Персональные данные и интернет-магазины: что к ним относится, как обрабатывать и за что можно получить штраф

Любой интернет-магазин работает с персональными данными своих клиентов: получает, запрашивает, обрабатывает.

Какие данные считаются персональными в интернет-торговле? Как интернет-магазин может их обрабатывать? Как узнать, являетесь ли вы оператором персональных данных? Что будет, если требования закона не исполнить? Обо всем этом читайте в нашей статье. 

Какие данные считаются персональными

С точки зрения закона персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, которого в таком случае следует называть субъектом персональных данных (ст. 3 152-ФЗ "О персональных данных"). Сформулировано это определение очень расплывчато, однако с 2021 года его попытались конкретизировать через еще одно понятие — "персональные данные, разрешенные субъектом персональных данных для распространения". Это те персданные, доступ к которым субъектом этих данных разрешен для неограниченного круга лиц путем дачи соответствующего согласия. 

Сейчас к персональным данным принято относить фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, место жительства, номера телефона, паспорта, ИНН, банковской карты, медицинские и биометрические данных.

Закон к тому же выделяет среди всех персональных данных группу общедоступных. 

Общедоступные персональные данные —  персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Говоря простым языком, это те данные, которые человек сам предоставил для широкого круга лиц (например, сведения на открытой странице в соцсети или оставленный им в интернет-магазине персонализированный отзыв), и те данные, публиковать которые органы власти и учреждения, организации обязаны во исполнение закона. Притом нужно понимать, что если человек желает эти данные отозвать, то вы обязаны подчиниться — например, удалить отзыв этого покупателя, сведения о его покупке или статью о том, что он, скажем, выиграл приз в вашем розыгрыше и т.д. При неисполнении этих требований покупатель вполне может направить иск в суд и даже выиграть дело. 

С другой стороны, далеко не всегда суд встает на сторону истца в определении того, что является персональными данными.

Например, Постановлением Арбитражного суда Северо-Западного округа от 6 мая 2015 г. по делу N А21-4273/2014 признано, что голос гражданина в понятие персональных данных не включается, поэтому при ведении аудиозаписи разговора и предоставлении ее в качестве доказательства ссылаться на защиту персональных данных нельзя. При этом, к примеру, по общему правилу фотографии людей относятся к охраняемым персональным данным, однако нельзя пожаловаться на фотографию, сделанную за плату (например, рекламная съемка) или в общественных местах, если гражданин попал в кадр случайно. 

Отдельная группа споров связана с размещением на страницах сайтов-агрегаторов сведений о профессионалах, выполняющих какую-либо работу.

Между одним из медицинских работников и известным сервисом "ПроДокторов" возник судебный спор: медработник требовал удалить его личный профиль, а сервис отказывался на том основании, что информация об исполнителе медицинской услуги должна быть общедоступной в соответствии с законом, и была взята с официального сайта медицинской организации, поэтому любой имеет право оставить об услуге работника отзыв.

В связи этим Конституционный суд разъяснил границы распространения персональных данных о людях, информация о деятельности которых размещена в сети "Интернет". На основании закона такие данные сайты размещать ("репостить") могут, однако запрещено наряду с персональными данными о человеке размещать порочащую честь и достоинство информацию. Если речь идет об отзывах на услуги конкретного человека, то ему в обязательном порядке следует дать право на опровержение порочащей его информации, если таковая размещена третьими лицами. 

Какие действия относятся к обработке персональных данных

Что касается обработки данных, то к ним относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.  В общем, персональные данные — это буквально почти вся информация о ваших сотрудниках и клиентах. Особенно, если у вас интернет-магазин.

Например, человек, который делает покупки в обыкновенном офлайн-магазине и расплачивается наличными, не предоставляет продавцу никакой информации о себе. Человек, расплачивающийся офлайн-картой, теоретически знакомит продавца с ее данными, однако этот процесс автоматизирован и сведения об операции хранятся уже не у непосредственного владельца магазина, а у оператора фискальных данных.  Однако когда человек делает покупки в Сети, продавцу становится известно имя покупателя, сведения о его банковской карте, место его проживания или пребывания при доставке курьером, а иногда и более личные данные: в магазине одежды — физические параметры человека, при покупке в секс-шопе — интимные предпочтения. 

