Після того, як колись болюче для бухгалтерів питання реєстрації баз персональних даних (і перш за все — працівників підприємства та його контрагентів) з 1 січня 2014 року втратило свою гостроту (див. «Податки та бухгалтерський облік», 2013, № 62, с. 17), ця тема випала з фокусу у бухгалтерської громадськості.
Проте далеко не всі господарюючі суб’єкти змогли «розслабитися»: адже ані сам Закон № 2297, ані драконівську ст. 18839 КпАП, як-то кажуть, ніхто не відміняв...
Мова піде про інтернет-магазини, необхідна умова діяльності яких — це і є отримання від клієнтів їх персональних даних (ПД)! Адже згідно з абзацом дев’ятим ст. 2 Закону № 2297: «персональні дані — відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована».
Адже на відміну від рітейла, який теж прагне ідентифікувати покупців шляхом видачі ним бонусних карток, і де покупець у принципі може від ідентифікації відмовитися (не отримувати картку і розрахуватися готівкою), в інтернет-торгівлі це абсолютно виключено. Без ідентифікації інтернет-покупця неможливо побудувати ланцюжок: замовлення — оплата — доставка.
«Камінг-аут» інтернет-торговця: я обробляю ПД!
Одразу ж зауважимо: якщо йдеться про повідомлення покупцем інтернет-продавцю своїх ПД тільки з метою укладення договору купівлі-продажу (який при дотриманні будь-якого з трьох варіантів підпису, дозволених ч. 1 ст. 12 Закону № 675, на підставі абзацу другого ч. 2 ст. 639 ЦКУ вважатиметься укладеним у письмовій формі) і жодним іншим чином ці ПД продавцем використані не будуть, то згідно з п. 3 ч. 1 ст. 11 Закону № 2297 це така самостійна підстава для «обробки» ПД, яка не накладає на продавця додаткових обов’язків (крім, звичайно, заборони на їх передачу третім особам).
Але так не буває! Тому що коли вже ПД клієнта потрапили в розпорядження інтернет-маркетолога, то сам бог торгівлі велів йому використовувати їх по максимуму в усіх відомих інструментах досягнення другої головної мети маркетингу — утримання клієнта (маються на увазі «сі-ер-ем»-и, «директ» тощо).
Ну і звичайно ж, при будь-якому інтернет-контакті з сайтом інтернет-магазину покупець «наслідить» автоматично: ідеться про такі ПД, що ідентифікують його, зокрема IP-адреса і так звані «cookies» — від цього «гріха» фіксації клієнтських ПД жодному інтернет-магазину не відмазатися... Мало того: якщо доставка товару покладена на «сторонню» службу доставки або перевізника, то йдеться ще й про передачу ПД покупця третім особам.
Коротше кажучи, будь-який інтернет-магазин у тій чи іншій мірі напевно займається обробкою ПД своїх клієнтів у розумінні цього терміна, установленому абзацом сьомим ст. 2 Закону № 2297: «збирання, реєстрація, накопичення, зберігання, адаптація, зміна, поновлення, використання і поширення (реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем»...
У вас не залишилося сумнівів, що ви — «у тому числі»? Тоді ч. 1 ст. 14 Закону № 675, що набув чинності 30 вересня 2015 року, накладає на вас певні обов’язки, і перш за все — визначитися з обґрунтованим обсягом таких ПД, а також вжити заходів щодо захисту ПД (а до речі, його ж ст. 15 — і щодо зберігання електронних документів).
Віддати ПД: тільки за згодою
Що стосується обсягу витребуваних для використання (обробки) ПД клієнта, то по-перше, ч. 3 ст. 6 Закону № 2297 визначає, що склад і зміст ПД мають бути відповідними, адекватними та ненадмірними щодо мети їх обробки. По-друге, ч. 2 ст. 14 Закону № 675 обмежує цей обсяг мінімумом, який необхідний для здійснення електронної операції, — увага! — якщо інше не встановлено законом або домовленістю сторін. Зрозуміло, що оскільки ініціатива розширити обсяг ПД може виходити тільки від вас, а не від клієнта, тут ідеться, як правило, про отримання вами від нього (у певній формі) згоди на надання вам визначеного обсягу його ПД.
Мало того: згідно з п. 2.8 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого ВРУ з прав людини* від 08.01.2014 р. № 1/02-14, така згода клієнта має бути «інформованою», тобто рішенням, прийнятим усвідомлено на підставі достатньої інформації. Це найкраще реалізувати шляхом розміщення на сайті інтернет-магазину спеціального тексту (зрозуміло, заздалегідь затвердженого розпорядчим документом вашого підприємства), наприклад, названого «Політика захисту персональних даних наших клієнтів» — з детальним описом: для якої мети використовуються ПД клієнтів і які саме, як надійно вони захищені, кому можуть передаватися (наприклад, перевізнику), як можна ознайомитися зі своїми, зафіксованими вами ПД, уточнити їх, заборонити їх передачу або взагалі знищити (!), які в нього права, кому він може мотивовано поскаржитися в разі поширення його ПД з вашої вини тощо...
