Мы - ООО - ресторан быстрого питания

165

Вопрос

Мы - ООО - ресторан быстрого питания. Если клиент оплачивает заказ на сумму 1 000 руб и более, ему дают заполнить анкету и выдают дисконт карту (скидка на оплату последующих заказов). Вопрос наш о требованиях к анкете. Анкету нам прислал Лицензиат (мы являемся Сублицензиатом). В анкете указывается ФИО, пол, возраст, телефон, эл. почта, род деятельности, согласны ли получать информацию о нашей компании по эл. почте/ по телефону, как часто вы посещаете наш ресторан и как вы узнали о нашем ресторане? - это весь перечень вопросов. Нужно ли в анкете указывать наименование юридического лица? Подпись анкетируемого? Без его подписи будет ли анкета подтверждать согласие клиента на рассылку смс на его телефон? Нужно ли нам уведомлять уполномоченный орган об обработке персональных данных? Лицензиат настаивает, чтобы данные анкеты направлялись Лицензиату, а он уже будет осуществлять рассылку смс на телефон клиента. Нужно ли согласие анкетируемого на передачу информации Лицензиату?

Ответ

: В рассматриваемой ситуации необходимо уведомить уполномоченный орган. Также подпись клиента обязательна, так как таким образом он выражает согласие на обработку персональных данных. Кроме того, в анкете сделайте ссылку на то, что данные передаются лицензиату в силу договора (укажите реквизиты договора) и наименование юридического лица.

 

Согласно п. 1 части первой ст. 3 Федерального закона РФ от 27.07.2006 № 152-ФЗ персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Статья 7 Закона № 152-ФЗ предусматривает нераспространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Следовательно, любое распространение персональных данных без согласия субъекта является неправомерным.

В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Обоснование данной позиции приведено ниже в материалах ЮСС «Система Юрист».

1. Статья: Согласие на обработку персональных данных потенциального клиента

«Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (далее — закон № 152-ФЗ) устанавливает особый режим работы компании с персональными данными физлиц. Персональными данными считается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (п. 1 ст. 3 закона № 152-ФЗ). Под обработкой персональных данных понимаются любые действия (операции) с ними, включая сбор, систематизацию, хранение и т. д. При этом компания может обрабатывать персональные данные физических лиц только с их письменного согласия* (п. 1 ст. 6, п. 4 ст. 9 закона № 152-ФЗ). Согласие не требуется в исключительных случаях. Например, при обработке персональных данных физического лица в целях исполнения договора с ним (п. 2 ст. 6 закона № 152-ФЗ).

Чаще всего персональные данные физлиц используют компании, работающие на рынке продажи товаров, выполнения работ и оказания услуг потребителям. Они необходимы для рекламных рассылок, маркетинговых исследований и оформления дисконтных карт. В пункте 1 статьи 15 закона № 152-ФЗ прямо предусмотрено, что обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Сбор, использование и распространение персональных данных без согласия физлица могут повлечь административный штраф с компании — от 5 тыс. до 10 тыс. рублей (ст. 13.11 КоАП РФ)*. Казалось бы, сумма штрафа незначительна. Но если компания собирает персональные данные в массовом порядке, то отсутствие согласия по каждому субъекту можно квалифицировать в качестве самостоятельного правонарушения. Следовательно, размер штрафа может возрасти в десятки и даже в сотни раз. Плановые и внеплановые проверки соблюдения порядка работы с персональными данными проводит Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор. Процедура проверок установлена в регламенте, утвержденном приказом Роскомнадзора от 01.12.09 № 630.

Контрольные точки при оформлении

Утвержденной формы согласия на обработку персональных данных не существует, но в пункте 4 статьи 9 закона № 152-ФЗ перечислены сведения, которые обязательно необходимо указать в данном документе. Следовательно, согласие на обработку персональных данных можно оформить как в виде документа с одноименным названием (см. образец № 1), так и, например, в виде более удобной в практическом применении анкеты, которую компания обычно просит заполнить для оформления дисконтной карты (см. образец № 2)*.

1. Пункт 4 статьи 9 закона № 152-ФЗ перечисляет следующие сведения, которые должны быть указаны в согласии на обработку персональных данных: фамилия, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, наименование и адрес оператора, получающего согласие субъекта персональных данных, цель обработки, перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных, срок, в течение которого действует согласие, а также порядок его отзыва.

2. Когда целью представления персональных данных является распространение рекламных рассылок, необходимо учитывать также требование части 1 статьи 18 Федерального закона от 13.03.06 № 38-ФЗ «О рекламе». Там указано, что распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. Следовательно, в согласии на обработку персональных данных необходима запись о том, что субъект согласен на получение информации, соответствующей понятию рекламы (ст. 3 закона № 38-ФЗ), а также указание конкретных способов, которыми клиент желает получать такую информацию.

3. Возможные действия с персональными данными, на совершение которых необходимо согласие физлица, указаны в пунктах 3 и 4статьи 3 закона № 152-ФЗ. Понятие «обработка персональных данных» включает в себя сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. При этом распространением персональных данных считаются действия, направленные на их передачу определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц. Если рекламными рассылками в адрес потребителей будет заниматься не сама компания, а иные лица по договору с ней (например, специализирующиеся на интернет-рассылках), или персональные данные потребуется передать специализированным компаниям для проведения маркетинговых исследований, то необходимо согласие физического лица на их передачу третьим лицам.

4. Срок, в течение которого действует согласие, законодательством не ограничен. Следовательно, можно установить любой. При этом у физического лица в любом случае есть право отозвать свое согласие (п. 2 ст. 15 закона № 152-ФЗ). В документе необходимо установить конкретный порядок такого отзыва, который тоже может быть любым (подп. 6 п. 4 ст. 9 закона № 152-ФЗ).

На что еще обратить внимание

Первый момент. До начала обработки персональных данных компания обязана уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Эта обязанность установлена в пункте 1 статьи 22 закона № 152-ФЗ. Форма уведомления утверждена приказом Роскомнадзора от 17.07.08 № 08. Компания может не отправлять соответствующие уведомления, если обработка персональных данных будет осуществляться «вручную» — без использования средств автоматизации, а также если персональные данные включают только Ф.И.О. (подп. 8 п. 2 ст. 22 закона № 152-ФЗ). Несоблюдение обязанности по уведомлению Роскомнадзора в случаях, когда это обязательно, тоже подпадает под состав правонарушения, предусмотренного в статье 13.11 Кодекса об административных правонарушениях.

Второй момент. Компания обязана обеспечить конфиденциальность персональных данных, которые она использует (ст. 7 закона № 152-ФЗ). В этих целях необходимо принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (п. 1 ст. 19 закона № 152-ФЗ). Конкретные требования к обеспечению безопасности персональных данных при их обработке в информационных системах утверждены в постановлении Правительства РФ от 17.11.07 № 781 и приказе Федеральной службы по техническому и экспортному контролю от 05.02.10 № 58*".

2. ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 27.07.2006 № 152-ФЗ

"Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)*.

<...>

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом*. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных*".

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатный доступ на 3 дня >>
Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль