Мудрый Экономист

Работа с персональными данными клиентов

"Кадровая служба и управление персоналом предприятия", 2015, N 3

Порядок работы с персональными данными клиентов во многом сходен с порядком работы с персональными данными сотрудников. Его мы рассмотрели в прошлом номере. Однако в работе с персональными данными клиентов есть несколько особенностей, о которых должны знать кадровики.

Кадровым службам (особенно небольших и средних компаний) зачастую приходится работать с персональными данными не только сотрудников, но и клиентов. Прежде всего это касается компаний, продающих товары (выполняющих работы, оказывающих услуги) физическим лицам. Но и компании, работающие в секторе B2B, тоже нередко сталкиваются с персональными данными. Это, к примеру, персональные данные контактных лиц в организациях-контрагентах, физических лиц - консультантов, фрилансеров, иных граждан, которые не являются работниками компании, но оказывают ей услуги (например, врачи для фармацевтических компаний, авторы в журналах, рекрутеры в кадровых агентствах и т.д.).

Примечание. См. статью о работе с персональными данными работников на с. 10 журнала N 2, 2015.

Согласие и уведомление граждан

Начнем с того, что согласие физического лица на предоставление и обработку персональных данных (ПД) является обязательным (ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее - Закон N 152-ФЗ). Причем оно может быть получено только в письменной форме.

Форма письменного согласия законодательством не оговаривается, поэтому компания может использовать собственную, однако в ч. 4 ст. 9 (Закона N 152-ФЗ) предусмотрены сведения, которые должны быть отражены в нем.

Примечание. Форму согласия и требования к его содержанию смотрите на с. 18 - 19 журнала N 2, 2015.

Судебная практика. Если клиенты заказывают товары или услуги, заполняя анкету на сайте в электронном виде, содержащую сведения о персональных данных, то отдельного согласия на обработку данных не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, т.е. при обработке персональных данных письменное согласие считается полученным (Постановление Федерального арбитражного суда Северо-Западного округа от 13.12.2010 по делу N А56-73636/2009).

В отличие от трудовых отношений, когда работник чаще всего лично предоставляет свои ПД, с данными клиентов может возникнуть ситуация, когда сведения будут получены не напрямую, а от других операторов (например, если компания обращается к юридической фирме для ведения судебного дела в отношении клиента - физического лица).

Для таких случаев ст. 18 Закона N 152-ФЗ предусматривает следующее правило. Если персональные данные получены не от субъекта ПД, то до начала их обработки оператор обязан предоставить субъекту ПД следующую информацию:

Форма и порядок такого уведомления законодательством не предусмотрены, однако информировать субъекта персональных данных необходимо так, чтобы впоследствии была возможность представить в суд доказательства подобного информирования. Потому лучше, если оператор вручит эту информацию субъекту ПД под личную подпись или отправит письмо почтой с уведомлением и описью вложения, а также сохранит почтовые документы.

Судебная практика. Истица обратилась в суд с иском к ряду компаний о признании незаконными действий по передаче и обработке ее персональных данных и взыскании компенсации морального вреда. В обоснование заявленных требований она указала, что между ней и банком был заключен потребительский кредитный договор. В ходе его исполнения банк без согласия передал ее персональные данные ответчикам, от которых в дальнейшем в адрес истицы поступали требования о погашении просроченной задолженности. Суд иск удовлетворил исходя из того, что в нарушение требований закона ей до начала обработки персональных данных не была предоставлена информация об операторе, целях обработки, правовом основании, предполагаемых пользователях (Апелляционное определение Тульского областного суда от 13.02.2014 по делу N 33-372).

Отзыв согласия

Согласно ч. 2 ст. 9 Закона N 152-ФЗ субъект ПД (клиент компании) вправе отозвать согласие на обработку ПД. Специальная форма такого отзыва законодательством не предусмотрена.

Отзыв может быть составлен по образцу, приведенному в примере 1.

Пример 1. Отзыв согласия на обработку персональных данных.

