Многие компании, которые ориентируются на потребителя как своего основного клиента, нередко проводят сбор и обработку персональных данных физических лиц в коммерческих целях (статистика, привлечение клиентов, маркетинг, реклама и прочее). В большинстве случаев, это данные, полученные непосредственно от клиентов, либо потенциальных клиентов путем анкетирования. Давайте рассмотрим на конкретных примерах, насколько такая обработка персональных данных будет соответствовать требованиям Закона Украины «О защите персональных данных», который вступил в силу 1 января 2011 года (далее также – «Закон»).
Установление того, какая идентифицирующая информация о лице будет считаться «персональными данными» в понимании Закона, требует некоторого субъективного суждения. Если любые данные о лице указаны вместе с его именем и фамилией, они будут считаться персональными данными. Например, это адрес, дата и место рождения, образование, семейное и имущественное положение, национальность, вероисповедание, состояние здоровья.
Также следует отметить, что характерной особенностью обработки персональных данных, которая подпадает под действие Закона, является то, что она осуществляется полностью или частично в определенной базе данных (например, бумажная картотека или электронная база). И это логично, ведь работа с персональными данными в абсолютном большинстве случаев возможна и удобна, только когда она собрана и упорядочена по определенному критерию, например по алфавиту, по номеру дисконтной карточки, по году рождения, по дате членства. Обработка персональных данных охватывает любые действия, связанные со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (сообщением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице.
У базы данных есть владелец – физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки. Владелец базы может передать обработку данных внешнему субъекту, который будет исполнять технические задачи. Закон называет такого субъекта отношений распорядителем базы персональных данных. Итак, когда мы раскрыли основные термины Закона, рассмотрим некоторые случаи коммерческого сбора персональных данных.
Заполни анкету – получи дисконт
Зачастую магазины, рестораны и компании из сферы услуг практикуют так называемые дисконтные программы. Для получения дисконтной персональной карточки при покупке товара (или без таковой) клиенту предлагают заполнить анкету покупателя, указав свои персональные данные.
Как правило, необходимо сообщить свое полное имя, адрес, контактный телефон, год рождения. Зачастую дополнительные данные (образование, род занятий, уровень доходов, периодичность и суммы покупок, семейное состояние, наличие автомобиля, пользование услугами авиакомпаний) и вовсе позволяют получить достаточно подробную информацию о лице. Специальные поощрительные правила могут предусматривать дисконты и/или подарки для членов семьи, что предполагает указание персональных данных и относительно последних.
На практике нередки случаи, когда часть полей анкеты обозначены символом «*» как так называемые «обязательные для заполнения». Рядовой потребитель, будучи намеренным, главным образом, получить скидку, достаточно добросовестно заполняет «обязательные» поля и всю анкету целиком.
В некоторых проанализированных нами анкетах и вовсе не указывалось, зачем и каким образом будет использоваться указанная информация о клиенте после выдачи дисконтной карточки. А ведь такая информация может быть достаточно подробной, что требует ее надлежащей защиты от незаконного использования. В некоторых анкетах в обобщенном примечании упоминалось о том, что данные будут храниться конфиденциально и не передаваться посторонним лицам. В некоторых анкетах цель сбора информации усматривалась в вопросе «Как вам удобнее получать извещения о скидках и новых поступлениях?» (например, почтой, эл. почта, или SMS). И лишь некоторые анкеты четко указывали цель сбора информации и лиц, которые будут иметь к ней доступ. И совсем ограниченное число изученных нами анкет полностью соответствовало требованиям нового Закона Украины «О защите персональных данных», о чем изложено ниже.
Желаете трудоустроиться – оставьте нам свои данные
Некоторые сетевые компании также создают возможности для ускорения коммуникации с потенциальными сотрудниками посредством анкетирования. Кандидат, который вживую осмотрел, так сказать, свое будущее место работы, например, понравившийся фирменный магазин одежды или оживленное кафе, может тут же попросить анкету на трудоустройство продавцом или официантом у администратора.