Естественно, любой покупатель хочет быть уверен в том, что завтра эти сведения не окажутся в открытом доступе. Поэтому законодательства большинства государств предусматривают порядки и границы обработки персональных данных. В РФ это ФЗ "О персональных данных". При этом функция по контролю и надзору в этой сфере возложена на Роскомнадзор.

Судебная практика по вопросу защиты персональных данных уже достаточно разработана, однако до сей поры некоторые вопросы вызывают споры. Притом ответственность оператора обработки данных достаточно велика и платить штраф из-за нарушения норм из-за случайной ошибки неприятно.

Кто относится к операторам обработки персональных данных

Но для начала следует разобраться с термином "оператор обработки персональных данных" — ими считаются не только органы государственной власти, но и физлица и юрлица, собственно осуществляющие обработку данных. Для операторов, осуществляющих эту деятельность на постоянной основе и/или с предоставлением данных третьим лицам, предусмотрен специальный реестр. Подать уведомление об обработке персональных данных такой оператор должен до начала обработки, в уведомлении указать цели и объемы работы с данными. 

При этом с 2023 года требования к обращению с персональными данными ужесточились, поэтому операторами могут считаться и интернет-магазины, если они собирают клиентские базы данных, обрабатывают данные клиентов, содержат на сайтах их "личные кабинеты". Роскомнадзор даже создал памятку о том, как определить, являетесь ли вы оператором обработки персданных: 

Если вам нужно внести изменения в данные уведомления об обработке персональных данных,  то обо всех изменениях, которые произошли в течение месяца, нужно сообщить не позднее 15-го числа следующего месяца — эта норма начинает действовать с 1 марта 2023 года. 

Как осуществляется обработка персональных данных

Обработка персональных данных будет законна, если совершается с согласия субъекта, соответствует целям обработки и не выходит за их рамки (если для совершения покупки покупатель должен осуществить оплату по карте онлайн, очевидно, что требовать сведения о его поле, возрасте, национальности, вероисповедании излишне). Кроме того, пользование данными не может производиться во вред покупателю, сведения (кроме специально оговоренных) — предоставляться в свободный доступ. Запрещено при обработке данных нарушать закон, что, в общем, само собой разумеется.

Обработка данных с точки зрения закона делится на две категории: обработка "вручную", то есть конкретными лицами (например, отдел кадров, отдел по работе с клиентами) и автоматизированная обработка (с помощью компьютерных программ и систем; например, создание автоматизированной базы данных клиентов, хранение в "личных кабинетах клиентов" сведений об их заказах, автоматическая привязка номеров карт к профилю и т.д.). В любом из этих случаев информирование клиента о том, какая информация и зачем будет храниться в магазине — обязательно. При этом следует понимать, что с точки зрения закона оператор персональных данных в любом случае вы, а ваш сайт, который автоматизирует обработку данных, будет считаться "информационной системой персональных данных" и на него будут распространяться соответствующие требования закона о таких системах. 

Кроме того, с 2022 года разрешено осуществлять обработку персональных данных своих клиентов не самостоятельно, а поручить ее третьим лицам. В таком случае на такую обработку нужно будет получить разрешение клиента. Третье лицо обрабатывает персональные данные на основании поручения оператора и получать согласие субъектов данных не обязано.

В поручении оператора должны быть определены:

• перечень персональных данных;
• перечень действий (операций) с персональными данными;
• цели обработки;
• должна быть установлена обязанность третьего лица соблюдать конфиденциальность персональных данных;
• обязанность по запросу оператора подтвердить, что процесс обработки данных соответствует закону и их безопасность обеспечена.

При этом ответственность за обработку данных нести будет все равно оператор обработки, а не третье лицо, которому дано поручение. 

Запрещено обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (кроме случаев, когда сам человек в письменной  форме дал согласие на такую обработку или сам сделал эти данные общедоступными).

После вступления в действия новых "Правил продажи по договору розничной купли-продажи" покупатель больше не обязан предоставлять продавцу свои фамилию, имя, отчество и адрес доставки товара, как это было раньше. Теперь продавец обязан заключить договор с любым, кто выразит такое желание на условиях оферты продавца. При этом договор будет считаться заключенным именно с момента выражения желания (и/или оплаты товара), а не в момент предоставления этих данных. При этом покупатель может при заказе указать свой адрес для доставки, но может предпочесть и конкретный пункт выдачи. ФИО ему указывать тоже не нужно —  согласно норме доставленный товар передается потребителю по указанному им адресу, а при отсутствии потребителя – любому лицу, предъявившему информацию о номере заказа, либо иное (в том числе электронное) подтверждение заключения договора розничной купли-продажи или оформление заказа.

