяни-СПД

Судді районних, районних в місті, міських або міських районних судів (ст. 221 КУпАП)

Від 100 до 200 НМДГ
(від 1 700 до 3 400 грн)

Ст.18840

Кримінальна відповідальність. Нормами Кримінального кодексу (далі – КК) передбачено певні заходи державної дії, що застосовуються до особи, визнаної винною у скоєнні злочинів, і, зокрема, за порушення недоторканості приватного життя. Кримінальне провадження здійснюється за нормами Кримінального процесуального кодексу. До кримінальної відповідальності особа, що вчинила правопорушення (злочин), притягується за рішенням суду.

Таблиця 2. Порушення недоторканості приватного життя

з/п

Вид порушення

Вид санкції

Норма КК

1

Незаконний збір, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, окрім випадків, передбачених іншими статтями КК

Штраф від 500 до 1000 НМДГ (від 8 500 до 17 000 грн);

  • або виправні роботи на строк до двох років;
  • або арешт на строк до шести місяців;
  • або обмеження волі на строк до трьох років

Ч. 1 ст. 182

2

Дії, наведені у рядку 1 цієї таблиці, здійснені повторно, або якщо вони завдали істотної шкоди* охоронюваним законом правам, свободам та інтересам особи

Арешт на строк від трьох до шести місяців;

  • або обмеження волі на строк від трьох до п’яти років;
  • або позбавлення волі на той самий строк

Ч. 2 ст. 182

* Якщо вона полягає в заподіянні матеріальних збитків та в 100 і більше разів перевищує НМДГ: 2020 року – 105 100 грн (100 × 1 051 грн).

Висновки

  1. Кожен інтернет-магазин обробляє персональні дані покупців.
  2. У сфері електронної комерції треба отримати згоду клієнта на обробку його персональних даних.
  3. Обробка персональних даних покупців інтернет-магазину має регламентуватися його локальними документами.
  4. Штрафи за порушення законодавства у сфері захисту персональних даних є істотними.
Таблиця 1. Порушення законодавства у сфері захисту персональних даних.doc
Завантажити
Таблиця 2. Порушення недоторканості приватного життя.doc
Завантажити

Коментарі до матеріалу

Оформити передплату на розділ «Комерція»

Найповніша бібліотека безпечних рішень з бухобліку, податків та права

4428 грн. / рік

Купити

Кращі матеріали