Обработка персональных данных в B2B-услугах: правовые аспекты и риски
Анализ ситуации
Рассмотрим каждый из описанных случаев обработки персональных данных с учетом требований законодательства.
1. Форма обратной связи на сайте
"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 9)
Автоматическое согласие при нажатии кнопки без отдельного оформления согласия не соответствует требованиям закона. Необходимо предусмотреть отдельный элемент (галочку) с полной информацией о целях и условиях обработки данных.
2. Обработка данных сотрудников клиента
"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)
"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 18)
Для обработки данных сотрудников клиента необходимо:
- Убедиться, что обработка действительно необходима для исполнения договора
- Уведомить сотрудников об обработке их данных, если они не были уведомлены оператором-клиентом
3. Обработка данных при выплате компенсаций
"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)
Пункт 5 статьи 6 действительно может применяться, если физические лица являются выгодоприобретателями по договору. Однако необходимо:
- Убедиться, что обработка ограничена только данными, необходимыми для исполнения договора
- Соблюдать требования к уведомлению субъектов при получении данных не от них
4. Передача данных бухгалтерской компании
"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицем договора" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)
"Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)
При передаче данных бухгалтерской компании необходимо:
- Заключить договор, определяющий условия обработки
- Убедиться, что первоначальное согласие субъекта покрывает передачу данных для указанных целей
- Обеспечить соответствие аутсорсера требованиям защиты данных
5. Уведомление Роскомнадзора
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)
"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)
Выводы и рекомендации
-
Для формы на сайте - переработать механизм получения согласия, предусмотрев отдельный элемент (галочку) с полной информацией об обработке данных.
-
При обработке данных сотрудников клиентов - обеспечить уведомление субъектов о обработке их данных и документально подтвердить правомерность обработки в рамках договора.
-
При выплате компенсаций - убедиться, что обработка ограничена целями исполнения договора, и физические лица действительно являются выгодоприобретателями.
-
При передаче данных аутсорсеру - заключить договор, определяющий условия обработки, и обеспечить соответствие аутсорсера требованиям защиты данных.
-
Обязательно подать уведомление в Роскомнадзор до начала обработки данных, так как описанные случаи не подпадают под исключения из статьи 22 Федерального закона №152-ФЗ.
Риски несоблюдения: Штрафы по статье 13.11 КоАП РФ могут достигать 700 000 рублей за обработку без согласия и 300 000 рублей за неуведомление Роскомнадзора, а также ответственность за возмещение морального вреда по статье 24 Федерального закона №152-ФЗ.
Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для разработки полного комплекта документов и процедур, соответствующих требованиям законодательства.