Однако, если товар маркирован как имеющий ограничения по возрасту, то на сайте он должен быть скрыт до момента фактического подтверждения возраста покупателя (например, покупатель должен нажать кнопку "Мне есть 18 лет"). 

В любом случае перед совершением договора покупатель должен согласиться предоставить продавцу свои данные в тех рамках, которые действительно нужны для заключения договора. Такое согласие разрешено получать в любой форме,  однако оно должно быть конкретным, предметным, информированным, сознательным и однозначным. То есть потребитель должен понимать, какие данные обрабатываются и с какой целью. 

Кроме того, появился еще один вид согласия — согласие на распространение персональных данных. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. В этом согласии нужно дать возможность субъекту самостоятельно определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. 

Следует помнить, что при хранении персональных данных вы обязаны создать условия, при которых эти данные не смогут получить третьи лица (например, вы распечатываете некие сведения — доступ к ним могут иметь только те, кто непосредственно уполномочен их обрабатывать). 

В связи с этим при обработке персональных данных вы должны оценить вред, который может быть причинен субъектам данных в случае нарушения условий их использования (утечка, разглашение и т.д.). Роскомнадзор определил три степени вреда — высокую, среднюю и низкую, притом самая высокая степень возможного вреда присваивается при обработке биометрических и аналогичных данных. Оцениваете степень вы сами, если являетесь оператором, результаты оценки закрепляете соответствующим актом оценки вреда, содержащим: 

• наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
• дату издания акта оценки вреда;
• дату проведения оценки вреда;
• фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
• степень вреда, которая может быть причинена субъекту персональных данных.

Подписать акт можно традиционно, на бумаге, а можно с помощью электронной подписи. 

Соответственно, при возникновении утечки персданных руководствоваться нужно будет Приказом Роскомнадзора от 14.11.2022 N 187. Приказ предусматривает направление Роскомнадзору уведомления об инциденте в электронной и бумажной форме. Требования к такому уведомлению, порядку его направления и рассмотрения закреплены указанным Приказом. 

Наконец, если вы прекратили обрабатывать персональные данные, вы обязаны их уничтожить — с 1 марта 2023 года при уничтожении данных необходимо будет составить соответствующий акт (приказ Роскомнадзора № 179):

• если обработка персональных данных осуществляется оператором без использования средств автоматизации, то подтверждающим уничтожение персональных данных документом является акт об уничтожении персональных данных;
• если обработка персональных данных осуществляется оператором с использованием средств автоматизации, то подтверждающими уничтожение персональных данных документами являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных. 

Штрафы за нарушения при обработке данных 

Во-первых, следует понимать, что гражданин, который считает, что его права в области защиты персональных данных нарушены, может обратиться с жалобами в суд, полицию, иные правоохранительные органы и органы исполнительной власти (Роскомнадзор). Соответственно, вам придется компенсировать вред, причиненный неправомерным использованием персональных данных, в том числе моральный. 

Кроме того, интернет-магазину придется выплатить солидный штраф, границы которого определены ст. 13.11 КоАП РФ:

• для граждан в размере от двух тысяч до шести тысяч рублей;
• для должностных лиц — от десяти тысяч до двадцати тысяч рублей;
• для юридических лиц — от шестидесяти тысяч до ста тысяч рублей.

При повторном нарушении суммы увеличатся:

• для граждан в размере от четырех тысяч до двенадцати тысяч рублей;
• для должностных лиц — от двадцати тысяч до пятидесяти тысяч рублей;
• для индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей;
• для юридических лиц — от ста тысяч до трехсот тысяч рублей. 

Отсутствие согласия субъекта персданных на их обработку влечет за собой штраф на те же суммы. Кроме того, наказуемо и отсутствие на сайте в доступном для ознакомления и скачивания формате Политики (иного документа) оператора в отношении обработки персональных данных — это грозит наложением штрафов:

• на граждан в размере от одной тысячи пятисот до трех тысяч рублей;
• на должностных лиц — от шести тысяч до двенадцати тысяч рублей;
• на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей;
• на юридических лиц — от тридцати тысяч до шестидесяти тысяч рублей.

Также наказываются:

• невыполнение в установленные законом сроки требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.