--------------------------------------------------------------------------¬
¦ Генеральному директору ООО "Дело" ¦
¦ В.П. Седых ¦
¦ Перфильева А.П., ¦
¦ зарегистрированного по адресу: ¦
¦ 241007, г. Брянск, ул. 2-ая Садовая, д. 6, кв. 123, ¦
¦ паспорт серии 0044 N 123456 выдан 10.05.2009 ¦
¦ УФМС Фокинского района г. Брянска ¦
¦ ¦
¦ Отзыв согласия ¦
¦ на обработку персональных данных ¦
¦ ¦
¦ Я, Перфильев Анатолий Петрович, в соответствии с ч. 1 ст. 9 ¦
¦ Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" ¦
¦ отзываю у Общества с ограниченной ответственностью "Дело" согласие на ¦
¦ обработку моих персональных данных. ¦
¦ Прошу прекратить обработку моих персональных данных в течение пяти ¦
¦ рабочих дней с момента поступления настоящего отзыва. ¦
¦ ¦
¦ 10.03.2015 Перфильев А.П. Перфильев ¦
L--------------------------------------------------------------------------

Кстати, ч. 2 ст. 9 Закона N 152-ФЗ предусматривает случаи, когда оператор может продолжить обработку ПД и без согласия клиента. Например, обработка ПД необходима для:

Судебная практика подтверждает, что согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора.

Судебная практика. Суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив ПД должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (Кассационное определение Омского областного суда от 10.11.2010 N 33-7056 (2010 г.)).

Организовываем работу

Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте на с. 13 - 19 журнала N 2, 2015. Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в Постановлении Правительства РФ от 01.11.2012 N 1119 устанавливаются требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. субъектов ПД, не являющихся сотрудниками оператора. Однако в этом случае кадровой службе вряд ли поручат обработку ПД клиентов.

Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ "О коммерческой тайне".

Примечание. См. статью "Устанавливаем режим коммерческой тайны" на с. 11 журнала N 11, 2014.

Законодательством о персональных данных специально не предусмотрено, должна ли компания утверждать один локальный нормативный акт о работе с персональными данными работников и клиентов или это могут быть два отдельных акта. Но, учитывая, что согласно ч. 2 ст. 18.1 Закона N 152-ФЗ оператор при работе с клиентами обязан опубликовать или иным образом обеспечить неограниченный доступ к положению о защите персональных данных, целесообразнее разделить положение на два отдельных документа (для работников и клиентов). Ведь далеко не любая компания захочет обнародовать порядок работы с ПД работников.

Мнение. Станислав Валуев, юрист правового бюро "Олевинский, Буюкян и партнеры"

К сожалению, от риска незаконного использования персональных данных не застрахован никто. Защищать их можно любыми способами, при этом выполняя требования Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Эффективность защиты персональных данных клиентов во многом зависит от правильной организации работы сотрудников, которые взаимодействуют с базой персональной информации. Строгий контроль за доступом и использованием персональных данных клиентов максимально оградит эти сведения от использования нечистоплотными сотрудниками в личных целях. Самое важное, на мой взгляд, - выстроить работу сотрудников таким образом, чтобы ответственность за нарушение норм Закона наступала неотвратимо. Руководителям организаций, работающих с персональными данными клиентов, посоветовал бы обязательно разрабатывать положение о защите персональных данных клиентов, где указывать, что каждый сотрудник, получающий для работы персональные данные клиента, несет ответственность за конфиденциальность информации.

До передачи персональных данных иным лицам компания должна запросить у клиента согласие на их передачу. Законодательством не предусмотрена форма такого запроса; он может быть таким, как указано в примере 2.

Пример 2. Запрос согласия субъекта персональных данных на распространение персональных данных.

