вход Демо регистрация
Руководство пользователя
Ответы на часто задаваемые вопросы (FAQ)

Особенности защиты персональных данных у торговых организаций

Опубликовано: 11 марта 2022 г. - 100 просмотров

Организации торговли наряду с общими для всех организаций обязанностями по защите персональных данных сотрудников, учредителей, поставщиков и покупателей имеют ряд обязанностей и особенностей, связанных со спецификой деятельности. Эти особенности возникли в т. ч. с развитием онлайн-методов торговли, продвижения и рекламы.

В данной статье мы рассмотрим, какие обязанности существуют у торговых организаций по защите персональных данных физических лиц.

Некоторые понятия и определения

Персональные данные – это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (ст. 1 Закона № 99-З[1]).

Организации торговли наравне с другими организациями являются относительно вопроса персональных данных операторами, т. е. субъектами хозяйствования, которые самостоятельно или совместно с иными лицами организуют и (или) осуществляют обработку персональных данных.

Обработкой персональных данных является любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление и даже удаление персональных данных.

Напомним, что субъектом персональных данных является физическое лицо, в отношении которого осуществляется обработка персональных данных. А физическое лицо, которое может быть идентифицировано, это то, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Кроме того, Закон № 99-З выделяет следующие виды персональных данных:

  • биометрические персональные данные – это информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
  • генетические персональные данные – это информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
  • общедоступные персональные данные – это персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
  • специальные персональные данные – это персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Какие персональные данные получают организации торговли?

В процессе осуществления своей деятельности организации торговли получают персональные данные, обычные для всех организаций. А именно, персональные данные:

  • сотрудников;
  • учредителей;
  • лиц, выполняющих работы по гражданско-правовым договорам;
  • поставщиков;
  • покупателей.

Кроме того, организации торговли получают в ряде случаев данные физических лиц, которые не являются покупателями. А именно, персональные данные так называемых потенциальных покупателей:

  • участников рекламных игр и акций;
  • физических лиц, заполнивших анкеты с целью получения скидочных карт;
  • посетителей сайта;
  • посетителей сайта, которые оставляют комментарии, в процессе чего посетитель может включить сохранение своего имени, электронного адреса и вебсайта в cookies;
  • участников опросов;
  • участников иных мероприятий, проводимых организацией торговли с целью увеличения количества покупателей.

В отношении покупателей и потенциальных покупателей у организации торговли в обработку поступают, как правило, такие персональные данные, как фамилия, имя, отчество, номер телефона, адрес электронной почты, адрес проживания, дата рождения, пол.

Не секрет, что сбор персональных данных данной категории физических лиц проходит целенаправленно, для того чтобы затем использовать их для привлечения покупателей или потенциальных покупателей к осуществлению новых покупок.

Требования к обработке персональных данных

Согласно ст. 4 Закона № 99-З обработка персональных данных осуществляется в соответствии со следующими требованиями:

  1. Требования к цели обработки персональных данных.

Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным организацией целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.

В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом № 99-З и иными законодательными актами.

  1. Требования к наличию согласия субъекта персональных данных на ее обработку.

Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами.

Примечание. В случае обработки персональных данных без согласия субъекта персональных данных цели обработки персональных данных устанавливаются Законом № 99-З и иными законодательными актами.

  1. Требования к прозрачности обработки персональных данных.

Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом № 99-З, предоставляется информация, касающаяся обработки его персональных данных (цель, срок хранения, перечень персональных данных, кто будет обрабатывать персональные данные и т. д.).

  1. Требования к достоверности персональных данных.

Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их.

  1. Требования к форме и сроку хранения персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

Обязанности оператора

Кроме обязанности осуществлять обработку персональных данных в соответствии с данными требованиями у торговой организации оператора существует ряд обязанностей, установленных Законом № 99-З. А именно, оператор обязан:

  • разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
  • получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
  • обеспечивать защиту персональных данных в процессе их обработки;
  • предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
  • вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
  • прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;
  • уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных.
Справочно
Уполномоченным органом по защите прав субъектов персональных данных является Национальный центр защиты персональных данных (п. 1 Указа № 422[2]). Одной из его задач является принятие мер по защите прав субъектов персональных данных при обработке их персональных данных (п. 6 Указа № 422). Среди функций в целях настоящей статьи выделим контроль за обработкой персональных данных операторами (уполномоченными лицами), рассмотрение жалоб субъектов персональных данных по вопросам обработки персональных данных (п. 7 Указа № 422);
  • осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
  • исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
  • выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.

В каких случаях согласие субъекта персональных данных на их обработку необходимо, а в каких нет?

Статья 6 Закона № 99-З определяет перечень случаев, когда согласие субъекта персональных данных на обработку персональных данных не требуется. Рассмотрим те из них, которые касаются торговых организаций – операторов:

  • для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в т. ч. профессионального пенсионного страхования;
  • при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
  • для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
  • при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
  • при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
  • в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
  • в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
  • в случаях, когда Законом № 99-З и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

В остальных случаях торговая организация как оператор, осуществляющий обработку персональных данных, обязана осуществлять данную обработку только с согласия субъекта персональных данных.

