Обработка персональных данных при проведении рекламных мероприятий

При проведении рекламных игр и иных рекламных мероприятий их организаторы собирают и используют персональные данные множества участников. При этом организаторам необходимо учитывать требования законодательства о защите персональных данных, в том числе:

— определять цели и правовые основания обработки персональных данных;

— соблюдать заявленные цели обработки персональных данных;

— при получении согласия учитывать требования, предъявляемые к согласию и его форме;

— соблюдать принцип минимизации и сроки хранения персональных данных, а также прекращать обработку при получении заявления от участника рекламного мероприятия.

Административная ответственность организатора рекламного мероприятия за несоблюдение требований к обработке персональных данных может достигать 200 базовых величин.

Поторская Алена

Ведущий юрист REVERA

Колмыкова Елизавета

Юрист REVERA

2352 Shape 1 copy 6Created with Avocode.

Содержание:


Требования к обработке персональных данных участников рекламных игр и иных рекламных мероприятий* изложены:

— в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З);

— Положении о проведении рекламных игр на территории Рес­публики Беларусь, утвержденном Указом Президента Республики Беларусь от 30.01.2003 № 51 «О проведении рекламных игр в Республике Беларусь» (далее — Положение о рекламных играх);

Законе Республики Беларусь от 10.05.2007 № 225-З «О рекламе» (далее — Закон о рекламе);

— Официальном комментарии Министерства антимонопольного регулирования и торговли (далее — МАРТ) по вопросу обработки персональных данных участников рекламных игр (с комментарием МАРТ можно ознакомиться по ссылке).

* Под термином «рекламные мероприятия» в настоящей статье понимаются рекламные игры, рекламные акции, лотереи и иные разновидности мероприятий, направленных на продвижение товаров/услуг.

Требования к обработке персональных данных

При обработке персональных данных участников любого рекламного мероприятия должны быть соблюдены следующие требования.

1. Определение целей и правовых оснований обработки персональных данных

Организатору рекламного мероприятия (оператору) необходимо установить и сообщить субъекту персональных данных конкретные цели обработки персональных данных (абз. 3 п. 5 ст. 5 Закона № 99-З). 

Оператор также должен определить правовое основание обработки персональных данных для каждой из целей. 

В ст. 6 Закона № 99-З предусмотрен ряд оснований, когда персональные данные могут обрабатываться без получения на то согласия, в частности, если требование об обработке персональных данных (сборе, хранении, использовании и т.п.) предусмотрено законодательством. 

Так, например, согласно абз. 8 ч. 2 п. 11 Положения о рекламных играх в печатном СМИ, в котором были опубликованы правила проведения рекламной игры, организатор обязан опубликовать сведения о результатах проведения рекламной игры, включая фамилию и инициалы победителя. По причине того, что требование об опубликовании персональных данных (фамилии и инициалов) предусмотрено законодательством, такое опубликование (обработка) может быть совершено без согласия победителя рекламной игры.

При этом если ни одно из правовых оснований обработки без согласия не применимо, то необходимо получить согласие участников рекламного мероприятия на обработку их персональных данных.

2. Соблюдение заявленных целей обработки персональных данных

Обработка персональных данных должна осуществляться в соответствии с заявленными на то целями, быть соразмерна таким целям и ограничиваться их достижением.

То есть если у участника рекламного мероприятия запрашивался номер мобильного телефона для целей СМС-рассылки о результате рекламного мероприятия, то номер телефона не может быть использован для целей направления рекламной рассылки без получения согласия участника рекламного мероприятия на использование номера его телефона для такой цели.

3. Соблюдение требований к согласию

Согласие на обработку персональных данных должно быть 1) свободным, 2) однозначным, 3) информированным (п. 1 ст. 5 Закона № 99-З).

Справочно.
В европейском регулировании к согласию предъявляется еще и четвертый критерий: оно должно быть конкретным. Данный критерий означает, что согласие требуется получать для одной или нескольких конкретных целей обработки. Несмотря на то, что этот критерий прямо не назван при определении термина «согласие» в п. 1 ст. 5 Закона № 99-З, он вытекает из п. 4 ст. 3 Закона № 99-З, согласно которому изменение цели или способа обработки влечет необходимость получить новое согласие.

4. Соблюдение формы получения согласия

Согласие на обработку персональных данных должно быть получено в надлежащей форме. Это может быть письменная форма, электронный документ (то есть подписанный электронной цифровой подписью) или иная электронная форма (п. 2 ст. 5 Закона № 99-З).

Согласие на обработку персональных данных в иной электронной форме может быть получено путем:

  • проставления галочки в ячейке на интернет-ресурсе;
  • указания определенной информации/кода после получения СМС-сообщения, сообщения на электронную почту;
  • применения других способов, позволяющих установить факт получения согласия.

Образцы согласия субъекта персональных данных на обработку персональных данных

5. Соблюдение принципа минимизации

Содержание и объем запрашиваемых персональных данных должны соответствовать заявленным целям их обработки и не должны быть избыточными по отношению к таким целям их обработки. В этом заключается принцип минимизации в соответствии с п. 5 ст. 4 Закона № 99-З.

