В наше время многие компании при каждом удобном случае стремятся изучать свою целевую аудиторию и просят покупателей заполнить какие-либо анкеты или сообщить личные сведения при совершении покупки, получении дисконтной карты, для авторизации на сайте (в интернет-магазине) и т.д.

А когда компании проводят акции, связанные с вручением призов, наличие определённых сведений об участниках становится просто необходимым. Например, для индивидуализации участников и связи с ними (номер телефона, фамилия и т.п.) или для отправки приза (почтовый адрес), или для исполнения функций налогового агента (паспортные данные).

Подобные рекламные акции, в рамках которых осуществляется вручение призов, действующее законодательство относит к понятию «стимулирующее мероприятие». Согласно статьи 9 Закона «О рекламе»[1] стимулирующее мероприятие – это стимулирующая лотерея, конкурс, игра или иное подобное мероприятие, условием участия в которых является приобретение определенного товара. Именно этот термин мы и будем использовать далее.

Учитывая, что действующее законодательство защищает тайну личной жизни и ограничивает возможность сбора и использования персональных данных граждан, как перед компаниями-рекламодателями, так и перед обслуживающими их рекламными агентствами встаёт вопрос о правомерности сбора сведений и порядке их использования.

Основные понятия и принципы обработки персональных данных

Отношения, связанные с обработкой информации о физических лицах в России регулируются Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Закон).

Для начала рассмотрим основные понятия, действующие в области защиты персональных данных.

Сфера применения Закона

Согласно части 1 статьи 1 Закона под его действие попадает "обработка персональных данных с использованием средств автоматизации или без использования таких средств в случаях, когда обработка позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных".

Обратим внимание, что "обработка без использования средств автоматизации" предполагает два условия: фиксация на материальном носителе, а также систематизацию данных. Допустим, компания собирает письменные анкеты со сведениями о своих клиентах. Если она каким-то образом систематизирует анкеты (например, анкеты разложат в алфавитном порядке, соберут в картотеку), её действия попадут под юрисдикцию Закона. А если анкеты будут храниться в виде "неразобранной кучи"? Получается, такие действия уже не подлежат регулированию Законом. А если, например, в целях отбора респондентов для рекламной рассылки из "кучи" будут доставаться первые попавшиеся анкеты? Тоже формально под действие Закона не попадает.

Таким образом, рассматриваемая норма позволяет сделать вывод (который ни в коем случае не должен служить прямым руководством к действию), что документальное несистематизированное, хаотическое хранение персональных данных и неавтоматизированная их обработка позволяет избежать соблюдение требований Закона.

Что есть "персональные данные" и кто такой "субъект"?

В соответствии с частью 1 статьи 3 Закона персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъект персональных данных).

До 25 июля 2011 года, в своей предыдущей редакции статья была сформулирована немного иначе[2]. В качестве основного посыла в ней также звучало, что персональные данные - это "любая информация, относящаяся к определённому физическому лицу". В то же время она содержала в себе и некоторое более суженное понятие, характеризуя персональные данные как информацию, на основании которой субъект непосредственно определяется[3]. Далее давался примерный перечень таких данных. К ним были отнесены: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Такое определение в совокупности приводило к тому, что на практике персональные данные субъекта рассматривались не как "любая информация относящаяся к нему (имеющая отношение к человеку, затрагивающая его (интересы), relating)" [4], а как информация, "которая его непосредственно характеризует (свойство предложенного логического ряда)"[4] , и более того, не только характеризует, но ещё и позволяет однозначно идентифицировать конкретного человека.

Подобная позиция несколько не соответствовала европейской Конвенции о защите физических лиц при автоматизированной обработке персональных данных[5], в которой используется более широкое понятие, близкое к тому, которое Закон даёт в нынешней редакции[6].

