Что нужно учесть при взаимодействии с клиентами в телеграм-канале и обработке их персональных данных (ФИО, номер телефона и т.д.) при проведении различного рода акций, розыгрышей?

Организация работает с клиентами в телеграм-канале. Запускает чат-бот, где нужно собирать информацию, кто обратился, с каким вопросом, для этого делает идентификацию по номеру телефона. Нужно ли соглашение о конфиденциальности, которое клиент подтвердит? Каковы требования законодательства о хранении персональных данных? Что нужно учесть при взаимодействии с клиентами в телеграм-канале и обработке их персональных данных (Ф.И.О., номер телефона и т.д.) при проведении различного рода акций, розыгрышей?

В целях Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а любое действие (операция) или совокупность действий (операций), совершаемых как с использованием средств автоматизации, так и без использования таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) и др., является обработкой персональных данных (пп. 1, 3 ст. 3 Закона N 152-ФЗ).

К персональным данным относится различного рода информация (сведения) о физическом лице, такие как фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, паспортные данные, семейное, социальное, имущественное положение, образование, профессия, доходы и т.п. (смотрите подробнее: Энциклопедия решений. Понятие и виды персональных данных (февраль 2025)). По сути, персональные данные - это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных.

Дискуссионными являются вопросы об отнесении к персональным данным таких сведений, как номер телефона и адрес электронной почты. Так, в соответствии с Правилами оказания услуг телефонной связи, утвержденными постановлением Правительства РФ от 30.12.2024 N 1994, абонентский номер - телефонный номер, однозначно определяющий (идентифицирующий) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с используемым в ней (в нем) идентификационным модулем. То есть номер телефона будет являться персональными данным исключительно в совокупности с дополнительной информацией, позволяющей отнести его к конкретному физическому лицу. Роскомнадзор относит адрес электронной почты к персональными данным, при этом имеется судебная практика, согласно которой по аналогии с номером телефона, без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит (подробнее смотрите: Вопрос: Является ли номер телефона и адрес электронной почты персональными данными? (ответ службы Правового консалтинга ГАРАНТ, май 2024 г.))*(1).

Начальной точкой обработки персональных данных является их сбор оператором. Закон N 152-ФЗ понятие "сбор" персональных данных не раскрывает, при этом из содержания ст. 18 указанного Закона можно сделать вывод, что под сбором понимается процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо иного лица (представителя; лица, действующего по поручению оператора и др.) для совершения дальнейших действий (операций) с ними в соответствии с заранее определенными целями. Указанный подход подтверждается и позицией Минцифры России, согласно которой в целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных для их последующей обработки в соответствии с заявленными целями сбора.

Из пользовательских соглашений мессенджеров (социальных сетей), как правило, следует, что, регистрируясь, пользователь принимает политику конфиденциальности, а также при создании учетной записи указывает основные сведения о такой записи, например, имя, фотографию профиля и краткую информацию о пользователе. Выбранные имя профиля, фотографии профиля и другие сведения в зависимости от настроек приватности доступны и другим пользователям такого мессенджера (социальной сети), при этом отображаемые сведения не обязательно совпадают с реальными.

Пользователь, регистрируясь в мессенджере (социальной сети) и указывая сведения в учетной записи, делает свои данные общедоступными и допускает их обработку со стороны третьих лиц в определенных пределах. Само по себе присоединение пользователя к группе (каналу) в мессенджере (социальной сети) не свидетельствует о сборе его персональных данных со стороны владельца такой группы (канала), поскольку, во-первых, указываемые в учетной записи сведения могут не совпадать с реальными либо являются недостаточными для идентификации лица, во-вторых, для того, чтобы подпадать под понятие "сбор", владельцу группы (канала) необходимо осуществлять действия, направленные именно на получение персональных данных в определенных целях.

Таким образом, принятие предусмотренных законодательством в области персональных данных мер (исполнение возложенных на оператора требований) находится в рассматриваемой ситуации в зависимости от того, предполагается ли организацией сбор персональных данных пользователей (подписчиков) группы (канала) в мессенджерах (социальных сетях), в том числе в целях проведения акций, розыгрышей и др.

Если исходить из того, что при проведении акций, розыгрышей и др., в том числе путем взаимодействия с чат-ботом, у пользователей будут запрашиваться Ф.И.О. и номер телефона, а также иные относящиеся к ним данные, позволяющие их идентифицировать, то такие действия будут попадать под сбор персональных данных.

При этом обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом N 152-ФЗ и допускается либо при наличии согласия субъекта персональных данных на обработку (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ), либо в предусмотренных пп. 2-11 ч. 1 ст. 6 (для общих категорий персональных данных), ч. 2 ст. 10 (для специальных категорий) и ч. 2 ст. 11 (для биометрических персональных данных) указанного Закона случаях, не требующих получения отдельного согласия.