* З 01.01.2014 р. питання захисту ПД і застосування санкцій за їх порушення стали прерогативою цієї персони.
Зрозумійте: цей текст може бути вашою додатковою маркетинговою фішкою під гаслом — «ми любимо клієнта і цінуємо його ПД більше, ніж свою невинність, а зберігаємо їх надійніше, ніж Моссад і КДБ разом узяті»... ☺
Що ж до форми згоди клієнта, то ось для вас найприємніше: з 30.09.2015 р. запрацював абзац четвертий ст. 2 Закону № 2297: «У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставляння відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставляння відмітки».
Це — дуже розумне та занадто довгоочікуване рішення законодавця.
Обробляєш ПД? Захищай їх!
Оскільки стаття адресована колезі-головбуху, то що стосується саме захисту ПД, ось на що вам слід звернути найпильнішу увагу: зазначений Типовий порядок обробки персональних даних настільки конкретний та інформативний як у частині вимог до обробки ПД, так і заходів щодо їх захисту, що навіть якщо ви, як завжди, «відповідаєте за все», то можете скористатися ним як «рибою» при написанні ТЗ програмісту, який обслуговує «движок» вашого сайта. Ну, або як посадову інструкцію для IT-директора вашого підприємства... ☺
Плюс до зазначеного Порядку вам допоможе Роз’яснення до Типового порядку обробки персональних даних від 08.01.2014 р.** (звичайно ж, крім рекомендованої там форми згоди на обробку — вам її замінить згадана вище відмітка клієнта).
** Офіційні тексти як самого наказу від 08.01.2014 р. № 1/02-14 із затвердженими ним Порядками, на які ми тут посилаємося, так і Роз’яснень до них ви можете знайти на старій версії сайта за адресою: http://www1.ombudsman.gov.ua/index.php?option=com_content&view=category&layout=blog&id=202&Itemid=202 (гіперпосилання на тексти Роз’яснень шукайте внизу тексту кожного Порядку).
Щоб закінчити з обсягом і складом ПД, звернемо вашу увагу, що якщо ви наміритеся обробляти певні — так звані «особливі» ПД — що становлять особливий ризик для прав і свобод суб’єктів ПД, то зобов’язані повідомити про це Уповноваженого відповідно до Порядку повідомлення Уповноваженого ВРУ з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації, затвердженого тим самим наказом від 08.01.2014 р. № 1/02-14.
Ось повний перелік «особливих» ПД, установлений в п. 1.2 цього Порядку: (1) расове, етнічне та національне походження; (2) політичні, релігійні та світоглядні переконання; (3) членство в політичних партіях та/або організаціях, профспілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості; (4) стан здоров’я; (5) статеве життя; (6) біометричні дані; (7) генетичні дані; (8) притягнення до адміністративної чи кримінальної відповідальності; (9) вжиття щодо особи заходів в рамках досудового розслідування; (10) вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність» від 18.02.92 р. № 2135-ХII; (11) вчинення щодо особи тих чи інших видів насильства; (12) місцеперебування та/або шляхи переміщення особи. Крапка.
Одразу ж заспокоїмо, якщо ви встигли схопитися за голову при слові «місцеперебування». ☺ У відповідному Роз’ясненні основних положень Порядку повідомлення... міститься вкрай важливе твердження, що стосується (12): «До цієї категорії не потрапляє інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки».
Але якщо ви з цього приводу сумніваєтеся, то просто замаскуйте цю категорію ПД під «місце доставки»...
І ще. Якщо ваш інтернет-магазин продає одяг/взуття, то вас може налякати (6). Спокійно: тут ідеться не про розміри людини (тобто її антропометричні дані), а наприклад, про такі суто біометричні , як малюнок рогівки ока чи дактилоскопічний відбиток пальця чи руки.
Як бачите, інтернет-магазинам такі «особливі» ПД не потрібні, але за потреби деяким власникам саме таких ПД їх обробляти можна. Для цього необхідно повідомити Уповноваженого відповідно до Порядку повідомлення... у строк 30 робочих днів з дня початку обробки ( ч. 1 ст. 9 Закону № 2297).
Насамкінець повернемося до такого популярного маркетингового інструменту, як комерційне електронне повідомлення. Так от, ст. 10 Закону № 675 дозволяє його у двох варіантах: (1) якщо у вас є попередня згода клієнта на їх отримання — шляхом окремої чи «поєднаної» його відмітки (ч. 2) або (2) якщо попередня згода не отримана, але клієнт у будь-який момент може від їх отримання відмовитися (ч. 3). Якнайбільше ПД вам! ☺