Если перейти к конкретным примерам, то, согласно мировым стандартам, персональными данными является, например, и информация об объектах, с которыми связан человек: "вмятина на крыле автомобиля... следы от клопов на стенах спальни или наличие тараканов на кухне... IP-адрес компьютера... Другими словами, основным свойством персональных данных является несомненная соотносимость их с субъектом (гражданином), а чувствительность данных, в свою очередь и при определенных обстоятельствах, может повлиять на его интересы (права и свободы)"[4]. Ещё неочевидные примеры персональных данных: данные о несанкционированных перепланироваках или расходе воды в квартире; протокол собрания, если на собрании обсуждается соответствие конкретного субъекта занимаемой им должности (рассматривается его квалификация, личностные качества и производительность труда); сведения об окладе конкретного сотрудника[7].

Таким образом, российским правоприменителям придётся не только отслеживать актуальные тенденции (например, в наше время, персональными данными человека можно смело признать его электронный адрес или его имя в социальных сетях), но и заново осознавать своё понимание вопроса: "Какие сведения относятся к персональным данным". В условиях отсутствия какого-либо серьёзного разъяснительного материала, исходящего от российских уполномоченных органов, предлагаем использовать следующий принцип: персональными данными являются любые сведения о физических лицах, если не доказано обратное.

Кто такой "оператор персональных данных"

В соответствии с частью 2 статьи 3 Закона юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, именуется «оператор».

Соответственно, компания-рекламодатель в тот момент, когда она приступает к сбору и обработке персональных данных или даже планирует к нему приступить (определяет цели обработки), автоматически приобретает статус оператора персональных данных.

Подрядчик или "другое лицо"

Часть 3 статьи 6 Закона позволяет оператору поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Закон специально не определяет понятие "другое лицо", но устанавливает, что ответственность перед субъектом персональных данных за действия указанного лица несет оператор[8].

Таким образом, компания-рекламодатель остаётся оператором (и, соответственно, несет все установленные законодательством обязанности и ответственность) даже в том случае, если нанимает подрядчика для обработки персональных данных (например - рекламное агентство).

Что такое "обработка персональных данных"

Часть 3 статьи 3 Закона определяет, что обработка персональных данных – это любое действие (операция) или совокупность действий (операций) с персональными данными, включая:

· сбор,

· запись,

· систематизацию,

· накопление,

· хранение,

· уточнение (обновление, изменение),

· извлечение,

· использование,

· передачу (распространение, предоставление, доступ),

· обезличивание,

· блокирование, удаление, уничтожение персональных данных.

Итак, делаем вывод, что, фактически, любое действие с какими-либо сведениями о физических лицах попадают под действие Закона, если такое действие совершается средствами автоматизации или путем использования систематизированных материальных носителей.

Каковы принципы работы с персональными данными?

Основными принципами обработки персональных данных в соответствии со статьёй 5 Закона являются:

· Обработка на законной и справедливой основе.

· Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

· Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

· Обработке подлежат только персональные данные, которые отвечают целям их обработки.

· Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

· При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

· Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

· Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Уполномоченный орган

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных закону, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)[9].

Обязанности оператора персональных данных

Основными обязанностями оператора при обработке персональных данных в соответствии с законом являются:

Обеспечение конфиденциальности и безопасности персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом[10] (т.е. соблюдать конфиденциальность).

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных [11]. Меры по обеспечению безопасности изложены в статье 19 Закона.

Также уполномоченными органами разрабатываются нормативные акты, устанавливающие методологию безопасности. Так, Правительство РФ устанавливает[12]:
1) уровни защищенности персональных данных при их обработке в информационных системах;
2) требования к защите персональных данных при их обработке в информационных системах;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Состав и содержание необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются уполномоченными федеральными органами исполнительной власти[13]. Ассоциации, союзы и иные объединения операторов своими решениями вправе определять дополнительные меры безопасности для своих членов[14].

Таким образом, оператору при работе над вопросами обеспечения безопасности следует руководствоваться не только Законом, но и нормативными актами, утверждёнными Правительством РФ и иными уполномоченными органами[15].

Обязанности оператора при автоматизированной обработке персональных данных

В том случае, если оператор использует для обработки персональных данных средства автоматизации, он обязан соблюдать особые, достаточно обременительные требования к безопасности систем обработки.

Закон вводит понятие "информационной системы персональных данных", к которым относит совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств[16]. Исходя из определения, к информационным системам относятся любые базы данных со сведениями о физических лицах - будь то сложные автоматизированные комплексы (например, программа учёта смс-сообщений участников рекламной акции) или базы, сформированные в простейших прикладных программах (например, база данных участников в MS Excel).

