В условиях глобализации мировой экономики и проникновения Интернета во все сферы жизни особое значение приобретает защита персональных данных. Доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. Однако повсеместное и избыточное собирание персональной информации чревато серьезными рисками (незаконная передача персональных данных субъекта третьему лицу, их обработка в противоречии с заявленными целями или с превышением допустимых пределов, хищение и др.). В связи с этим были приняты изменения, направленные на защиту персональных данных потребителей, в т. ч. от их необоснованного сбора, которые вступят в силу в сентябре 2022 года. Рассказываем о новеллах, ведь многие их них коммерсантам нужно учесть в работе уже сейчас. А потребителям будет интересно узнать, на что они могут рассчитывать по новым правилам в случае нарушения их прав, какие возможности для них несут поправки.
Коммерческая ценность
В условиях цифровизации мировой экономики и расширения международного сотрудничества защита персональных данных приобретает особую значимость, поскольку люди ежедневно и неосознанно открывают к ним доступ широкому кругу лиц (например, заполняя анкеты для получения дисконтных карт, бонусов и скидок). Сбор и обработка большого объема персональной информации, характеризующей целые группы людей и их поведенческие особенности, позволяет предприимчивым коммерсантам монетизировать полученные данные, а также делать свои продукты более востребованными за счет извлекаемых конкурентных преимуществ.
Не секрет, что накапливание и анализ больших объемов данных (big data), включая персональную информацию, дает компаниям возможность продавать их на рынке, выстраивать и применять скоринговые модели, анализировать поведение клиентов, их запросы и предпочтения и благодаря этому делать адресные предложения, наращивая выручку. Информация давно превратилась в полноценный товар, пользующийся высоким спросом на рынке со стороны покупателей, работающих в разных сегментах.
Базовые требования к обработке персданных
Порядок получения статуса оператора по обработке персональных данных и его обязанности предусмотрены ст. 1, п. 2 ст. 3, ст. 5–6, 18–22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных». Указанный статус должен быть присвоен любым федеральным, региональным и муниципальным органам власти, юридическим и физическим лицам, включая индивидуальных предпринимателей, если они выполняют обработку персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, либо без такого использования, если по своему характеру это соответствует автоматической обработке.
Оператор обязан направить уведомление в Роскомнадзор о своем намерении осуществлять обработку персданных. Направлять уведомления не требуется, если обработка персданных осуществляется:
- в соответствии с трудовым законодательством РФ либо на основании договора с субъектом, при этом они не передаются третьим лицам;
- в иных случаях, предусмотренных п. 2 ст. 22 Закона № 152‑ФЗ.
При прекращении обработки оператор также сообщает Роскомнадзору, направляя уведомление.
Оператор должен утвердить документы, связанные с обработкой персданных, назначить ответственное лицо, которое подчиняется непосредственно исполнительному органу оператора, что позволяет обеспечить независимость такого сотрудника от руководителей иных структурных подразделений компании-оператора.
Оператор должен самостоятельно определить состав и содержание организационных, технических и правовых мер для обеспечения защиты персональных данных, осуществлять внутренний контроль и/или аудит, знакомить работников с принятыми правилами работы, оценивать возможный вред, который он может причинить субъектам персональных данных. На своем сайте оператор должен разместить политику обработки персональных данных с указанием в ней всех необходимых параметров, которые представляют интерес для неопределенного круга лиц, использующих его товары или услуги. В таком документе оператор должен описать все способы обработки персональных данных, включая перечень используемых им для этой цели интернет-ресурсов (например, «Яндекс.Метрика», «Google.Аналитика» и др.), а также указать адрес для обратной связи.
Для обработки персональных данных, в том числе для их распространения, оператор должен получить согласие от субъекта таких данных, который в соответствии со ст. 9 Закона № 152‑ФЗ принимает решение о предоставлении согласия на обработку персональных данных, действуя своей волей и в своем интересе, и также вправе свое согласие отозвать.
Недействительность условий договора и штраф
Поправки, принятые Федеральным законом от 01.05.2022 № 135‑ФЗ «О внесении изменения в статью 16 Закона Российской Федерации “О защите прав потребителей”», вступят в силу 01.09.2022. Закон существенно дополняет ст. 16 «Недействительность условий договора, ущемляющих права потребителей» Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей».
В настоящее время (до вступления в силу изменений) ст. 16 Закона № 2300-1 содержит указание на недействительность условий договора, ущемляющих права потребителя по сравнению с тем, как они определены законодательством РФ. Такие недействительные условия не имеют никакой силы на основании ст. 168 ГК РФ, а компания, которая допустила их включение в договор, может быть оштрафована на основании ч. 2 ст. 14.8 КоАП РФ. Напомним, что на должностное лицо и ИП по указанной статье может быть наложен штраф в размере от 1000 до 2000 руб., а на юридическое лицо – от 10 000 до 20 000 руб.
В качестве примера такого условия можно привести включение в договор об оказании физкультурно-спортивных услуг с фитнес-клубом положений:
- либо о полном запрете для клиента-потребителя отказаться от договора,
- либо возможности отказаться, но при условии уплаты штрафа.
