Персональные данные и интернет-магазин: что к ним относится, как обрабатывать, что грозит при неисполнении. Отвечаем на основные вопросы

В повседневной жизни — и, соответственно — в деловых и рабочих отношениях все чаще упоминаются "персональные данные", "личная информация" и прочее, что запрещено разглашать и можно обрабатывать только с согласия обладателя этих персональных данных. При этом не все в курсе, что из себя представляют персональные данные и какими из них можно пользоваться, а какими — нельзя.

Что такое персональные данные

С точки зрения закона персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Сформулировано это определение очень расплывчато, что, в общем, позволяет в некоторых случаях отнести к персональным данным практически любые сведения о человеке.

Что касается обработки данных, то к ней относятся:

• сбор,
• запись,
• систематизация,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передача (распространение, предоставление, доступ),
• обезличивание,
• блокирование, удаление, уничтожение.

В общем, никуда от персональных данных не деться, особенно, если у вас интернет-магазин.

Человек, который делает покупки в офлайн-магазине, особенно если расплачивается наличными, предоставляет продавцу гораздо меньше персональной информации, чем когда делает заказ через интернет. При заказе онлайн продавцу станет известно имя покупателя, сведения о его банковской карте, место его проживания или пребывания при доставке курьером, а иногда и более личные данные: в магазине одежды — физические параметры человека, при покупке в секс-шопе — интимные предпочтения.

Естественно, любой покупатель хочет быть уверен в том, что завтра эти сведения не окажутся в открытом доступе. Поэтому законодательства большинства государств предусматривают порядки и границы обработки персональных данных. В РФ это ФЗ "О персональных данных". При этом функция по контролю и надзору в этой сфере возложена на Роскомнадзор.

Судебная практика по вопросу защиты персональных данных уже достаточно разработана, однако до сей поры некоторые вопросы остаются достаточно спорными. При этом ответственность оператора обработки данных достаточно велика и платить штраф из-за нарушения норм по незнанию или из-за случайной ошибки неприятно.

Что считать персональными данными в интернет-торговле?

Сейчас к персональным данным принято относить:

• фамилию, имя, отчество,
• год, месяц, дату и место рождения,
• адрес, место жительства,
• семейное, социальное, имущественное положение,
• образование,
• профессию,
• доходы,
• номера телефона,
• паспорта,
• ИНН,
• банковской карты,
• медицинские данные,
• биометрические данных.

Закон к тому же выделяет среди всех  персональных данных категорию общедоступных.

Общедоступные персональные данные —  персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Говоря простым языком, это те данные, которые человек сам предоставил для широкого круга лиц (например, сведения на открытой страничке в соцсети или оставленный им в интернет-магазине персонализированный отзыв). Притом нужно понимать, что если человек желает эти данные отозвать, то вы обязаны подчиниться — например, удалить отзыв этого покупателя, сведения о его покупке, статью о том, что он, скажем, выиграл приз в вашем розыгрыше, если она получилась достаточно личная и т.д. При неисполнении этих требований покупатель вполне может направить иск в суд и даже выиграть дело.

С другой стороны, далеко не всегда суд встает на сторону истца в определении того, что является персональными данными. Например,  Постановлением Арбитражного суда Северо-Западного округа от 6 мая 2015 г. по делу N А21-4273/2014 признано, что голос гражданина в понятие персональных данных не включается, поэтому при ведении аудиозаписи разговора и предоставлении ее в качестве доказательства ссылаться на защиту персональных данных нельзя. При этом, например, по общему правилу фотографии людей относятся к охраняемым персональным данным, однако нельзя пожаловаться на фотографию, сделанную за плату (например, рекламная съемка) или в общественных местах, если гражданин попал в кадр случайно.

Как интернет-магазин может обрабатывать персональные данные?