Как мы уже писали, требования к защите персональных данных при их обработке в информационных системах устанавливает Правительство РФ, а уполномоченные органы определяют состав и содержание установленных мер. Компании-рекламодателю следует протестировать используемые в рамках рекламной акции программы, в которых содержатся персональные данные участников, на соответствие этим нормативным актам.

Статья 19 Закона также содержит ряд дополнительных требований к защите информационных систем:

· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

· применение организационных и технических мер по обеспечению безопасности, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

· оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

· учет машинных носителей персональных данных;

· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

Особо следует обратить внимание на пункт 3 части 2 рассматриваемой статьи, который устанавливает необходимость применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. Существует мнение[17], что указанная норма устанавливает обязанность использовать для автоматизированной обработки персональных данных только те программы, которые прошли соответствующую сертификацию на безопасность (что значительно повышает стоимость программных продуктов и делает невозможным применение прикладных программ типа MS Excel).

Более того, существует мнение[18], что организация, планирующая выполнять работы, непосредственно связанные с защитой конфиденциальной информации с использованием программных и технических средств, обязана получить соответствующую лицензию или привлечь организацию имеющую лицензию на оказание данной услуги (что также достаточно обременительно).

Следует также помнить, что если сбор персональных данных будет осуществляться с использованием информационно-телекоммуникационных сетей (через интернет, например, регистрация участников рекламной акции через промо-сайт), оператор обязан не только разработать, но и опубликовать документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных[19].

Также есть интересное положение в статье 16 Закона: запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы[20].

Такое решение может быть принято только при наличии согласия в письменной форме и в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных[21].

Сейчас розыгрыши стимулирующих мероприятий, проводимых в виде лотерей, согласно требованиям Закона "О лотереях" проводятся без использования технических средств. Однако в настоящее время в Госдуме РФ лежит законопроект № 535846-5, который уже прошёл первое чтение. Если он будет принят в полном объёме, то организаторам стимулирующих лотерей будет позволено использовать электронные и технические устройства для определения выигравших участников. Алгоритм выбора победителя в таком случае, естественно, будет основан только на автоматизированной обработке персональных данных участников, что позволит обеспечить случайность при проведении розыгрыша. А выбор победителя из числа участников, безусловно, порождает юридические последствия в отношении всех субъектов, персональные данных которых были обработаны. Следовательно, нормы статьи 16 Закона будут распространяться на стимулирующие лотереи, розыгрыш которых будет проводиться с использованием электронного оборудования.

В принципе, раз Закон "О лотереях", устанавливающий меры по обеспечению соблюдения прав и законных интересов участников, будет предусматривать возможность проведения розыгрыша в автоматизированном режиме, то у организатора отпадает необходимость получения письменного согласия участников, предусмотренного частью 2 рассматриваемой статьи.

Однако, применение оборудования потребует от организаторов стимулирующих лотерей исполнять требования, установленные частью 3 и 4 статьи 16 Закона, в рамках которых оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. Подобные требования усложняют положение организатора, так как дают участнику стимулирующей лотереи формальные основания возражать против итогов автоматизированного розыгрыша.

Получение согласия от субъекта на обработку персональных данных

В соответствии со статьями 6 и 9 Закона в большинстве случаев сбор и обработка персональных данных возможна только при условии того, что субъект предоставляет своё согласие (в особых случаях, установленных Законом, такое согласие должно быть письменным).

Здесь рекламодателям необходимо чётко понимать, что согласие участника на заполнение анкеты ни в коем случае не подразумевает его автоматического согласия на обработку персональных данных, которые он в этой анкете указал.

Более подробно об аспектах этого вопроса мы поговорим ниже.

Уведомление уполномоченного органа и предоставление информации

В соответствии со статьёй 22 Закона оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществить обработку персональных данных. Часть 2 рассматриваемой статьи предполагает ряд исключений, на некоторых из них подробнее мы остановимся чуть позже.