Подобное условие прямо противоречит п. 1 ст. 782 ГК РФ, поскольку ограничивает право потребителя как заказчика на односторонний отказ от договора.
Недопустимые условия по новым правилам
Статья 16 Закона № 2300-1 в новой редакции приводит конкретный и весьма обширный перечень такого рода недопустимых условий, что призвано значительно упростить жизнь как потребителям, так и правоприменителям, поскольку ответ на вопрос, противоречит то или иное условие закону, можно будет сразу найти в законе.
В частности, применительно к рассмотренному нами выше примеру в законе прямо указано, что недопустимо включать в договор условие, которое устанавливает для потребителя штрафные санкции или иные обязанности, препятствующие свободной реализации права на односторонний отказ от договора.
Коммерсанты могут действовать намного умнее и тоньше, избегая спорных и опасных формулировок, которые могут навести правоприменителей на мысль о возможном ущемлении прав потребителя. Вместо установления противоречащего закону штрафа за отказ от договора они могут указать в договоре, что цена за весь комплекс услуг является специальной (акционной), предоставлена клиенту с учетом скидки в определенном размере, которая действует только при условии использования всего комплекса услуг (мы говорим как раз про отношения с фитнес-клубом). В договоре также надо указать, что при досрочном расторжении договора потребитель имеет право на возврат части цены за вычетом фактически понесенных расходов, такое условие соответствует диспозиции п. 1 ст. 782 ГК РФ. Далее можно указать, что скидка аннулируется, если не соблюдается условие для ее предоставления, и тогда стоимость услуг подлежит перерасчету. Это условие тоже не противоречит правилам ст. 1, 157, 327.1 и 421 ГК РФ.
О персональных данных замолвлено слово
В п. 4 ст. 16 Закона № 2300-1 в новой редакции теперь существенное внимание уделено вопросам правовой защиты персональных данных потребителей, которые у них против их желания могут пытаться заполучить недобросовестные коммерсанты. В пояснительной записке к принятому законопроекту его авторы указывали, что нововведения призваны ограничить практику принудительного или непрозрачного, неосознанного сбора персональных данных потребителей для целей, не связанных с заключением и исполнением договора.
Внесенные изменения соответствуют:
- Руководящим принципам ООН для защиты интересов потребителей, принятых Резолюцией Генеральной Ассамблеи ООН 22.12.2015, которые в числе принципов добросовестной деловой практики называют защиту личной информации и использование механизмов получения согласия на сбор и использование личных данных потребителей;
- а также п. 48 Рекомендаций Совета ОЭСР по защите прав потребителей в электронной торговле от 24.03.2016 № С(2016)13, в соответствии с которыми компании должны защищать конфиденциальность потребителя, гарантируя, что их практика в отношении сбора и использования потребительских данных является законной, прозрачной и справедливой.
Что давать – решать владельцу
Давайте рассмотрим новые правила более подробно, поскольку они имеют большое практическое значение.
Во-первых, продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством РФ или непосредственно связана с исполнением договора с потребителем.
Простой и часто встречающийся на практике пример – клиент пришел в отделение банка, чтобы открыть вклад, ему предложена типовая форма договора, которая включает:
- как стандартный набор персональных данных (Ф.И.О., паспортные данные, адрес и т. д.),
- так и заранее включенное в договор согласие клиента на обработку биометрических персональных данных.
Банковский сотрудник требует от клиента попозировать на камеру, чтобы сделать фото и поместить его в базу. Учитывая, что использование биометрии только набирает обороты, возможны случаи хищения и мошенничества, клиент может не согласиться с таким требованием и будет прав, оно незаконно, так как навязывать его нельзя.
Требование потребителя
Если коммерсант, несмотря на запрет истребования от потребителя персональных данных при заключении, исполнении, изменении или расторжении договора, все-таки настаивает на своем, потребитель вправе:
- не только отказаться от предоставления персональной информации,
- но и потребовать раскрытия конкретных причин и правовых оснований, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных.
Такой мотивированный ответ компания обязана представить в письменной форме (в том числе в форме электронного документа) на письменное же требование потребителя в течение 7 дней со дня предъявления указанного требования потребителя. Последний должен позаботиться о том, чтобы надлежащим образом зафиксировать факт своего обращения по этому вопросу, иначе ему в случае спора будет проблематично доказать, что он заявлял такое требование, а коммерсант от его выполнения уклонился.
Сделать это можно двумя способами:
- требование может быть вручено в организацию под подпись
- либо отправлено по почте заказным письмом с уведомлением о вручении и с описью вложения, чтобы по номеру регистрируемого почтового отправления (РПО), указанному в платежной квитанции, на сайте «Почты России» в сети Интернет можно было бы отследить прохождение письма.
Кстати, потребитель может потребовать от предпринимателя раскрытия конкретных причин и правовых оснований, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, в устной форме. Это имеет смысл делать сразу, потому что совершенно необязательно по каждому поводу и без повода вести деловую переписку с обидчиком, достаточно для начала просто поинтересоваться, с какого, собственно говоря, перепугу коммерсант выдвигает не основанные на законе требования.
