Договор с потребителем: как правильно оформлять раздел об обработке персональных данных

Федеральный закон №152-ФЗ устанавливает запрет на использование персональных данных в отсутствие надлежащего правового основания, в том числе без согласия их владельцев. А 1 сентября 2022 года вступили в силу поправки в ст.16 Закона «О защите прав потребителей».

Никита Володин, старший консультант по защите персональных данных компании Б-152, рассказал, как оформлять документы, чтобы не получить штраф от Роскомнадзора.

Нужно ли включать раздел об обработке данных в договор с потребителем?

Если организация собирает сведения о своих клиентах, такие как ФИО, контакты, информация о банковских картах и т.д., то для соблюдения требований действующего законодательства при сборе и дальнейшей обработке такой информации организации необходимо обеспечить правовое основание, например -  получить согласие клиента. 

Если персональные данные клиента обрабатываются на основании договора, то в таком договоре должен быть раздел об обработке персональных данных, который будет информировать пользователей о том, как их личная информация будет собираться, храниться, передаваться и в целом использоваться компанией.
Включение такого пункта поможет обеспечить для клиента прозрачность и понятность процедуры обработки его персональных данных и защитить организацию от потенциальных юридических проблем.

В случае, если у организации есть цели обработки персональных данных клиента, выходящие за рамки предмета, заключенного с ним договора (например, если у организации есть цель осуществлять маркетинговые рассылки клиентам), то для этого необходимо обеспечить дополнительное правовое основание – согласие такого клиента на обработку его данных в целях осуществления рассылок. 

Что писать в разделе об обработке персональных данных?

Содержание раздела зависит от того, какой объём информации о клиентах собирается и как она в дальнейшем используется вашей компанией. Рекомендуем включать в этот раздел все детали процесса работы с полученными сведениями.

● Какой тип информации собирается.
● Зачем компании сведения о потребителе, то есть цели обработки данных.
● Где будут храниться данные.
● Могут ли они быть переданы третьим лицам и в каких случаях.
● Какие меры приняты для защиты конфиденциальности клиента.
● В каких случаях прекращается работа с персональными данными.
● Сроки обработки персональных данных.
● Способы связи с организацией по вопросам обработки персональных данных.

Может ли потребитель не предоставлять персональные данные?

Потребитель имеет право не предоставлять персональные данные, которые не нужны для исполнения договора, то есть являются избыточными. Исключением являются случаи, когда предоставить персональные данные по закону, например, при оказании медицинских услуг. 

Компаниям запрещено отказывать в исполнении, изменении или расторжении такого договора, если они не могут обосновать, по какой причине невозможно исполнить договор в случае отсутствия запрашиваемых сведений. Поэтому юридическим лицам важно определить, какая именно информация им требуется для начала сотрудничества.

Как определить избыточность персональных данных?

Процесс определения избыточности собираемых сведений о гражданах регламентируется ч.5 ст.5 ФЗ «О персональных данных» и предполагает 3 этапа:

1. Определение цели обработки. Это может быть заключение договора для продажи товаров или оказания услуг.

2. Обоснование необходимости сбора данных, без которых невозможно исполнить обязательство по договору.

3. Сформировать минимум сведений, необходимых для достижения цели их обработки. То есть нужно доходчиво объяснить потребителю, какие данные и для чего вы используете. 

Если обосновать сбор данных не удаётся, они считаются избыточными, то есть использовать их организация не имеет права. 

Важно отметить, что помимо определения минимально необходимого перечня персональных данных, компании нужно определить перечень целей, с которыми эти данные собираются. Так, например, если компания собирает контакты для исполнения договора купли-продажи, то для сбора персональных данных в целях направления покупателям рекламных рассылок требуется самостоятельное правовое основание - согласие покупателя, не включенное в текст договора. 

Это необходимо ввиду того, что направление рекламных рассылок покупателю не входит в предмет договора купли-продажи, поэтому для такой цели обработки персональных данных договорные отношения не будут являться надлежащим правовым основанием. Включение в договор купли-продажи положений о возможности направления рекламных рассылок расценивается Роскомнадзором как принуждение к даче согласия или не свободное волеизъявление, т.к. покупатель в этой ситуации оказывается в более уязвимом положении и вынужден либо заключить договор, включающий эту цель, либо вовсе отказаться от заключения договора.

Как обосновать сбор персональных данных?

В Разделе об обработке персональных данных нужно описать, какие сведения о потребителях использует компания и в каких целях. 

Например, необходимость обработки ПДн в связи с исполнением договора связана с реализацией принципа надлежащего исполнения обязательств в соответствии со ст.309 ГК РФ. Обработка в целях, не связанных с исполнением договора или раскрытие ПДн третьим лицам требуют наличия самостоятельного согласия потребителя.

«Молчаливое согласие», т.е. факт пользование сайтом или расчёт стоимости услуг не является согласием на обработку данных и их передачу третьим лицам. Связано это с тем, что, во-первых, для пользователя сайта такое согласие не будет информированным, а во-вторых, самой компании впоследствии будет сложно доказать факт получения такого согласия. 

