«Я согласен!»
Законодательство Республики Беларусь, регулирующее защиту персональных данных на территории Беларуси (включая национальный сегмент глобальной компьютерной сети Интернет), устанавливает базовое правило о том, что сбор, обработка, хранение персональных данных физического лица, а также пользование ими и их передача осуществляются с письменного согласия данного физического лица. Субъект, который получил персональные данные без согласия физического лица, к которому такие данные относятся, не вправе использовать полученные данные, независимо от целей такого использования (ч. 2 ст. 18, ч. 2 ст. 32, ч. 4 ст. 24 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», далее — Закон о защите информации).
Справочно.
Использовать персональные данные без согласия физического лица, к которому они относятся, запрещено (кроме случаев, предусмотренных законодательством).
Согласие, предоставляемое интернет-магазину
Сбор, обработка, хранение персональных данных покупателей, а также пользование ими осуществляется интернет-магазином с предварительно полученного согласия покупателя. Интернет-магазин обязан обеспечивать сохранность полученных им персональных данных. Полная или частичная передача данных третьим лицам, в том числе школе иностранных языков, осуществляется интернет-магазином с согласия покупателя, к которому относятся передаваемые данные (абз. 4 ч. 2 ст. 34 Закона о защите информации). Передача без согласия допускается только в случаях, предусмотренных законодательными актами Республики Беларусь (например, когда такую информацию запрашивают уполномоченные государственные органы).
Законодательство не обязывает интернет-магазин раскрывать покупателю информацию о том, кому, как и с какой целью им передаются персональные данные. Не запрещает законодательство и передачу данных третьему лицу за вознаграждение (при наличии согласия покупателя; при этом информацию о том, платно или бесплатно передаются данные, в согласии указывать необязательно). На практике более детальная информация об использовании компаниями персональных данных клиентов, как правило, размещается в политике конфиденциальности на сайте и (или) в мобильном приложении. Рекомендуется по возможности указывать эту информацию, в этом случае согласие клиента будет являться информированным, что позволит избежать конфликтных ситуаций.
Согласие, предоставляемое школе иностранных языков
Школе иностранных языков для использования персональных данных покупателя (независимо от целей такого использования) также требуется согласие покупателя на сбор, обработку, хранение и иные действия с его персональными данными (аналогично согласию, предоставляемому покупателем интернет-магазину). Кроме того, для использования данных в рекламных целях школе иностранных языков требуется согласие покупателя на получение им рекламы посредством электросвязи или электронной почты. Согласно законодательству о рекламе по первому требованию покупателя школа обязана незамедлительно прекратить распространение рекламы в его адрес (п. 1 ст. 12 Закона Республики Беларусь от 10.05.2007 № 225-З «О рекламе»).
Справочно.
В рассматриваемом примере школе иностранных языков следует заручиться отдельным согласием физического лица на обработку его персональных данных. Согласие, данное физическим лицом интернет-магазину книг, распространяется только на обработку данных этим магазином. Обработка персональных данных школой иностранных языков (в том числе хранение и использование) требует отдельного согласия.
Что относится к персональным данным?
К персональным данным относятся любые сведения, которые покупатель передает интернет-магазину и которые позволяют его идентифицировать, в том числе ФИО, номер телефона и адрес электронной почты, пол, дата рождения. Перечень персональных данных не является закрытым, поэтому потенциально персональными данными может быть признана любая идентифицирующая информация о клиентах, используемая интернет-магазином для обработки и доставки заказов, независимо от формы (включая графические и фотографические материалы). Такая информация может являться как объективной (возраст), так и субъективной (оценка покупательских предпочтений) (ст. 18 Закона о защите информации; ст. 8–11 Закона Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»).
Справочно.
Любая информация, идентифицирующая клиента (номер его аккаунта (личного кабинета), адрес электронной почты, перечень заказанных товаров и даже оценка конкретных наименований) может рассматриваться как персональные данные.
Форма и содержание согласия
По закону согласие, предоставляемое покупателем как интернет-магазину, так и школе иностранных языков, должно быть составлено в письменной форме. Но на практике для частных организаций, особенно онлайн-сервисов, получение письменного согласия затруднительно. Поэтому они, как правило, получают согласие в электронной форме (например, путем проставления пользователем галочки напротив слов «Я согласен…»).
Ввиду того, что покупатель и школа иностранных языков не будут взаимодействовать непосредственно, согласие школе иностранных языков может быть запрошено у покупателя в тот же момент, когда согласие запрашивается для интернет-магазина.
Согласие должно быть получено до начала сбора персональных данных. Действия с персональными данными, совершенные до получения такого согласия, считаются незаконным использованием персональных данных.