Срок представления такого уведомления Законом не установлен. Однако есть мнение[22], что оператор может приступить к деятельности по обработке персональных данных только после внесения о нём соответствующей записи в реестр операторов. Включение в реестр осуществляется уполномоченным органом автоматически в течение 30 дней после представления уведомления[23], соответственно, не менее чем за один месяц до начала обработки данных компания-рекламодатель должна позаботиться о подаче уведомления и включении в реестр операторов.

К сожалению, Закон не даёт чёткого представления о том, должен ли оператор предоставлять уведомление перед каждым отдельным этапом обработки персональных данных, если она предполагается многоэтапной и растянутой по времени проведения (например, в этом месяце компания собирает данные, через пару месяцев проводит автоматизированный отбор победителей, и ещё через пару месяцев производит рассылку призов по адресам, указанным в базе данных). Однако анализ Рекомендаций по заполнению образцу формы уведомления об обработке (о намерении осуществить обработку) персональных данных, утверждённых уполномоченный органом[24], позволяет говорить о том, что в одном уведомлении можно объединить все действия, которые предполагается производить с данным.

Также следует помнить, что оператор обязан уведомлять уполномоченный орган в ряде случаев, дополнительно устанавливаемых законом (например, уведомлять об устранении выявленных уполномоченным органом нарушениях или об уничтожении персональных данных, если устранить нарушения невозможно[25], об изменении ранее представленных сведений и в случаях прекращения заявленной обработки персональных данных[26]).

Оператор также обязан сообщать по запросу уполномоченного органа информацию, необходимую для осуществления его деятельности, в течение 30 дней с даты получения такого запроса[27].

Предоставление информации субъекту

Оператор обязан предоставлять субъекту персональных данных следующие уведомления и информацию:

1. В 30-дневный срок сообщить в ответ на запрос информацию о наличии у него персональных данных, относящихся к данному субъекту, а также предоставить ему возможность ознакомления с данными либо предоставить мотивированных отказ[28].
2. Предоставить по запросу субъекта информацию, определённую в части 7 статьи 14 Закона[29].
3. В течение 7 рабочих дней со дня предоставления субъектом сведений о том, что его персональные данные неточные или неполные, внести необходимые изменения или уничтожить, если субъект предоставил сведения, подтверждающие, что его данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки[30]. О внесённых изменения или принятых мерах субъект также уведомляется оператором.
4. Уведомить субъекта об устранении неправомерных действий (если они ранее были выявлены) или об уничтожении персональных данных[31].
5. Уведомить субъекта об уничтожении персональных данных при достижении цели обработки персональных данных[32], а также в случае отзыва данных субъектом[33].
6. Если обязанность представления данных установлена действующим законодательством, то оператор обязан разъяснить гражданину юридические последствия отказа от предоставления данных[34].
7. Если персональные данные были получены не от субъекта персональных данных, оператор до начала обработки данных обязан сообщить субъектам (Закон не уточняет порядок и форму такого сообщения) информацию о себе, о правах субъекта, о целях обработки и т.п.[35]. Оператор в ряде случаев освобождается от обязанности предоставить эти сведения[36], например, в случае, если:

· субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

· персональные данные получены оператором в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

· персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

· оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

Блокирование персональных данных

Оператор обязан блокировать персональные данные на период проверки в следующих случаях:

1. В случае выявления неточных персональных данных или неправомерных действий с ними[37].
2. В случае отсутствия возможности оперативного уничтожения персональных данных в течение срока, указанного в законе[38].

Уничтожение персональных данных

Оператор обязан уничтожить персональные данные в следующих случаях:

1. В случае невозможности обеспечения правомерности обработки персональных данных в срок, не превышающий 10 рабочих дней [39].

2. В случае достижения цели обработки персональных данных или в случае отзыва субъектом персональных данных согласия на обработку персональных данных - в срок, не превышающий 30 дней, если иное не предусмотрено соглашением с субъектом или Законом[40].

3. В случае отсутствия возможности оперативного уничтожения персональных данных, оператор обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев[41].

Обязанности оператора при передаче персональных данных третьему лицу

В том случае, если оператор привлекает подрядчика для обработки персональных данных участников рекламной акции, он обязан в своём поручении (в договоре) определить[42]:

· перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных,

· цели обработки,

· обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке,

· требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона.

