Совершенно справедливо, что на фоне принятия Закона у представителей ритейла, у которых существуют программы лояльности и бонусные программы, имеется некоторая обеспокоенность. Фактически для того, чтобы программа лояльности или бонусная программа работала, необходима обработка персональных данных клиентов. Однако со вступлением в силу Закона обработка персональных данных (в том числе их хранение) возможна только с согласия субъекта персональных данных (ч. 1 п. 3 ст. 4 Закона). Закон предусматривает 3 вида согласия на обработку персональных данных: письменная форма, электронный документ или иная электронная форма.
И если с продажами в онлайн-магазинах и получением согласия на обработку персональных данных все относительно просто и понятно, то процесс выдачи карт лояльности в стационарных магазинах усложняется в разы. Поскольку до получения согласия субъекта персональных данных оператор (лицо, которое обрабатывает персональные данные) в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:
- наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
- цели обработки персональных данных (если в процессе обработки персональных данных цели изменятся или к уже существовавшим добавятся новые, возникнет необходимость в повторном получении согласия на новые цели обработки персональных данных);
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- срок, на который дается согласие субъекта персональных данных;
- информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами (если персональные данные будут обрабатываться и храниться на серверах вне Республики Беларусь либо будут переданы иностранным организациям, будут использованы иностранные почтовые сервисы и т.д., такая ситуация, как правило, подпадает под трансграничную передачу данных. На такую передачу данных в некоторых ситуациях необходимо получать письменное согласие);
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
- иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
До получения согласия субъекта персональных данных оператор обязан разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации (ст. 5 Закона).
Фраза «отдельно от иной информации» налагает на оператора дополнительные обязательства, и Закон не разъясняет, что такое «отдельно». Достаточно ли выделения такой информации иным шрифтом, абзацным отступом либо такая информация должна содержаться в самостоятельном документе. Вместе с тем нарушение прав физического лица, связанных с обработкой персональных данных, грозит штрафом до 50 базовых величин.
Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».
Практика цивилизованных обществ свидетельствует о том, что свободно выраженное согласие – то, которое субъект имеет возможность не дать, но при этом получить полный объем услуг.
Однозначное выражение воли предполагает, что отсутствуют сомнения в том, что согласие было дано.
Информированное выражение воли предполагает, что субъект персональных данных получит все сведения, предусмотренные Законом, и будет четко знать, кто, как долго и для каких целей будет использовать его персональные данные.
Названные требования к согласию на обработку персональных данных подталкивают нас к нескольким важным выводам: при предоставлении информации субъекту персональных данных, при получении согласия на обработку персональных данных должны отсутствовать нечеткие, допускающие неоднозначное толкование формулировки. Оптимальный вариант, полагаем, когда при даче письменного согласия на обработку персональных данных субъект будет собственноручно писать, что он дает согласие свободно, ему разъяснены все права, возможности управления своими персональными данными и он понимает, кем и в каких целях они будут использованы.
Сегодня активно идет обсуждение ч. 1 п. 6 ст. 5 Закона, которая предполагает, что субъект персональных данных при даче своего согласия оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность. На этом фоне делается вывод о том, что карты лояльности нельзя будет выдавать без получения паспортных данных клиентов.
Вместе с тем, по нашему мнению, буквальное толкование Закона в целом, а также, в частности, анализ понятия «обработка персональных данных» (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных) и ч. 2 п. 6 ст. 5 Закона позволяют сделать вывод о том, что в согласии на обработку персональных данных не нужно указывать паспортные данные субъекта, если цель обработки персональных данных не требует получения таких данных.
Отдельно на практике встает вопрос о том, что делать с субъектами персональных данных, которые предоставили свои данные для участия в бонусных программах, программах лояльности до вступления Закона в силу. По нашему мнению, оптимально уже сейчас информировать их об изменениях в действующем законодательстве и получать согласие на обработку персональных данных в соответствии с требованиями Закона.
