Правовые вопросы хранения и анализа данных из чеков с согласия пользователя в системе API

Обработка данных из чеков: правовой анализ

Анализ ситуации

Рассматривается ситуация, когда разработчик использует систему для проверки чеков на бесплатной основе, получает от пользователей чеки и их согласие на обработку данных, но при этом условия использования системы ограничивают цели обработки данных только конкретными задачами.

Применимые правовые нормы

Соответствие целям обработки условиям системы

"Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5)

"Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5)

Согласие на обработку персональных данных

"Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)

Ответственность за нарушение условий

"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 24)

Договорные отношения

"Договор должен соответствовать обязательным для сторон правилам, установленным законом и иными правовыми актами (императивным нормам), действующим в момент его заключения." (Источник: Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 N 51-ФЗ, статья 422)

Выводы и рекомендации

1. Ограниченность согласия пользователя

Согласие пользователя на обработку данных не является безусловным основанием для любой обработки. Даже при наличии согласия, обработка должна соответствовать:

• Целям, указанным в условиях использования системы
• Принципу соразмерности и необходимости обработки

2. Нарушение условий системы

Хранение и анализ данных позиций из чеков для целей, не указанных в условиях использования системы (только для выдачи электронного чека, его проверки и подачи сообщений о нарушениях), будет являться нарушением договорных обязательств.

3. Правовые последствия

Нарушение условий может повлечь:

• Гражданско-правовую ответственность перед владельцем системы
• Административную ответственность за нарушение законодательства о персональных данных
• Возможность признания обработки незаконной

4. Риски одностороннего изменения условий

Одностороннее изменение объемов обмена данными системой создает дополнительные риски для разработчика, поскольку может ограничить его возможности по выполнению обязательств перед пользователями.

Рекомендации

1. Строго соблюдайте цели обработки, определенные в условиях использования системы
2. Не осуществляйте хранение и анализ данных для целей, не предусмотренных условиями
3. Уточните у владельца системы возможность расширения целей обработки
4. Рассмотрите возможность заключения отдельного соглашения с владельцем системы для легализации дополнительных целей обработки
5. Проконсультируйтесь с адвокатом, специализирующимся на защите персональных данных, для оценки конкретных рисков

Помните, что даже при наличии согласия пользователя, обработка данных способами, не предусмотренными условиями использования системы, создает существенные правовые риски.