Также не лишним будет в договоре установить для подрядчика требования о соблюдении норм законодательства по защите персональных данных и меру ответственности подрядчика в случае возникновения по его вине убытков у заказчика.

Получение согласия субъекта при проведении стимулирующего мероприятия

Случаи, при которых следует получать письменное согласие субъекта

Часть 4 статьи 9 Закона предусматривает положение о том, что в случаях, предусмотренных Законом, обработка персональных данных может осуществляться только с письменного согласия субъектов персональных данных, которое должно включать установленные в законе положения.

Письменное согласие требуется:

1. На обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояние здоровья, интимной жизни[43], если только сам субъект не сделал эти сведения общедоступными.
2. При обработке биометрических персональных данных[44].
3. При включении персональных данных в общедоступные источники (справочники, адресные книги)[45].
4. В случаях трансграничной передачи персональных данных[46].
5. При принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, которое принимается на основании исключительно автоматизированной обработки его персональных данных[47].

Согласие на обработку биометрических персональных данных

В рекламной деятельности наиболее актуальным можно признать вопрос получения письменного разрешения на обработку биометрических персональных данных. Прежде всего в целях верного исполнения Закона, следует уяснить, что же законодатель относит к этой категории данных.

Согласно части 1 статьи 11 Закона биометрические персональные данные - это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Исходя из определения, можно сделать вывод, что к биометрическим персональным данным можно отнести фотографию, видеоизображение человека, аудиозапись его голоса, отпечатки пальцев, возраст, рост, цвет волос, группа крови и прочие подобные сведения физиологического и биологического характера, которые позволяют в той или иной мере идентифицировать личность.

Примером источника таких данных является паспорт гражданина. Он содержит в себе не только фотографию, которая сама по себе может быть признана источником биометрических данных[48], но также и иные сведения, которые в совокупности позволяют установить личность гражданина. Таким образом, если организатор рекламной акции собирает паспортные данные физических лиц (например, для исполнении функций налогового агента в отношении победителей, которым будут вручены ценные призы), он обязан позаботиться о получении письменного согласия, если данные предоставляются в виде копии паспорта.

Но можно ли отнести любую фотографию (по аналогии: аудио- видео- фонограмму) к биометрическим персональным данным? Среди практикующих юристов встречаются две точки зрения. Первая - любая фотография, качество которой позволяет идентифицировать человека, является биометрическими персональными данными. Вторая - только та фотография, которая сопровождается иными сведениями (например, фамилия, имя, отчество), что в совокупности позволяет установить конкретную личность, может быть признана биометрическими персональными данными. До тех пор, пока у оператора нет дополнительных сведений и, следовательно, отсутствует возможность установить личность человека, фотография не может быть отнесена к этой категории данных.

Тем не менее, до тех пор, пока вопрос остаётся без официальных разъяснений, рекламодателям, выступающим оператором персональных данных, следует получать письменное согласие на обработку не только копии паспорта, но и любых фотографий (по аналогии - и для аудио- видео- фонограмм), на которых изображение (запись) позволяет идентифицировать того или иного человека.

Рекламодателю следует учитывать, что закон особо заботится об обработке биометрических данных. Во-первых, статья 11 Закона устанавливает особые требования для таких данных. Во-вторых, как мы уже говорили выше, Правительство РФ разрабатывает особые требования к материальным носителям и технологиям хранения таких данных вне информационных систем персональных данных. В третьих, часть 10 статьи 19 Закона устанавливает, что использование и хранение биометрических персональных данных вне информационных систем могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

Также при проведении конкурсов, связанных с обработкой фотографий (видеороликов), рекламодателям следует помнить и о требованиях статьи 152.1. ГК РФ, устанавливающей, что обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина (за исключением некоторых случаев).

Согласие на обработку персональных данных в целях продвижения товаров путём осуществления прямых контактов с потребителем

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено[49].

Иными словами, собирая базу данных для последующих рекламных звонков или писем в целях рекламы товара, рекламодатель обязан позаботиться о доказательствах, что лица, сведения о которых содержатся в базе данных, дали своё согласие на обработку своих персональных данных. Таким образом, для подобных случаев фактически установлен письменный вариант получения согласия. В противном случае, в спорных ситуациях оператору будет невозможно доказать наличие согласие субъекта.