Персональные данные, которые собираются о кандидате, также предполагают указание своего полного имени, адреса, телефона, а зачастую и сведений об образовании и опыте работы. Как подчеркивается в тексте одной из изученных нами анкет, кандидат полностью несет ответственность за достоверность сообщенных данных, а их неправдивость повлечет отказ в приеме на работу или даже увольнение.
Таким образом, в первую очередь, работодатель желает обезопасить себя от вероятного ложного анкетирования. Тем не менее, защита персональных данных находится в другой плоскости, и этому вопросу лишь немногие работодатели уделяют надлежащее внимание.
Нам важно Ваше мнение, ответьте на несколько вопросов
Анкетирование в деперсонифицированной форме, то есть не предполагающее указание своего имени, фактически не подпадает под действие нового Закона Украины «О защите персональных данных». В таком случае компанию, проводящую опрос, в первую очередь интересует обобщенная информация, а не данные о конкретном лице для последующего использования. Например, некоторые компании (кафе, отели, ивент-агентства) практикуют сбор анонимных отзывов о качестве обслуживания. Или, например, проведение тайного голосования среди клиентов за лучшего сотрудника фирмы.
Если же, участнику опроса предлагается заполнить персонифицированную анкету, наподобие вышеуказанным, то в таком случае требования относительно защиты персональных данных действуют в полной мере.
Как правильно составить анкету?
Итак, общим для всех вышеуказанных ситуаций, где собираются персональные данных конкретных физических лиц, является то, что такие данные можно собирать только при согласии самого физического лица. Причем, такое согласие должно быть документированным, в частности, письменным.
Логичным будет вопрос: а разве сам факт заполнения анкеты не является достаточным подтверждением согласия лица на обработку ее персональных данных? Ответим сразу – недостаточно, если содержание анкеты не раскрывает следующих условий: (1) четко определенная цель обработки этих данных; (2) название (хотя бы условное) базы персональных данных, в которой данные будут обрабатываться (например, храниться), владельца такой базы данных и его местонахождение; (3) способы использования персональных данных и (4) возможная передача данных третьим лицам. К сожалению, в большинстве из проанализированных нами анкет указанные положения отсутствовали. Вероятно, одной из причин является то, что бланки таких анкет были оформлены еще в 2010 году без учета положений Закона и продолжают использоваться до сих пор.
Считаем, что составление текста согласия лица на обработку персональных данных, содержащихся в анкете, – вопрос достаточно индивидуальный, ведь каждая компания по-своему будет обрабатывать персональные данные исходя из определенных целей, специфики анкетируемых лиц и объема собранных данных.
Тем не менее, в качестве обобщенного примера, можем предложить следующий текст согласия лица, которым целесообразно дополнить анкету:
Установление того, какая идентифицирующая информация о лице будет считаться «персональными данными» в понимании Закона, требует некоторого субъективного суждения. Если любые данные о лице указаны вместе с его именем и фамилией, они будут считаться персональными данными. Например, это адрес, дата и место рождения, образование, семейное и имущественное положение, национальность, вероисповедание, состояние здоровья.
Также следует отметить, что характерной особенностью обработки персональных данных, которая подпадает под действие Закона, является то, что она осуществляется полностью или частично в определенной базе данных (например, бумажная картотека или электронная база). И это логично, ведь работа с персональными данными в абсолютном большинстве случаев возможна и удобна, только когда она собрана и упорядочена по определенному критерию, например по алфавиту, по номеру дисконтной карточки, по году рождения, по дате членства. Обработка персональных данных охватывает любые действия, связанные со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (сообщением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице.
У базы данных есть владелец – физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки. Владелец базы может передать обработку данных внешнему субъекту, который будет исполнять технические задачи. Закон называет такого субъекта отношений распорядителем базы персональных данных. Итак, когда мы раскрыли основные термины Закона, рассмотрим некоторые случаи коммерческого сбора персональных данных.
