После того, как когда-то болезненный для бухгалтеров вопрос регистрации баз персональных данных (и прежде всего — работников предприятия и его контрагентов) с 1 января 2014 года потерял свою остроту (см. «Налоги и бухгалтерский учет», 2013, № 62, с. 17), эта тема выпала из фокуса у бухгалтерской общественности.
Однако далеко не все хозяйствующие субъекты смогли «расслабиться»: ведь ни сам Закон № 2297, ни драконовскую ст. 18839 КоАП, как говорится, никто не отменял...
Речь пойдет об интернет-магазинах, необходимое условие деятельности которых — это и есть получение от клиентов их персональных данных (ПД)! Ведь согласно абзацу девятому ст. 2 Закона № 2297: «персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано».
Ведь в отличие от ритейла, который тоже стремится идентифицировать покупателей путем выдачи им бонусных карточек, и где покупатель в принципе может от идентификации уклониться (не получать карточку и рассчитаться наличкой), в интернет-торговле это абсолютно исключено. Без идентификации интернет-покупателя невозможно построить цепочку: заказ — оплата — доставка.
«Каминг-аут» интернет-торговца: я обрабатываю ПД!
Сразу же оговоримся: если речь идет о сообщении покупателем интернет-продавцу своих ПД только с целью заключения договора купли-продажи (который при соблюдении любого из трех вариантов подписи, разрешенных ч. 1 ст. 12 Закона № 675, на основании абзаца второго ч. 2 ст. 639 ГКУ будет считаться заключенным в письменной форме) и никаким иным образом эти ПД продавцом использованы не будут, то согласно п. 3 ч. 1 ст. 11 Закона № 2297 это такое самостоятельное основание для «обработки» ПД, которое не накладывает на продавца дополнительных обязанностей (кроме, конечно, запрета на их передачу третьим лицам).
Но так не бывает! Потому что если уж ПД клиента попали в распоряжение интернет-маркетолога, то сам бог торговли велел ему использовать их по максимуму во всех известных инструментах достижения второй главной цели маркетинга — удержанию клиента (имеются в виду «си-эр-эм»-ы, «директ» и т. д.).
Ну, и конечно же, при любом интернет-контакте с сайтом интернет-магазина покупатель «наследит» автоматически: речь идет о таких идентифицирующих его ПД, как IP-адрес и т.н. «cookies» — от этого «греха» фиксации клиентских ПД ни одному интернет-магазину не отмазаться... Мало того: если доставка товара возложена на «постороннюю» службу доставки или перевозчика, то речь идет еще и о передаче ПД покупателя третьим лицам.
Короче говоря, любой интернет-магазин в той или иной степени наверняка занимается обработкой ПД своих клиентов в понимании этого термина, установленном абзацем седьмым ст. 2 Закона № 2297: «сбор, регистрация, накопление, хранение, адаптация, изменение, обновление, использование и распространение (реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем»...
У вас не осталось сомнений, что вы — «в том числе»? Тогда ч. 1 ст. 14 Закона № 675, вступившего в силу 30 сентября 2015 года, накладывает на вас определенные обязанности, и прежде всего — определиться с обоснованным объемом таких ПД, а также принять меры по защите ПД (а кстати, его же ст. 15 — и по хранению электронных документов).
Отдать ПД: только по согласию
Что касается объема истребованных для использования (обработки) ПД клиента, то, во-первых, ч. 3 ст. 6 Закона № 2297 определяет, что состав и содержание ПД должны быть соответствующими, адекватными и нечрезмерными относительно цели их обработки. Во-вторых, ч. 2 ст. 14 Закона № 675 ограничивает этот объем минимумом, необходимым для совершения электронной сделки, — внимание! — если другое не установлено законом или договоренностью сторон. Понятно, что поскольку инициатива расширить объем ПД может исходить только от вас, а не от клиента, речь здесь идет, как правило, о получении вами от него (в установленной форме) согласия на предоставление вам определенного объема его ПД.
Мало того: согласно п. 2.8 Типового порядка обработки персональных данных, утвержденного приказом Уполномоченного ВРУ по правам человека* от 08.01.2014 г. № 1/02-14, такое согласие клиента должно быть «информированным», т. е. решением, принятым осознанно на основании достаточной информации. Это лучше всего реализовать путем размещения на сайте интернет-магазина специального текста (разумеется, предварительно утвержденного распорядительным документом вашего предприятия), например, названного «Политика защиты персональных данных наших клиентов» — с подробным описанием: для какой цели используются ПД клиентов и какие именно, как надежно они защищены, кому могут передаваться (например, перевозчику), как можно ознакомиться со своими, зафиксированными вами ПД, уточнить их, запретить их передачу или вообще уничтожить (!), какие у него права, кому он может мотивированно пожаловаться в случае утечки его ПД по вашей вине и т. д. ...