Также здесь следует помнить и о нормах рекламного законодательства. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы[50]. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.

Таким образом, при формировании базы данных в целях прямых продаж, было бы хорошо получить от субъекта как согласие на обработку персональных данных, так и согласие на сам факт поступления рекламы.

Согласие на передачу персональных данных c целью обработки другому лицу

Итак, как мы уже говорили выше, оператор может привлечь другое лицо (подрядчика) для проведения работы по обработке персональных данных, причём именно оператор в полной мере отвечает за действия этого лица.

Причём, такая передача возможна только с согласия субъекта[51]. Как гласит закон, лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие от субъекта на обработку его персональных данных[52]. Таким образом, именно компании-рекламодателю следует заранее позаботиться о том, чтобы согласие от участников рекламной акции на передачу персональных данных на обработку компании-подрядчику было получено. Возможно, указанное согласие следует включить в правила акции, либо в иные информационные материалы, с которыми обязан ознакомиться участник.

Случаи, когда согласия на обработку персональных данных не требуется

Также существует ряд случаев, когда согласие на обработку персональных данных от субъекта не требуется.

Исключения закреплены в части 2 статьи 6 Закона. Из всего перечня для рекламных компаний наиболее актуален пункт 2, устанавливающий, что согласия субъекта персональных данных не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Некоторые стимулирующие мероприятия основаны на договоре. Например, в части 1 статьи 2 Закона «О лотереях»[53] указано, что лотерея (в том числе и стимулирующая) – это игра, которая проводится в соответствии с договором и в которой одна сторона (организатор лотереи) проводит розыгрыш призового фонда лотереи, а вторая сторона (участник лотереи) получает право на выигрыш, если она будет признана выигравшей в соответствии с условиями лотереи. Таким образом, при проведении рекламной акции в виде стимулирующей лотереи получать согласия на сбор и обработку персональных данных участников не требуется.

Во всех остальных случаях компании-рекламодателю следует позаботиться о получении предварительного согласия на обработку тех сведений, которые физические лица им предоставляют.

Уведомление уполномоченного органа при проведении стимулирующего мероприятия

Как мы уже говорили выше, в общем случае оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении.

Вместе с тем, часть 2 статьи 22 Закона устанавливает ряд случаев, когда подобного уведомления не требуется. Из установленного перечня в интересах предмета настоящей статьи следует выделить следующие ситуации. Уведомление уполномоченного органа перед обработкой персональных данных не требуется в отношении сведений:

· полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора;

· сделанных субъектом персональных данных общедоступными (персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе [54]);

· если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;

· персональные данные обрабатываются без использования средств автоматизации.

Итак, организаторы стимулирующего мероприятия могут использовать приведённые нормы, чтобы избежать необходимости прохождения уведомительной процедуры при обработке персональных данных.

Например, если в условиях проведения стимулирующей лотереи (которые фактически содержат существенные условия договора, заключаемого между организатором и участником) указать ограничения о распространении и использовании персональных данных, обрабатывать данные участников можно без уведомления уполномоченного органа.

Также можно запрашивать у лиц, регистрирующихся в качестве участника, только сведения о фамилии, имене, отчестве.

Если же таких сведений для индивидуализации участников недостаточно, то можно опробовать отказаться от каких-либо средств автоматизации процесса сбора и обработки информации (например, использовать только письменные анкеты, которые при необходимости обрабатываются вручную).

Если же без технических средств не обойтись (например, при регистрации на сайте или через смс-сообщения), рекомендуем получать согласие от участников на то, чтобы предоставляемые ими сведения приобретали статус общедоступных. Однако здесь важно помнить, что обязанность доказывания, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора[55].

Во всех же остальных случаях компаниям-рекламодателям следует исполнять установленный Законом уведомительный порядок начала обработки персональных данных.

Ответственность за нарушение законодательства о защите персональных данных

В соответствии со статьёй 24 Закона за несоблюдение требований к обработке персональных данных виновные лица несут предусмотренную действующим законодательством ответственность.