Заполни анкету – получи дисконт
Зачастую магазины, рестораны и компании из сферы услуг практикуют так называемые дисконтные программы. Для получения дисконтной персональной карточки при покупке товара (или без таковой) клиенту предлагают заполнить анкету покупателя, указав свои персональные данные.
Как правило, необходимо сообщить свое полное имя, адрес, контактный телефон, год рождения. Зачастую дополнительные данные (образование, род занятий, уровень доходов, периодичность и суммы покупок, семейное состояние, наличие автомобиля, пользование услугами авиакомпаний) и вовсе позволяют получить достаточно подробную информацию о лице. Специальные поощрительные правила могут предусматривать дисконты и/или подарки для членов семьи, что предполагает указание персональных данных и относительно последних.
На практике нередки случаи, когда часть полей анкеты обозначены символом «*» как так называемые «обязательные для заполнения». Рядовой потребитель, будучи намеренным, главным образом, получить скидку, достаточно добросовестно заполняет «обязательные» поля и всю анкету целиком.
В некоторых проанализированных нами анкетах и вовсе не указывалось, зачем и каким образом будет использоваться указанная информация о клиенте после выдачи дисконтной карточки. А ведь такая информация может быть достаточно подробной, что требует ее надлежащей защиты от незаконного использования. В некоторых анкетах в обобщенном примечании упоминалось о том, что данные будут храниться конфиденциально и не передаваться посторонним лицам. В некоторых анкетах цель сбора информации усматривалась в вопросе «Как вам удобнее получать извещения о скидках и новых поступлениях?» (например, почтой, эл. почта, или SMS). И лишь некоторые анкеты четко указывали цель сбора информации и лиц, которые будут иметь к ней доступ. И совсем ограниченное число изученных нами анкет полностью соответствовало требованиям нового Закона Украины «О защите персональных данных», о чем изложено ниже.
Желаете трудоустроиться – оставьте нам свои данные
Некоторые сетевые компании также создают возможности для ускорения коммуникации с потенциальными сотрудниками посредством анкетирования. Кандидат, который вживую осмотрел, так сказать, свое будущее место работы, например, понравившийся фирменный магазин одежды или оживленное кафе, может тут же попросить анкету на трудоустройство продавцом или официантом у администратора.
Персональные данные, которые собираются о кандидате, также предполагают указание своего полного имени, адреса, телефона, а зачастую и сведений об образовании и опыте работы. Как подчеркивается в тексте одной из изученных нами анкет, кандидат полностью несет ответственность за достоверность сообщенных данных, а их неправдивость повлечет отказ в приеме на работу или даже увольнение.
Таким образом, в первую очередь, работодатель желает обезопасить себя от вероятного ложного анкетирования. Тем не менее, защита персональных данных находится в другой плоскости, и этому вопросу лишь немногие работодатели уделяют надлежащее внимание.
Нам важно Ваше мнение, ответьте на несколько вопросов
Анкетирование в деперсонифицированной форме, то есть не предполагающее указание своего имени, фактически не подпадает под действие нового Закона Украины «О защите персональных данных». В таком случае компанию, проводящую опрос, в первую очередь интересует обобщенная информация, а не данные о конкретном лице для последующего использования. Например, некоторые компании (кафе, отели, ивент-агентства) практикуют сбор анонимных отзывов о качестве обслуживания. Или, например, проведение тайного голосования среди клиентов за лучшего сотрудника фирмы.
Если же, участнику опроса предлагается заполнить персонифицированную анкету, наподобие вышеуказанным, то в таком случае требования относительно защиты персональных данных действуют в полной мере.
Как правильно составить анкету?
Итак, общим для всех вышеуказанных ситуаций, где собираются персональные данных конкретных физических лиц, является то, что такие данные можно собирать только при согласии самого физического лица. Причем, такое согласие должно быть документированным, в частности, письменным.
