Москва: +7 495 925-52-95
пн-чт: 09.00-19.00, пт: 09.00-18.00
пн-чт: 09.00-19.00, пт: 09.00-18.00
Линия консультаций:+7 495 223-06-80
19.06.2020
Вопрос:
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Ситуация следующая:
на сайте компании есть форма подписки на новости
Вопрос: считается ли e-mail персональными данными и надо ли компании получать от подписчиков согласие с политикой обработки персональных данных, положением о конфиденциальности или подобным документом? И какой именно документ должен быть у компании?
Примечание: в статьях/комментариях – мнение различно; встречается мнение, что адрес почты относится к персональным данным.
У некоторых компаний встречается на сайте требование о согласии, например: ...
Планируется обновление этой формы подписки с добавлением к полю e-mail полей Имя, Фамилия, Компания, Должность.
Изменится ли в этом случае порядок работы с полученными данными? Какие из этих данных можно собирать и обрабатывать, не попадая под действие закона о персональных данных?
Ответ:
По нашему мнению, e-mail может быть отнесен к персональным данным, поскольку он относится к определенному физическому лицу и позволяет косвенно определить данное лицо.
Во избежание рисков нарушения законодательства о персональных данных компании необходимо предпринять установленные законом меры даже в случае получения от пользователей сайта только адресов электронной почты без указания других данных.
Если же дополнительно будут запрашиваться ФИО и иные данные, то принятие необходимых мер тем более является обязательным.
Мы полагаем, что ситуация, когда компания получает данные пользователей при помощи их подписки через электронную форму, размещенную на сайте компании, может быть квалифицирована как сбор персональных данных с использованием информационно-телекоммуникационных сетей.
Поэтому компании для соблюдения требований законодательства следует разместить на своем интернет-сайте политику в отношении обработки персональных данных.
Для получения согласия пользователей на обработку их данных, по нашему мнению, достаточно будет внести в размещенную на сайте форму подписки условие о согласии клиентов на обработку их персональных данных.
Обоснование:
Основные вопросы, связанные с обработкой и защитой персональных данных, урегулированы Федеральным законом от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" (далее – Закон).
Согласно п. 1 ст. 3 Закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Таким образом, четкий перечень информации, которая является персональными данными, законодательством не определен.
При этом персональными данными будет являться любая информация, которая относится к конкретному физическому лицу и позволяет его идентифицировать.
Оператором персональных данных признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона).
Под обработкой персональных данных согласно п. 3 ст. 3 Закона понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, любая организация, получающая с помощью электронной формы на своем интернет-сайте информацию о физических лицах, которая может быть отнесена к персональным данным, признается оператором персональных данных.
Как указано выше, перечень сведений, относящихся к персональным данным, четко не определен, в связи с чем законодательство не дает однозначного ответа, относится ли к персональным данным адрес электронной почты физического лица сам по себе.
По нашему мнению, e-mail скорее может быть отнесен к персональным данным, поскольку он относится к определенному физическому лицу и позволяет косвенно определить данное лицо. В данной ситуации также имеет значение и конкретное содержание электронного адреса (набор букв и цифр). Если адрес содержит фамилию и имя адресата или их существенную часть, год/дату рождения и т.п., то это тем более позволяет идентифицировать конкретное физическое лицо.
Как пример, в практике судов имеются дела, когда суд посчитал персональными данными информацию о посещении пользователями интернет-ресурсов (Решение АС г.Москвы от 29 марта 2016 г. по делу № А40-14900/2016, Решение АС г. Москвы от 11 марта 2016 г. по делу № А40-14902/2016).
В связи с этим мы считаем, что для избежания рисков нарушения законодательства о персональных данных необходимо предпринять установленные законом меры даже в случае получения от пользователей сайта только адресов электронной почты без указания других данных.
Если же дополнительно будут запрашиваться ФИО и иные данные, то принятие необходимых мер тем более является обязательным.
В силу п. 1 ст. 18.1 Закона оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами.
К таким мерам относится издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
П. 2 ст. 18.1 Закона установлена обязанность оператора опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Таким образом, любой оператор, вне зависимости от того, каким способом он осуществляет сбор персональных данных, обязан издать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить возможность доступа всех заинтересованных лиц к такому документу.
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В рассматриваемом случае интернет-сайт компании предусматривает форму подписки, при помощи которой происходит сбор данных пользователей.
Законодательство не разъясняет, в каком случае следует считать, что сбор персональных данных осуществляется с использованием информационно-телекоммуникационных сетей. Необходимо ли для этого размещение информации о себе пользователем путем регистрации на интернет-сайте (создания личного кабинета), либо достаточно того, что интернет-сайт каким-либо образом (даже косвенным) задействован при сборе персональных данных.
Мы полагаем, что ситуация, когда компания получает данные пользователей при помощи их подписки через электронную форму, размещенную на сайте компании, может быть квалифицирована как сбор персональных данных с использованием информационно-телекоммуникационных сетей.
Поэтому считаем, что компании для соблюдения требований Закона следует разместить на своем интернет-сайте политику в отношении обработки персональных данных.
Подп. 1 п. 1 ст. 6 Закона устанавливает общее правило о необходимости получения согласия субъекта персональных данных на обработку персональных данных.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (п. 1 ст. 9 Закона).
Полагаем, что в данном случае письменная форма согласия не является обязательной, и организации достаточно будет внести в размещенную на сайте форму подписки условие о согласии клиентов на обработку их персональных данных. Заполняя указанную форму, пользователь сайта тем самым выражает свое согласие на обработку внесенных им данных.
Отмечаем, что бремя доказывания наличия согласия пользователя лежит на операторе.