Гражданская ответственность за нарушение законодательства о персональных данных выражается в праве гражданина требовать возмещения убытков и (или) компенсации морального вреда, причиненных ему в связи с нарушением оператором Закона (статьи 15, 151 ГК РФ[56], часть 2 статьи 17 Закона).

Уголовная ответственность за нарушение законодательства о персональных данных предусмотрена статьёй 137 УК РФ[57]. Данная норма предусматривает наказание в виде штрафа, обязательных работ, исправительных работ либо ареста за незаконное собрание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Административная ответственность за нарушение законодательства о персональных данных наступает в следующих случаях:

Статья КоАП РФ	Объективная сторона	Ответственность для должностных лиц	Ответственность для юридических лиц
5.39	Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации.	Штраф от пятисот до одной тысячи рублей	-
13.11	Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Штраф от пятисот до одной тысячи рублей	Штраф от пяти тысяч до десяти тысяч рублей
13.14	Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.	Штраф от сорока до пятидесяти минимальных размеров оплаты труда	-
19.7	Непредоставление сведений (информации) или несвоевременное предоставление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде.	Штраф от трехсот до пятисот рублей	Штраф от трех тысяч до пяти тысяч рублей

Заключение

Итак, при проведении стимулирующего мероприятия компании-рекламодателю следует задуматься о том, будет ли он в рамках мероприятия собирать персональные данные участников.

Если сбор сведений планируется, следует сразу же назначить сотрудника, ответственного за соблюдение норм законодательства о защите персональных данных и за организацию обработки персональных данных[58].

Ответственному сотруднику необходимо:

· изучить действующее законодательство о защите персональных данных,

· определить цели и задачи обработки,

· позаботиться о вопросах обеспечения безопасности и конфиденциальности при обработке персональных данных,

· определиться с политикой в отношении предстоящей обработки персональных данных,

· организовать работу по обработке персональных данных в соответствии с действующим законодательством.

Самое сложное при обработке персональных данных в рекламных целях - это необходимость получения согласия от физических лиц. Формат не всякой рекламной акции позволит непосредственно общаться с участниками, тем более - получать от них какие-либо письменные документы. Также немало неудобств компании доставит необходимость направления уведомлений в уполномоченный орган и автоматическая обработка персональных данных с использованием информационных систем.

Поэтому основная рекомендация для организаторов стимулирующих мероприятий - использование только тех способов сбора данных, которые законодательство освобождает от получения согласия субъекта и предоставления уведомлений в уполномоченный орган, уход от накопления избыточных данных своих участников, хранение данных в обобщенной и обезличенной форме, минимизация автоматизированной обработки персональных данных.

Также особое внимание следует уделить правилам стимулирующего мероприятия, которые обычно содержат в себе положения договора, заключаемого между организатором и участниками. Указание дополнительных пунктов, связанных с обработкой персональных данных, в аферте стимулирующего мероприятия позволит организатору более эффективно использовать установленные законом возможности обработки персональных данных. Так, в правилах хорошо предусмотреть:

1. Согласие участника на обработку его персональных данных.

2. Согласие участника на передачу оператором персональных данных конкретному подрядчику на обработку (если планируется такая передача).

3. Согласие участника на обнародование и дальнейшее использование изображения гражданина (если по условиям акции предоставляется фотография или видеоролик).

4. Согласие участника на обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем, а также на распространение рекламы по сетям электросвязи (при желании сформировать базу данных потребителей).

5. Срок хранения персональных данных, если у компании-рекламодателя есть желание их использовать после окончания рекламной акции.

6. Особую процедуру отзыва физическим лицом разрешения на обработку персональных данных (при необходимости).

7. Положения о том, что персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения договора.

Таким образом, компаниям при проведении стимулирующих мероприятий разумно организовывать свою деятельность так, чтобы необходимость получения каких-либо согласий или направления уведомлений не возникала, и с особым вниманием подходить к формированию правил акции - документу, который регулирует взаимоотношения между организатором и участником, для чего предлагаем воспользоваться рекомендациями, приведёнными в настоящей статье.

© Новикова Светлана, Косова Ольга