Как реагировать на запросы потребителей?

Потребитель имеет право направить запрос с требованием обосновать необходимость сбора персональных данных. Задача компании заключается в правильной реакции на такие обращения.

Необходимо предоставить причины и правовые основания невозможности заключения договора без предоставления персональных данных, желательно с ссылками на законодательство РФ. Ответ на запрос должен быть предоставлен в той же форме, в какой он был сделан, то есть устно, на бумажном носителе или в электронном виде.

Срок реагирования на письменные запросы составляет 7 дней или незамедлительно в случае обращения в устной форме. Поэтому важно провести тренинги для персонала, объяснив сотрудникам, как отвечать клиентам в подобной ситуации.

Как часто менять раздел об обработке персональных данных?

Вносить изменения в раздел об обработке персональных данных нужно каждый раз, когда в организации корректируется процесс сбора, хранения, использования, или передачи личной информации клиентов. Например, когда вносятся изменения в политику по обработке персональных данных в части положений, касающихся конфиденциальности и безопасности. Если никаких изменений во внутренних процессах компании не происходит, корректировать раздел нет необходимости. 

Кроме того, важно следить за изменениями, которые касаются законодательства об обработке персональных данных: если появляются новые требования, необходимо проверить договор на соответствие им, а в случае необходимости дополнить раздел. 

Нужно ли уведомлять ли пользователей об изменениях в разделе?

При внесении любых изменений в разделе, пользователи должны быть об этом уведомлены. 

Кроме того, если у организации меняются цели обработки персональных данных, об изменениях нужно уведомлять Роскомнадзор, это входит в обязанности любого оператора персональных данных. В случае игнорирования требований, компанию могут оштрафовать на сумму до 5 000 рублей в соответствии со ст. 19.7 КоАП РФ.

Как уведомить пользователей об изменениях?

Уведомить пользователей об изменениях в разделе об обработке ПНд можно двумя способами.

1. Направить информацию по электронной почте, перечислив изменения, связанные с хранением, использованием, передачей личной информации.

2. Разместить уведомление об обновлении вместе относящимися с деталями на сайте, охватив тем самым максимальное количество людей, которые могут быть прямо или косвенно затронуты этими изменениями.

Должны ли компании уничтожать персональные данные?

В № 152-ФЗ предусмотрено несколько случаев, когда оператор обязан уничтожить персональные данные. Вот некоторые из них:
 
● Истечение установленного законодательством или договором срока обработки персональных данных;

● Достижение цели обработки персональных данных (или утрата необходимости в достижении этой цели);

● Отзыв гражданином согласия на обработку его персональных данных; 

● Требование лица об уничтожении неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных;

● Выявление неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора.
 
Если в перечисленных выше случаях у организации нет иных правовых оснований для обработки персональных данных, то эти персональные данные должны быть уничтожены. Способ уничтожения организация выбирает самостоятельно. Важно отметить, что с 1 марта 2023 года при уничтожении персональных данных операторы обязаны составлять акт, подтверждающий факт их уничтожения, а в случае, если персональные данные обрабатывались в информационных системах - также сделать выгрузку из журнала регистрации событий в информационной системе. 

Какие штрафы предусмотрены за нарушение требований к работе с персональными данными?

В случае, если организацией осуществляется обработка персональных данных без надлежащих правовых оснований (например, согласие на обработку персональных данных), то такое нарушение может привести к штрафу от 60 до 100 тыс. рублей. В случае повторного выявления нарушения штраф может достигать 300 тыс. рублей.

За неисполнение ч.4 ст.16 Закона «О защите прав потребителей» санкция для юридических лиц составляет от 30 до 50 тыс. рублей.

---

Читайте также: Уроки кризисов: как арендодателю улучшить договоры аренды?

---

Как избежать нарушений при составлении договора с потребителем?

Важно периодически проводить в компании аудит, проверяя соответствие документации требованиям закона. В том числе нужно определить объём персональных данных, которые требуются для исполнения потребительского договора, а также проанализировать типовые формы договоров и уже заключенные договоры на предмет избыточности данных. Сбор сведений целесообразно минимизировать, использовав только те, которые необходимы для исполнения договора.

Помимо этого, рекомендуется назначить ответственное лицо, которое будет заниматься оформлением договора и соглашений, составлять уведомления и вовремя отвечать на запросы граждан и уполномоченных органов.
 
Взаимодействие с потребителями упростит инструкция для сотрудников по реагированию на запросы, для этого дополнительно следует проанализировать все возможные способы их получения.

Удобно систематизировать договоры и собираемые данные с помощью специализированных платформ, таких как Privacy Box. Процесс сбора и обработки информации станет проще, поскольку в наглядном виде представлены правовые основания, рекомендации по объёму и типу сведений.

Никита Володин, 
старший консультант по защите персональных данных компании Б-152.

Для NEW RETAIL