Например, для целей идентификации победителя рекламной игры достаточно его фамилии и инициалов, поэтому запрашивание дополнительной информации о его идентификационном номере и месте рождения или документов, которые содержат такую информацию (например, паспорта), будет избыточным.

6. Соблюдение срока хранения персональных данных

Хранение персональных данных должно осуществляться исключительно в течение процесса достижения заранее установленных целей обработки. В случае достижения этих целей необходимо удалить персональные данные, если нет иного основания для их обработки. Если законодательство определяет сроки хранения персональных данных для тех или иных целей, то должны соблюдаться сроки, установленные законодательством. 

Обработка персональных данных участников рекламных игр и участников иных рекламных мероприятий имеет отличия в части срока хранения персональных данных, предусмотренного законодательством.

Срок хранения персональных данных, полученных в рамках рекламной игры. Согласно п. 15 Положения о рекламных играх все материалы рекламной игры обязаны храниться 3 года после окончания рекламной игры. Персональные данные, полученные в рамках проведения рекламной игры, относятся к материалам рекламной игры, так как содержатся в анкетах, заявках и т.п., используемых в ходе рекламной игры. Соответственно, такие персональные данные должны храниться 3 года после ее окончания.

При этом некоторые из материалов рекламной игры, содержащие персональные данные, требуется хранить в течение иного срока. Например, жалобы, поступившие от участников, должны храниться в течение 5 лет в соответствии с п. 76 перечня типовых документов Национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, установленного постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140.

Справочно.
Установленный законодательством срок хранения материалов рекламной игры обусловлен сроком исковой давности (ст. 197 ГК) и необходимостью обеспечения возможности для участников рекламной игры защиты своих прав и интересов в течение этого срока.

Срок хранения персональных данных, полученных в рамках иного рекламного мероприятия. В соответствии с п. 1 ст. 29 Закона о рекламе материалы или их копии, содержащие рекламу, за исключением рекламы, размещаемой в сети Интернет, обязаны храниться в течение 6 месяцев со дня последнего размещения. Персональные данные, полученные в рамках рекламного мероприятия, относятся к таким материалам и поэтому должны храниться в течение 6 месяцев после проведения рекламного мероприятия. 

Отметим, что если участник рекламной игры или иного рекламного мероприятия потребует прекращения обработки и (или) удаления его персональных данных до истечения срока хранения таких документов, то организатор рекламной игры или иного рекламного мероприятия вправе отказать в удовлетворении такого требования на основании того, что обработка персональных данных предусмотрена законодательством.

7. Прекращение обработки персональных данных при заявлении участника рекламного мероприятия

Участник рекламного мероприятия вправе отозвать свое согласие на обработку персональных данных, так как обработка осуществляется на основании его согласия. 

Подача участником рекламного мероприятия заявления об отзыве согласия влечет обязанность организатора в течение 15 дней прекратить обработку персональных данных, осуществив их удаление. Однако при отзыве участником согласия он больше не сможет принимать участие в рекламном мероприятии, если обработка персональных данных (например, имени и фамилии) обусловлена целью идентификации участника для возможности его участия в рекламном мероприятии.

Ответственность за несоблюдение требований о защите персональных данных

За нарушение требований законодательства в сфере защиты персональных данных возможно привлечение как к административной, так и к уголовной ответственности.

ПравонарушениеПример правонарушенияМера ответственности
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица (ч. 1 ст. 23.7 КоАП)Обработка персональных данных без согласия участника рекламного мероприятия или же сбор персональных данных, не соответствующих заявленным целямШтраф на организатора рекламного мероприятия в размере до 50 базовых величин (1600 белорусских рублей)
Умышленное нарушение прав физического лица, связанных с обработкой персональных данных (ч. 1 ст. 23.7 КоАП)Продолжение обработки персональных данных после отзыва участником согласия на их обработкуШтраф на организатора рекламного мероприятия в размере до 50 базовых величин (1600 белорусских рублей)
Умышленное незаконное распространение персональных данных физических лиц
(ч. 3 ст. 23.7 КоАП)
Размещение персональных данных участников в социальных сетях без их согласияШтраф на организатора рекламного мероприятия в размере до 200 базовых величин (6400 белорусских рублей)

Если указанные действия повлекли причинение существенного вреда правам, свободам и законным интересам гражданина, то должностное лицо организатора рекламного мероприятия может быть привлечено к уголовной ответственности по ст. 203-1 УК.

Кроме того, участники рекламного мероприятия могут потребовать от организатора рекламного мероприятия возмещения морального вреда, причиненного вследствие нарушения прав участников на защиту их персональных данных. При отказе организатора возместить моральный вред в добровольном порядке участники рекламного мероприятия вправе обратиться с иском о возмещении морального вреда в суд.

2352 Shape 1 copy 6Created with Avocode.
Последнее
по теме
На Национальном правовом Интернет-портале опубликовано постановление Совета Министров Республики Беларусь от 30.08.2022 № 553 «О размерах базовой ставки». Постановление к...
657
• • •
СИТУАЦИЯ: Между истцом и ответчиком подписан договор, на котором имеется оттиск штампа «с протоколом разногласий». При рассмотрении судебного спора истец ссылался на то,...
№ 7 июль 2022
2972