Справочно.
Закон не запрещает субъекту, который получил и использует персональные данные физического лица без согласия последнего, впоследствии получить такое согласие с распространением его действия и на период, в который персональные данные использовались без согласия.
Ответственность за нарушение законодательства о защите персональных данных
В случае, если интернет-магазин без согласия покупателя передаст школе иностранных языков относящиеся к нему персональные данные, а школа без согласия покупателя будет использовать эти данные, и школа, и интернет-магазин могут быть привлечены к административной ответственности по требованию покупателя, к которому относятся данные.
С 1 марта 2021 г. в КоАП включена норма об ответственности за нарушение законодательства о защите персональных данных (ст. 23.7 КоАП).
Так, умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа в размере до 50 базовых величин. Нарушение, совершенное лицом, которому данные известны в связи с его профессиональной или служебной деятельностью, влекут наложение штрафа в размере от 4 до 100 базовых величин (пп. 1, 2 ст. 23.7 КоАП).
Справочно.
До включения в законодательство нормы об ответственности за нарушение законодательства о защите персональных данных КоАП предусматривал ответственность пользователя персональных данных за их незаконное (без письменного согласия) разглашение в виде административного штрафа в размере от 4 до 20 базовых величин (ст. 22.13 КоАП в редакции до 1 марта 2021 г.). С 1 марта 2021 г. данная норма из КоАП исключена.
Кроме того, умышленное незаконное распространение персональных данных физических лиц (в результате которого ознакомление станет доступно неопределенному кругу лиц) может повлечь наложение штрафа в размере до 200 базовых величин (п. 3 ст. 23.7 КоАП, абз. 28 ст. 1 Закона о защите информации).
Также покупатель вправе требовать от нарушителей возмещения убытков и компенсации морального вреда. Законодательство не устанавливает подробного регулирования ответственности за нарушение законодательства о защите персональных данных (кроме предусмотренной КоАП и УК). Полагаем, что суммы убытков и компенсации могут быть определены в судебном порядке; при этом судебная практика в данной сфере в Беларуси пока не сформировалась.
Нарушение законодательства о рекламе, в том числе распространение рекламы без предварительного согласия получателя, может повлечь для распространителя рекламы (школа иностранных языков) наложение штрафа на юридическое лицо от 20 до 50 базовых величин (п. 1 ст. 13.9 КоАП).
Данные третьих лиц
Согласие на действия с персональными данными может быть предоставлено только лицом, к которому эти данные относятся. Предоставление согласие на сбор, обработку, хранение данных, а также пользование ими и их передачу за третьих лиц (в том числе близких родственников, друзей) невозможно, вне зависимости от целей предоставления данных, а также степени родства.
В случае, если информация об этих лицах будет передана интернет-магазину и впоследствии школе иностранных языков, такое предоставление не будет считаться законным и получатель данных не вправе будет пользоваться ими ни в каких целях, в том числе в собственных (ч. 4 ст. 32 Закона о защите информации). В данном случае по требованию физического лица, к которому относятся данные, как покупатель, незаконно предоставивший данные, так и интернет-магазин и школа могут быть привлечены к ответственности за нарушение законодательства о защите персональных данных.
Закон о защите персональных данных
7 мая 2021 г. был подписан Закон Республики Беларусь № 99-З «О защите персональных данных» (далее — Закон № 99-З).
В частности, Закон № 99-З предусматривает следующие положения:
— требование раскрывать физическому лицу, к которому относятся персональные данные, перечень обрабатываемых персональных данных и перечень действий, на которые дается согласие. Кроме того, в согласии должны будут указываться цели обработки данных (то есть информация о том, как данные будут использоваться), и при изменении целей пользователю данных необходимо будет получить новое согласие;
— положения, запрещающие презюмировать согласие физического лица на обработку его персональных данных, например автоматически проставлять галочку напротив слов «Я согласен на обработку моих персональных данных». В соответствии с концепцией активного согласия физическое лицо должно предпринять активные действия, свидетельствующие о его согласии на обработку персональных данных. В связи с этим под запрет попадают и условия типа «Продолжая пользоваться нашим сайтом, вы соглашаетесь на обработку ваших персональных данных…» (в этом случае у пользователя также нет возможности выразить свое согласие активными действиями) и др.
В целом Закон № 99-З устанавливает правила, которые более строго (по сравнению с ранее действовавшим законодательством) регулируют защиту персональных данных физических лиц.
Закон № 99-З вступит в силу через 6 месяцев после его официального опубликования.
Справочно.
С текстом Закона можно ознакомиться по короткой ссылке bit.ly/2S1vUkz.