* С 01.01.2014 г. вопросы защиты ПД и применения санкций за их нарушения стали прерогативой этой персоны.
Поймите: этот текст может быть вашей дополнительной маркетинговой фишкой под лозунгом — «мы любим клиента и ценим его ПД больше, чем свою невинность, а храним их надежнее, чем Моссад и КГБ вместе взятые»... ☺
Что же касается формы согласия клиента, то вот самое для вас приятное: с 30.09.2015 г. заработал абзац четвертый ст. 2 Закона № 2297: «В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлено во время регистрации в информационно-телекоммуникацонной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки». Это — разумное решение законодателя.
Обрабатываешь ПД? Защищай их!
Поскольку статья адресована коллеге-главбуху, то, что касается именно защиты ПД, вот на что вам следует обратить самое пристальное внимание: указанный Типовой порядок обработки персональных данных настолько конкретен и информативен как в части требований к обработке ПД, так и в части мер по их защите, что даже если вы, как обычно, «за все в ответе», то можете воспользоваться им как «рыбой» при написании ТЗ программисту, обслуживающему «движок» вашего сайта. Ну или использовать его как должностную инструкцию для IT-директора вашего предприятия... ☺
Плюс к указанному Порядку вам поможет Разъяснение к Типовому порядку обработки персональных данных от 08.01.2014 г.** (конечно же, кроме рекомендованной там формы согласия на обработку — вам ее заменит упомянутая выше отметка клиента).
** Официальные тексты как самого приказа от 08.01.2014 г. № 1/02-14 с утвержденными им Порядками, на которые мы здесь ссылаемся, так и Разъяснений к ним вы можете найти на старой версии сайта по адресу: http://www1.ombudsman.gov.ua/index.php?option=com_content&view=category&layout=blog&id=202&Itemid=202 (гиперссылки на тексты Разъяснений ищите внизу текста каждого Порядка).
Чтобы закончить с объемом и составом ПД, обратим ваше внимание, что если вы вознамеритесь обрабатывать определенные — т.н. «особые» ПД — представляющие особый риск для прав и свобод субъектов ПД, то обязаны уведомить об этом Уполномоченного в соответствии с Порядком уведомления Уполномоченного ВРУ по правам человека об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, которое организует работу, связанную с защитой персональных данных при их обработке, а также обнародовании указанной информации, утвержденным тем же приказом от 08.01.2014 г. № 1/02-14.
Вот полный перечень «особых» ПД, установленный в п. 1.2 этого Порядка: (1) расовое, этническое и национальное происхождение; (2) политические, религиозные и мировоззренческие убеждения; (3) членство в политических партиях и/или организациях, профсоюзах, религиозных организациях или в общественных организациях мировоззренческой направленности; (4) состояние здоровья; (5) половая жизнь; (6) биометрические данные; (7) генетические данные; (8) привлечение к административной или уголовной ответственности; (9) использование к лицу мер в рамках досудебного расследования; (10) применение к лицу мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности» от 18.02.92 г. № 2135-ХІІ; (11) применение к лицу тех или иных видов насилия; (12) местонахождение и/или пути перемещения лица. Точка.
Сразу же успокоим, если вы успели схватиться за голову при слове «местонахождение». ☺ В соответствующем Разъяснении основных положений Порядка уведомления... содержится крайне важное утверждение, касающееся (12): «В данную категорию не попадает информация о месте проживания, месте регистрации, служебные и другие командировки и поездки».
Но если вы на сей счет сомневаетесь, то замаскируйте эту категорию ПД под «место доставки»...
И еще. Если ваш интернет-магазин продает одежду/обувь, то вас может испугать (6). «Узбагойтесь»: здесь речь не о размерах человека (т. е. его антропометрических данных), а, например, о таких сугубо биометрических, как рисунок роговицы глаза или дактилоскопический отпечаток пальца или руки.
Как видите, интернет-магазинам такие «особые» ПД не нужны, но по необходимости некоторым владельцам именно таких ПД их обрабатывать можно. Для этого необходимо уведомить Уполномоченного в соответствии с Порядком уведомления... в срок 30 рабочих дней со дня начала обработки ( ч. 1 ст. 9 Закона № 2297).
Напоследок вернемся к такому популярному маркетинговому инструменту, как коммерческое электронное сообщение. Так вот, ст. 10 Закона № 675 разрешает его в двух вариантах: (1) если у вас имеется предварительное согласие клиента на их получение — путем отдельной или «совмещенной» его отметки (ч. 2) или (2) если предварительное согласие не получено, но клиент в любой момент может от их получения отказаться (ч. 3). Побольше ПД вам! ☺