Более того, на устное обращение потребителя предприниматель ответ обязан предоставить незамедлительно, т. е., строго говоря, в момент такого обращения, когда потребитель, что называется, пригвоздил его своим вопросом по существу. Очевидно, что доказательств такого обращения у потребителя, скорее всего, не будет, поскольку вряд ли имеет смысл снимать происходящее на камеру телефона, провоцируя представителя организации на конфликт. Да и свидетели особо ничем не помогут, поскольку компания-нарушитель может притащить в случае спора и своих свидетелей из числа сотрудников, других клиентов и/или иных лиц, которые подтвердят ровно обратное.
А при оценке такого доказательства, как свидетельские показания, действует следующее правило: если все они не противоречивы, согласуются с материалами дела, не противоречат иным доказательствам и просто устанавливают разные обстоятельства (было – не было), то соответствующий факт, который они должны подтвердить или опровергнуть, не считается установленным. Здесь смысл как раз в том, чтобы сразу с места в карьер призвать предпринимателя к ответу за его действия, ну а если тот отказывает в предоставлении устного ответа, вот тогда можно озадачиться составлением и направлением в его адрес письменного обращения.
Какая ответственность ждет нарушителя
Итак, продавец (исполнитель, владелец агрегатора) предоставляет информацию потребителю в той форме, в которой предъявлено требование о предоставлении информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, если иное не указано в этом требовании. Как мы уже упомянули, если потребитель просит устный ответ, это одно дело, а если запрашивает письменный мотивированный ответ, тогда придется взяться за перо и сочинить ответ.
Здесь очень важны правовые последствия для предпринимателя, который может просто уклониться от выполнения своих обязанностей перед потребителем. В самой норме все расписано довольно четко и предельно ясно, но в нашей стране, как известно, суровость российских законов компенсируется необязательностью их исполнения. Именно поэтому важно понимать, а что светит организации за нарушения и на что может рассчитывать потребитель в такой ситуации?
Ответственность для бизнеса за принудительный сбор персональных данных будет установлена новой ч. 7 ст. 14.8 КоАП РФ, которая начнет действовать также с 01.09.2022. Так, за отказ заключить, исполнить, изменить или расторгнуть договор с потребителем в связи с его отказом предоставить персданные, должностное лицо может быть оштрафовано на сумму от 5000 до 10 000 руб., а организация – от 30 000 до 50 000 руб. Пожаловаться обиженный гражданин может, как и раньше, в Роспотребнадзор. Например, на официальном сайте ведомства открыта электронная приемная, где можно оставить жалобу или получить консультацию в электронном виде (https://rospotrebnodzor.ru/formrpn).
Повышенную неустойку, которую потребитель обычно требует от предпринимателя за нарушение обязательств, связанных с продажей товаров или оказанием услуг (ст. 23, 28 и 31 Закона № 2300-1), здесь взыскать нельзя, поскольку ст. 16 названного закона в новой редакции такую возможность прямо не предусматривает.
Потребитель может потребовать компенсацию морального вреда (на основании ст. 15 Закона № 2300-1). Только надо иметь в виду, что много денег суд все равно не даст, учитывая, что само нарушение вряд ли он посчитает значительным. Как правило, в подобных случаях суды дают не более 1000-5000 рублей, полагая, по-видимому, что истец на большее «не пострадал».
Поскольку требование о предоставлении мотивированного ответа с раскрытием причин и правовых оснований по своему характеру не является денежным, отказ от его исполнения в добровольном порядке не учитывается при определении размера штрафа за нарушение прав потребителей (п. 6 ст. 13 Закона № 2300-1). Напомним, что указанный штраф по своей правовой природе является дополнительной финансовой санкцией, налагаемой судом на недобросовестного предпринимателя, и исчисляется в размере 50% от всех присужденных в пользу потребителя денежных сумм.
У потребителя есть право потребовать от коммерсанта возмещения убытков, но и тут дело обстоит совсем непросто. Общеизвестно, что к истцу предъявляется повышенный стандарт доказывания по данной категории дел, нужно доказать целую совокупность условий, необходимых для возложения на ответчика указанной гражданско-правовой ответственности. К числу таких условий относятся следующие: факт и размер убытков, наличие вины правонарушителя в форме действий или бездействия, прямая (непосредственная) причинно-следственная связь между его противоправным поведением и наступившими для истца неблагоприятными последствиями (ст. 15 ГК РФ и ст. 56 ГПК РФ).
Если взять обозначенный выше пример с банком, который требовал от потребителя фотографию, то очевидно, что каких-то особых убытков у потребителя и не возникает. Банков достаточно много на рынке, и у каждого в целом есть похожие банковские продукты, поэтому потребитель во всяком случае не лишен возможности на примерно схожих условиях открыть депозит в иной кредитной организации.
В заключение добавим, что на рассмотрении в Госдуме РФ находится еще один законопроект, направленный на усиление защиты персданных граждан (https://sozd.duma.gov.ru/bill/101234-8). Когда он будет принят, мы обязательно о нем расскажем.