Когда согласие на обработкуперсональных данных считается полученным?

Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных (ст. 5 Закона № 99-З).

Согласие субъекта персональных данных может быть получено следующим образом:

  • в письменной форме;
  • в виде электронного документа;
  • в иной электронной форме, а именно:
  • указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
  • проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
  • других способов, позволяющих установить факт получения согласия субъекта персональных данных.

В ряде случаев может быть предусмотрена необходимость получения согласия субъекта персональных данных только в письменной форме или в виде электронного документа.

До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:

  • наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
  • цели обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • срок, на который дается согласие субъекта персональных данных;
  • информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
  • перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
  • иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных:

  • его права, связанные с обработкой персональных данных;
  • механизм реализации таких прав;
  • последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.

Данные разъяснения должны быть предоставлены оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

Субъект персональных данных при даче своего согласия оператору указывает свои:

  • фамилию;
  • собственное имя;
  • отчество при наличии такового;
  • дату рождения;
  • идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность. В случае, когда идентификационный номер не является предметом обработки персональных данных, субъект персональных данных не должен его указывать при предоставлении согласия на обработку.
Обязанность доказывания получения согласия субъекта персональных данных возложена на оператора.

Субъект персональных данных вправе в любой момент отозвать свое согласие.

В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста 16 лет, за исключением вступления в брак до достижения возраста 16 лет, согласие на обработку его персональных данных дает один из его законных представителей.

Какие меры должен предпринимать оператор для защиты персональных данных?

Обязательными мерами по обеспечению защиты персональных данных являются:

  • назначение оператором ответственного за осуществление внутреннего контроля за обработкой персональных данных;
  • издание оператором (уполномоченным лицом) документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных.
Справочно
Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (ст. 1 Закона № 99-З);
  • ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
  • установление порядка доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Справочно
Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утверждено приказом Оперативно-аналитического центра при Президенте от 20.02.2020 № 66.

Пример получения согласия субъекта персональных данных на обработку его персональных данных

Приведем пример соглашения с пользователями для интернет-магазина:

"Данное соглашение об обработке персональных данных разработано в соответствии с требованиями действующего законодательства Республики Беларусь, Закона Республики от 07.05.2021 № 99-З "О защите персональных данных" и Закона Республики Беларусь от 10.11.2008 № 455-З "Об информации, информатизации и защите информации". Пользователь, заполнивший на сайте интернет-магазина ооо.by сведения, которые составляют персональные данные, настоящим дает согласие на обработку своих персональных данных.

Под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, в т. ч. общая информация (Ф. И. О.), телефон и адрес электронной почты.

Под обработкой персональных данных понимается любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление, накопление, персональных данных в соответствии с законодательством Республики Беларусь.

Администрация сайта ооо.by обрабатывает персональные данные Пользователя в целях предоставления Пользователю услуг в срок – в течение 10 лет с момента предоставления согласия Пользователя на обработку персональных данных.

Цель обработки персональных данных – предоставление постоянным покупателям индивидуальной накопительной скидки, отображающейся в личном кабинете авторизированного пользователя, поддержка обратной связи с пользователями сайта, уведомление пользователя о обновлениях на сайте, действующих акциях интернет-магазина, доставки по указанному адресу.

Пользователь соглашается во время регистрации в сайте и входе в Личный кабинет при необходимости предоставить информацию, относящуюся к его личности, такую как имя и фамилия, адрес электронной почты и телефон.

Уполномоченным лицом, осуществляющим обработку персональных данных, является Иванова О. И.

Комментарии Пользователя могут проверяться автоматическим сервисом определения спама. Оставляя комментарий на сайте ооо.by, Пользователь может включить сохранение своего имени, электронного адреса и веб-сайта в cookies. Такие cookies хранятся в течение одного года".

Ответственность за нарушение Закона № 99-З

Лица, виновные в нарушении Закона № 99-З, несут ответственность, предусмотренную законодательными актами. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом № 99-З, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков (ст. 19 Закона № 99-З).

Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа в размере до 50 БВ (часть первая ст. 23.6 КоАП).

Действия, предусмотренные частью первой ст. 23.6 КоАП, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, влекут наложение штрафа в размере от 4 до 100 БВ (часть вторая ст. 23.6 КоАП).

Умышленное незаконное распространение персональных данных физических лиц влечет наложение штрафа в размере до 200 БВ (часть третья ст. 23.6 КоАП).

Несоблюдение мер обеспечения защиты персональных данных физических лиц влечет наложение штрафа на юридическое лицо – от 20 до 50 БВ (часть четвертая ст. 23.6 КоАП).

 Жанна Минучиц, магистр экон. наук, управляющий партнер компании управленческого консалтинга "Ист энд Вест Чейндж Менеджмент"

[1] Закон от 07.05.2021 № 99-З "О защите персональных данных" (далее – Закон № 99-З).

[2] Указ от 28.10.2021 № 422 "О мерах по совершенствованию защиты персональных данных" (далее – Указ № 422).

Остались вопросы по этому материалу? Задать вопрос