Новости и аналитика Правовые консультации Гражданское право Торговая организация планирует вводить анкеты покупателя. Цель анкетирования - реализации программы лояльности с использованием карты постоянного покупателя. В рамках данной программы персональные данные покупателей будут передаваться в типографию для изготовления именных карт и третьему лицу, которое по поручению торговой сети будет передавать информацию покупателям по радио-телекоммуникационным сетям связи. Нужно ли получать согласие участников программы и уведомлять Роскомнадзор?

Торговая организация планирует вводить анкеты покупателя. Цель анкетирования - реализации программы лояльности с использованием карты постоянного покупателя. В рамках данной программы персональные данные покупателей будут передаваться в типографию для изготовления именных карт и третьему лицу, которое по поручению торговой сети будет передавать информацию покупателям по радио-телекоммуникационным сетям связи. Нужно ли получать согласие участников программы и уведомлять Роскомнадзор?

1. В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные - это различная информация, которая позволяет идентифицировать конкретного человека. Следовательно, сведения о покупателях, которые содержатся в анкетах, заполняемых ими при получении карты постоянного покупателя (далее - карты), являются персональными данными этих граждан и на них распространяется режим конфиденциальности, установленный Законом N 152-ФЗ.
Любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).
Оператором персональных данных, как следует из п. 2 ч. 1 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, торговая организация, обрабатывающая персональные данные покупателей, в силу закона является оператором персональных данных и должна соблюдать требования законодательства о персональных данных.
Обратим внимание, что закон не запрещает оператору персональных данных с согласия субъекта поручать обработку конфиденциальной информации третьему лицу (ч. 3 ст. 6 Закона N 152-ФЗ), основными характеристиками которого являются: во-первых, наличие самостоятельной правосубъектности, то есть это лицо должно быть юридически независимым по отношению к оператору, и, во-вторых, обработка персональных данных таким лицом должна осуществляться в интересах оператора. Подобным обработчиком персональных данных в рассматриваемом случае может быть организация, которая по поручению оператора будет осуществлять передачу информации об акциях и скидках обладателям карт постоянного покупателя по сетям радио-телекоммуникационной связи. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку, поскольку ответственность перед гражданином за действия этого лица несет сам оператор, а обработчик, в свою очередь, отвечает непосредственно перед оператором (ч.ч. 2, 5 ст. 6 Закона N 152-ФЗ).
В ч. 3 ст. 6 Закона N 152-ФЗ перечислены условия, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу*(1). Так, в поручении должен быть приведен перечень действий (операций) с персональными данными, которые будут совершаться обработчиком; определены цели обработки; установлены обязанности обработчика соблюдать конфиденциальность персональных данных и обеспечивать их безопасность с указанием требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ. Отсутствие хотя бы одного из этих условий может быть квалифицировано как нарушение законодательства о персональных данных (постановление ФАС Северо-Западного округа от 29.04.2013 по делу N А44-5910/2012).
По общему правилу, закрепленному в ст. 6 Закона N 152-ФЗ, обработка персональных данных возможна только с согласия субъектов персональных данных, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Отметим, что данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит. Так, например, обработка персональных данных может осуществляться без согласия гражданина, если это необходимо для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). При этом договором признается соглашение двух или нескольких лиц об установлении, изменении или прекращении гражданских прав и обязанностей (п. 1 ст. 420 ГК РФ).
Однако выдача торговой организацией покупателям карт, на наш взгляд, представляет собой одностороннее предложение продавца по предоставлению в будущем скидки с цены товара владельцу данной карты, то есть по продаже товаров в будущем по льготной (меньшей) цене, что не позволяет квалифицировать её как договор. Ведь, получая дисконтную карту, покупатель не имеет цели приобретения самого материального носителя, поскольку сам по себе он никакой ценности для него не представляет. Потенциальный покупатель заинтересован в тех привилегиях, которые последуют из обладания картой постоянного покупателя (смотрите, к примеру, определение Московского городского суда от 15.07.2010 по делу N 4г/5-6077, письмо Минфина России от 29.07.2011 N 03-11-09/49). Поэтому мы считаем, что обработка персональных данных покупателей - физических лиц, связанная с выдачей им карт, должна осуществляться с согласия граждан и ограничиваться целями такой обработки (ст. 5 Закона N 152-ФЗ).
По смыслу ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В ч. 4 ст. 9 Закона N 152-ФЗ указано, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а также перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку.
Из системного толкования норм ч.ч. 1 и 4 ст. 9 Закона N 152-ФЗ можно сделать вывод о том, что оператор должен получить письменное согласие субъекта персональных данных на их обработку, включающее сведения, предусмотренные ч. 4 ст. 9 Закона N 152-ФЗ, только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, в такой форме согласие требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона N 152-ФЗ), биометрических персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ), на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ). При иных обстоятельствах согласие на обработку персональных данных может быть дано в любой форме в соответствии с правилом ч. 1 ст. 9 Закона N 152-ФЗ. Однако во всех случаях оператор обязан ознакомить покупателя с целями, способами, сроками и иными параметрами обработки персональных данных (например, условия передачи персональных данных субъекта третьим лицам). Кроме того, объем обрабатываемых персональных данных не должен быть избыточным по отношению к заявленным целям обработки (ст. 5 Закона N 152-ФЗ).
Полагаем, что обработка персональных данных покупателей в целях реализации программы лояльности, исходя из требований Закона N 152-ФЗ, не требует получения согласия субъекта персональных данных именно в форме письменного или электронного документа. Поэтому согласие может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения*(2). В частности, такое согласие может быть прописано в отдельном пункте анкеты покупателя. Более того, сам факт заполнения анкеты гражданином-покупателем будет свидетельствовать о его согласии передать свои персональные данные в распоряжение торговой организации (смотрите, например, решение Копейского городского суда Челябинской области от 26.12.2014 по делу N 2-3929/2014).
2. В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. В частности, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных (далее - Роскомнадзор) обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ). Равным образом не требуется уведомлять Роскомнадзор в случае, когда персональные данные покупателей обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона N 152-ФЗ). Критерии, при которых обработка персональных данных клиента признается (либо не признается) неавтоматизированной, сформулированы в п.п. 1 и 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Согласно п. 1 Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).
Иными словами, если информация о субъекте персональных данных заносится, корректируется, удаляется, архивируется и т.д. человеком вручную, то формально такая обработка персональных данных будет считаться неавтоматизированной. Если же персональные данные субъекта, размещенные в базе данных оператора, в дальнейшем при помощи других программ в автоматическом режиме (без участия человека) передаются третьим лицам, то такая обработка конфиденциальной информации может быть отнесена к автоматизированной. И в этом случае у оператора возникает обязанность до начала обработки персональных данных уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (решение Ленинского районного суда г. Нижний Новгород Нижегородской области от 25.09.2017 по делу N 12-372/2017).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

25 января 2018 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Законодатель не конкретизирует форму и характер подобного поручения. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключенный между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора.
*(2) Заметим, что в случае возникновения конфликтных ситуаций обязанность доказывания получения согласия гражданина на обработку его персональных данных возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).