--------------------------------------------------------------------------¬
¦ Общество с ограниченной ответственностью Петру Ивановичу Трофимову ¦
¦ "Дело" 217565, г. Брянск, ¦
¦ Адрес: 28769, г. Брянск, ул. Космонавтов, д. 4, ¦
¦ ул. Горького, д. 8 кв. 108 ¦
¦ Тел.: (895) 685-01-09 ¦
¦ ОГРН: 1117746600938 ¦
¦ ИНН/КПП: 7702767882/771401001 ¦
¦ от 03.03.2015 N 15/7 ¦
¦ ¦
¦ Запрос согласия ¦
¦ субъекта персональных данных ¦
¦ на распространение персональных данных ¦
¦ ¦
¦ Уважаемый Петр Иванович! ¦
¦ ¦
¦ В связи с необходимостью привлечения подрядчика для выполнения ¦
¦ договора об оказании туристических услуг от 02.03.2015 N 28 с ¦
¦ 10.03.2015 по 09.04.2015 предполагается обработка ваших персональных ¦
¦ данных, предоставленных ООО "Дело": фамилии, имени, отчества; года, ¦
¦ месяца и даты рождения; места рождения; адреса; данных документа, ¦
¦ удостоверяющего личность; сведений о доходах. Данные будут переданы в ¦
¦ электронном виде. ¦
¦ При согласии субъекта персональных данных подлежащие обработке ¦
¦ персональные данные оператором ООО "Дело" распространяются следующим ¦
¦ способом: передача ООО "Турфирма". ¦
¦ На основании вышеизложенного и в соответствии со ст. 7 Федерального ¦
¦ закона от 27.07.2006 N 152-ФЗ "О персональных данных" просьба дать ¦
¦ согласие в письменной форме на передачу подлежащих обработке ¦
¦ персональных данных с 10.03.2015 на один месяц ООО "Турфирма". ¦
¦ Согласие может быть отозвано в любой момент посредством письменного ¦
¦ уведомления. ¦
¦ ¦
¦ Генеральный директор Седых В.П. Седых ¦
L--------------------------------------------------------------------------

Кстати, далеко не каждое действие будет считаться передачей данных или даже разглашением ПД. Примеры можно найти в судебной практике.

Судебная практика. В Постановлении ФАС Восточно-Сибирского округа от 12.05.2011 по делу N А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами.

Уведомление Роскомнадзора

В отличие от оператора, работающего с персональными данными сотрудников, оператор, работающий с персональными данными клиентов, до начала обработки персональных данных обязан уведомить Роскомнадзор (ст. 22 Закона N 152-ФЗ).

Порядок представления уведомлений регулируется Административным регламентом по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных", утвержденным Приказом Минкомсвязи России от 21.12.2011 N 346 (далее - Регламент).

Есть несколько исключений, когда компании, работающие с персональными данными клиентов, не должны направлять уведомления в Роскомнадзор (ч. 2 ст. 22 Закона N 152-ФЗ). Например:

Если перечисленные случаи не относятся к деятельности компании, то она направляет уведомление в территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона N 152-ФЗ). Форма установлена Регламентом (Приложение N 2). Его можно подать не только в бумажном варианте, но и в электронном виде через сайт Роскомнадзора <1> (ч. 3 ст. 22 Закона N 152-ФЗ).

<1> См. Портал персональных данных Уполномоченного органа по защите персональных данных // http://pd.rkn.gov.ru/operators-registry/notification/form.

В течение 30 дней с даты поступления уведомления управление Роскомнадзора вносит сведения, содержащиеся в уведомлении, в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). На основании приказа руководителя уполномоченного органа в реестр вносится запись об операторе. Информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора.

Ответственность оператора при работе с персональными данными клиентов практически аналогична ответственности работодателя, описанной в прошлом номере журнала. Единственное - нужно учитывать ст. 13.14 КоАП РФ, согласно которой за разглашение информации, доступ к которой ограничен федеральным законом, в том числе ПД граждан, лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на должностных лиц компании от 4000 до 5000 руб.

Ю.Жижерина

Директор по персоналу

группы компаний

"Управления строительством - 620"