Для начала следует разобраться с термином "оператор обработки персональных данных". Если кто-то до сих пор думает, что оператором может быть только орган власти, ну или в крайнем случае — юридическое лицо, то они ошибаются. Закон предполагает, что оператором обработки становится любое лицо, которое такими данными располагает и каким-то образом пользуется. Для операторов, осуществляющих эту деятельность на постоянной основе и с предоставлением данных третьим лицам, предусмотрен специальный реестр. Подать уведомление об обработке персональных данных такой оператор должен до начала обработки, в уведомлении указать цели и объемы работы с данными.

В большинстве случаев интернет-магазинам подавать такие уведомления не требуется. Роскомнадзор при этом разъясняет, что речь идет о данных, полученных продавцом в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Обработка персональных данных будет законна, если совершается с согласия субъекта, соответствует целям обработки и не выходит за их рамки. Кроме того, пользование данными не может производиться во вред покупателю, сведения (кроме специально оговоренных) — предоставляться в свободный доступ. Запрещено при обработке данных нарушать закон, что, в общем, само собой разумеется.

Обработка данных с точки зрения закона делится на два вида: обработка "вручную", то есть конкретными лицами (например, отдел кадров, отдел по работе с клиентами) и автоматизированная обработка (с помощью компьютерных программ и систем; например, создание автоматизированной базы данных клиентов, хранение в "личных кабинетах клиентов" сведений об их заказах, автоматическая привязка номеров карт к профилю и т.д.). В любом из этих случаев информирование клиента о том, какая информация и зачем будет храниться в магазине — обязательно.

Запрещено при этом обрабатывать так называемые специальные категории персональных данных: это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, личной жизни (кроме случаев, когда сам человек в письменной форме дал согласие на такую обработку или сам сделал эти данные общедоступными).

Какие данные обычно предоставляет покупатель продавцу, заказывая онлайн 

При покупке товара покупатель в обязательном порядке (согласно "Правилам продажи товаров дистанционным способом") обязан предоставить продавцу свои фамилию, имя, отчество и адрес доставки товара. Соответственно, если товар маркирован как имеющий ограничения по возрасту (например, эротическая литература или изображение), нужно уточнить и возраст покупателя. Правда, паспортные данные затребовать нельзя, поэтому покупатель вполне может предоставить недостоверную информацию.

В любом случае перед совершением договора покупатель должен согласиться предоставить продавцу свои данные. Такое согласие разрешено получать любым способом на усмотрение самого продавца, если затем он сумеет подтвердить факт согласия (например, путем проставления галочки в форме заказа).

Если речь идет о чем-то помимо заключения договора купли-продажи (и, соответственно, персональные данные будут обрабатываться с какими-то еще целями) — исследование, опрос, передача третьим лицам —  необходимо получить письменное согласие человека, в котором будут указаны его ФИО, номер паспорта, объем получаемой информации и цели ее использования. С образцами уведомлений об обработке данных можно ознакомиться на официальном сайте Роскомнадзора.

Следует помнить, что при хранении персональных данных на материальных носителях вы обязаны создать условия, при которых эти данные не смогут получить третьи лица (например, вы распечатываете некие сведения — доступ к ним могут иметь только те, кто непосредственно уполномочен их обрабатывать).

Что будет, если требования закона не исполнить?

Во-первых, следует понимать, что гражданин, который считает, что его права в области защиты персональных данных  нарушены, может обратиться с жалобами в суд, полицию, иные правоохранительные органы и органы исполнительной власти (Роскомнадзор).

Через суд гражданин может потребовать (и получить) компенсацию морального и иного полученного вреда (ущерба репутации, необходимости обращения к врачу и т.д.). Кроме того, интернет-магазину придется выплатить солидный штраф, границы которого определены ст. 13.11 КоАП РФ: это от 700 до 18 миллионов рублей. При этом в случаях, установленных законом, ИП будет нести ответственность не как физическое лицо, а как организация, то есть объем ответственности может увеличиться на порядок.