Логичным будет вопрос: а разве сам факт заполнения анкеты не является достаточным подтверждением согласия лица на обработку ее персональных данных? Ответим сразу – недостаточно, если содержание анкеты не раскрывает следующих условий: (1) четко определенная цель обработки этих данных; (2) название (хотя бы условное) базы персональных данных, в которой данные будут обрабатываться (например, храниться), владельца такой базы данных и его местонахождение; (3) способы использования персональных данных и (4) возможная передача данных третьим лицам. К сожалению, в большинстве из проанализированных нами анкет указанные положения отсутствовали. Вероятно, одной из причин является то, что бланки таких анкет были оформлены еще в 2010 году без учета положений Закона и продолжают использоваться до сих пор.
Считаем, что составление текста согласия лица на обработку персональных данных, содержащихся в анкете, – вопрос достаточно индивидуальный, ведь каждая компания по-своему будет обрабатывать персональные данные исходя из определенных целей, специфики анкетируемых лиц и объема собранных данных.
Тем не менее, в качестве обобщенного примера, можем предложить следующий текст согласия лица, которым целесообразно дополнить анкету:
«Заполняя анкету, настоящим [ФИО лица] дает свое полное согласие на обработку Компанией «А» своих персональных данных определенным (или любым) способом, предусмотренным Законом Украины «О защите персональных данных», в базе данных «Менеджмент Клиентов» в целях [например, реклама, рассылка коммерческих предложений, исследование рынка, участие в дисконтных программах]. Персональные данные могут передаваться третьим лицам, в частности другим компаниям Группы «А» в Украине и за рубежом, а также их контрагентам, клиентам и распорядителю базы данных «Менеджмент Клиентов». По всем вопросам обращаться к владельцу базы данных «Менеджмент Клиентов» - компании «А» [адрес; телефон; эл. почта] или [при наличии] распорядителю базы данных «Менеджмент Клиентов» - компании «Б» [адрес; телефон; эл. почта]». Ниже следует отвести место для подписи лица.
Другие требования Закона
Кроме документирования согласия лица на обработку его персональных данных, также необходимо разработать внутреннее положение об обработке и защите персональных данных, в котором закрепить цель и порядок обработки, урегулировать другие вопросы защиты персональных данных.
Согласно ст. 6 Закона, в случае изменения цели обработки, нужно получить новое согласие лица на обработку его персональных данных. Минимизировать необходимость получения нового согласия можно путем указания в тексте первичного согласия лица всех возможных ситуаций, в контексте которых в обозримом будущем компании понадобится обрабатывать собранные персональные данные.
Обязательным для владельца базы данных будет еще одно требование Закона. Согласно ст. 12 Закона субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных настоящим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме. На практике, в случае большого количества анкетируемых лиц, оповестить каждого будет достаточно трудно.
Как менее обременительный вариант исполнения вышеуказанного требования, предлагаем письменно известить лицо именно в момент сбора персональных данных, то есть «на месте». Ведь Закон устанавливает, прежде всего, граничный срок для уведомления, но не запрещает это сделать непосредственно в момент получения данных от анкетируемого лица.
Технически это можно исполнить путем вручения заинтересованному лицу краткого содержательного документа, где еще раз продублирована цель сбора персональных данных и упоминание о лицах, которым передаются персональные данные клиента (респондента), а также сделана выдержка из Закона о правах субъекта персональных данных.
С целью фиксирования факта вышеуказанного извещения при минимальном документообороте, предлагаем в самой анкете, кроме вышеуказанного текста-согласия, также предусмотреть текст расписки об уведомлении. Например, такого содержания:
«Настоящим я также уведомлен, что мои персональные данные включены в базу данных «Менеджмент Клиентов», они могут быть переданы третьим лицам, в частности другим компаниям Группы «А» в Украине и за рубежом, а также их контрагентам, клиентам и распорядителю базы данных «Менеджмент Клиентов». Содержание моих прав как субъекта персональных данных согласно Закону Украины «О защите персональных данных» мне известно и понятно».