В свете принятия Закона операторы должны учитывать тот факт, что у субъекта персональных данных появляются новые полномочия и возможности по управлению персональными данными:
- право на отзыв согласия на обработку персональных данных;
- право на получение информации об обработке персональных данных и их изменение;
- право на информирование о предоставлении персональных данных третьим лицам;
- право требовать прекращения обработки персональных данных и (или) их удаления;
- право обжаловать действия (бездействие) и решения оператора.
По нашему мнению, при принятии Закона законодатель в некоторой степени ориентировался на General Data Protection Regulation (Regulation (EU) 2016/679, режим доступа: https://gdpr-info.eu/) – нормативный акт, регулирующий обработку персональных данных лиц в Европейском союзе. Вместе с тем отдельные процессы в соответствии с отечественным Законом будут несколько сложнее для субъектов данных, а также потребуют дополнительной включенности и дополнительного контроля оператора обработки персональных данных.
Так, субъект данных сможет получать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно (ч. 1 п. 1 ст. 12 Закона). Для получения указанной информации субъект персональных данных должен будет направлять оператору заявление либо в форме письменного документа, либо в форме электронного документа, подписанного электронной цифровой подписью. Также Закон устанавливает ряд требований к информации, которую субъект данных должен указать в таком заявлении (ст. 14 Закона).
Этому праву субъекта корреспондирует обязанность оператора в 15-дневный срок после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении (п. 2 ст. 12 Закона).
Субъект персональных данных также вправе требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных путем подачи заявления. А оператор будет обязан в 15-дневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных.
При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
Все вышесказанное позволяет сделать несколько важных выводов и очертить круг работ, которые уже следует начать выполнять, чтобы к моменту вступления Закона в силу полностью ему соответствовать:
- необходимо создание отделов по обработке персональных данных;
- необходима качественная разработка документации по обработке персональных данных с четким определением целей обработки и данных, которые необходимо обрабатывать;
- нужно понимание того, как и кто будет обрабатывать и хранить персональные данные. В случае, если оператор планирует перепоручать сторонним организациям и (или) сервисам (уполномоченным лицам) обработку персональных данных клиентов и контрагентов, необходимо заключить с такими уполномоченными лицами договоры. В договоре на обработку персональных данных должны быть предусмотрены цели обработки персональных данных; перечень действий, которые уполномоченное лицо будет совершать с персональными данными; обязательства по соблюдению конфиденциальности; меры по обеспечению защиты персональных данных. Следует учесть, что уполномоченное третье лицо не обязано самостоятельно получать согласие субъекта персональных данных, за это отвечает оператор (ст. 7 Закона);
- нужно подготовить уведомления об изменении действующего законодательства для клиентов, контрагентов, которые ранее предоставили свои персональные данные, и получить у них согласие на обработку персональных данных в соответствии с ранее определенными целями.
Важно помнить, что на сегодняшний день однозначно говорить о чем-то сложно, пока не создан орган по защите прав субъектов персональных данных и отсутствует практика применения Закона. Однако в сфере защиты персональных данных не может быть сделано слишком много, особенно учитывая то, что за нарушение требований Закона об обращении с персональными данными предусмотрена административная и уголовная ответственность.
Однозначно можно говорить лишь о том, что всем субъектам хозяйствования следует вносить правки в политику конфиденциальности, на основании которой обрабатываются персональные данные клиентов, контрагентов; а в случае отсутствия документа, который регулирует обработку персональных данных, – создать его. Кроме того, от организаций потребуется назначить лицо либо организовать отдел, ответственный за обработку персональных данных; провести инструктаж сотрудников и определить круг лиц, которые будут иметь доступ к персональным данным клиентов, контрагентов и иных лиц; осуществлять защиту персональных данных, а также быть готовыми к запросам субъектов персональных данных и просьбам удалить персональные данные определенных лиц.