Требования ст. 24 Закона предусматривают необходимость назначить лицо, ответственное за организацию работы по защите персональных данных при их обработке. В этих целях рекомендуем поручить выполнение таких функций специалисту по управлению персоналом или системному администратору (в зависимости от того, кто действительно будет заниматься сбором и обработкой персональных данных). Указанные задачи могут быть возложены на сотрудников на основании приказа руководителя или положения об обработке и защите персональных данных.
Закон устанавливает обязанность владельца базы данных провести государственную регистрацию баз персональных данных. Регистрацию необходимо будет провести в Государственной службе Украины по вопросам защиты персональных данных, которая была создана 09 декабря 2010 года. Этот государственный орган согласно Закону будет выполнять функции уполномоченного (контролирующего) органа по вопросам защиты персональных данных. Но поскольку фактическое начало работы госоргана все еще ожидается, то практически реализовать указанное требование Закона пока невозможно.
Другие требования Закона
Кроме документирования согласия лица на обработку его персональных данных, также необходимо разработать внутреннее положение об обработке и защите персональных данных, в котором закрепить цель и порядок обработки, урегулировать другие вопросы защиты персональных данных.
Согласно ст. 6 Закона, в случае изменения цели обработки, нужно получить новое согласие лица на обработку его персональных данных. Минимизировать необходимость получения нового согласия можно путем указания в тексте первичного согласия лица всех возможных ситуаций, в контексте которых в обозримом будущем компании понадобится обрабатывать собранные персональные данные.
Обязательным для владельца базы данных будет еще одно требование Закона. Согласно ст. 12 Закона субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных настоящим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме. На практике, в случае большого количества анкетируемых лиц, оповестить каждого будет достаточно трудно.
Как менее обременительный вариант исполнения вышеуказанного требования, предлагаем письменно известить лицо именно в момент сбора персональных данных, то есть «на месте». Ведь Закон устанавливает, прежде всего, граничный срок для уведомления, но не запрещает это сделать непосредственно в момент получения данных от анкетируемого лица.
Технически это можно исполнить путем вручения заинтересованному лицу краткого содержательного документа, где еще раз продублирована цель сбора персональных данных и упоминание о лицах, которым передаются персональные данные клиента (респондента), а также сделана выдержка из Закона о правах субъекта персональных данных.
С целью фиксирования факта вышеуказанного извещения при минимальном документообороте, предлагаем в самой анкете, кроме вышеуказанного текста-согласия, также предусмотреть текст расписки об уведомлении. Например, такого содержания:
«Настоящим я также уведомлен, что мои персональные данные включены в базу данных «Менеджмент Клиентов», они могут быть переданы третьим лицам, в частности другим компаниям Группы «А» в Украине и за рубежом, а также их контрагентам, клиентам и распорядителю базы данных «Менеджмент Клиентов». Содержание моих прав как субъекта персональных данных согласно Закону Украины «О защите персональных данных» мне известно и понятно».
Требования ст. 24 Закона предусматривают необходимость назначить лицо, ответственное за организацию работы по защите персональных данных при их обработке. В этих целях рекомендуем поручить выполнение таких функций специалисту по управлению персоналом или системному администратору (в зависимости от того, кто действительно будет заниматься сбором и обработкой персональных данных). Указанные задачи могут быть возложены на сотрудников на основании приказа руководителя или положения об обработке и защите персональных данных.
Закон устанавливает обязанность владельца базы данных провести государственную регистрацию баз персональных данных. Регистрацию необходимо будет провести в Государственной службе Украины по вопросам защиты персональных данных, которая была создана 09 декабря 2010 года. Этот государственный орган согласно Закону будет выполнять функции уполномоченного (контролирующего) органа по вопросам защиты персональных данных. Но поскольку фактическое начало работы госоргана все еще ожидается, то практически реализовать указанное требование Закона пока невозможно.
Pravotoday, 4.03.2011