Таким образом, с учетом положений ч. 1 ст. 6, ч. 2 ст. 9 Закона N 152-ФЗ правомерность обработки персональных данных обусловлена либо согласием субъекта персональных данных, либо наличием одного из прямо предусмотренных оснований (условий).

При этом обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия предусмотренных оснований (условий) возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).

Из положений ч. 1 ст. 9 Закона N 152-ФЗ следует, что согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, отвечающего требованиям ч. 4 ст. 9 Закона N 152-ФЗ (в частности, специальной категории персональных данных, биометрических; принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы на основании автоматизированной обработки его персональных данных и др. случаях).

Вместе с тем независимо от формы (способа) получения согласия субъекта на обработку его персональных данных Закон N 152-ФЗ устанавливает в ч. 1 ст. 9 Закона N 152-ФЗ следующие требования:

- решение о предоставлении персональных данных и согласие на их обработку должно даваться субъектом персональных данных свободно, своей волей и в своем интересе;

- согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.

Конкретность и предметность согласия обеспечивается тем, что цели обработки персональных данных должны быть четкими, ясно выраженными, обоснованными и понятными. Разрешая оператору обрабатывать персональные данные, субъект одобряет определенные его действия в том виде и в объеме, которые необходимы для реализации цели обработки. Информированность согласия предполагает, что субъект персональных данных перед его предоставлением должен получить объективную и достоверную информацию о том, кто собирает персональные данные, кому передаются персональные данные, в каких целях, о способах обработки, перечне действий с персональными данными и т.п.

Необходимо также учитывать, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к таким целям (ст. 5 Закона N 152-ФЗ).

Кроме того, в соответствии с ч. 2 ст. 18.1 Закона N 152-ФЗ оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети, в том числе на страницах принадлежащего оператору сайта в сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети*(2).

Правомерность сбора и дальнейшей обработки персональных данных пользователей (подписчиков) группы (канала) в мессенджере (социальной сети), изъявивших участвовать в акциях, розыгрышах и др., а также при взаимодействии с чат-ботом, с учетом указанных требований Закона N 152-ФЗ достигается:

- размещением политики (активной ссылки на такую политику) оператора в отношении обработки персональных данных (политику конфиденциальности), возможность доступа и ознакомления с которой должна быть обеспечена оператором;

- наличием возможности проставления отметки (например, чекбокс) либо совершения действий (например, направление ответного сообщения, нажатие кнопки "да", "согласен" и т.п.), подтверждающих согласие на обработку персональных данных, с возможностью ознакомления с содержанием предоставляемого согласия (информация об операторе, цель обработки, перечень персональных данных, на обработку которых предоставляется согласие, перечень действий с персональными данными, наличие (отсутствие) передачи персональных данных (с указанием сведений о третьих лицах, которым передаются персональные данные), способы обработки, сроки хранения и др.), а также ознакомление с политикой в отношении обработки персональных данных (политикой конфиденциальности).

Учитывая изложенное, полагаем целесообразным придерживаться следующего подхода:

- определять конкретные правила (условия) акций, розыгрышей и др., в том числе необходимость предоставления пользователем (подписчиком) группы (канала) в мессенджере (социальной сети) данных о себе, позволяющих его идентифицировать и в связи с чем относящихся к персональным, и фиксировать их в соответствующих правилах (условиях) проведения, принимая во внимание положения ст. 437, ст. 1055 ГК РФ;

- при сборе персональных данных в целях проведения акций и розыгрышей, взаимодействии пользователей с чат-ботом обеспечить возможность ознакомления с политикой в отношении обработки персональных данных и сведениями о реализуемых требованиях к защите персональных данных (смотрите: Примерная форма политики конфиденциальности персональных данных посетителей сайта в информационно-телекоммуникационной сети "Интернет"; Примерная форма политики конфиденциальности персональных данных при использовании мобильного приложения) и подтверждение предоставления согласия на обработку персональных данных в определенных целях*(3).

Таким образом, обеспечение соблюдения законодательства РФ в области персональных данных, а также баланс интересов организации и пользователей (подписчиков) группы (канала) в мессенджерах (социальных сетях) будет обеспечиваться размещением правил (условий) проведения акций, розыгрышей и др., содержащих все существенные условия их проведения, с предоставлением возможности ознакомления с политикой в отношении обработки персональных данных и реализуемыми требованиями к защите персональных данных, а также подтверждения волеизъявления (согласия) на обработку персональных данных, в случае, если в рамках акций, розыгрышей предполагается сбор и иная обработка персональных данных участников.

В силу ч. 7 ст. 5 Закона N 152-ФЗ хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных. При этом сроки обработки и хранения персональных данных, согласно п. 2 ч. 1 ст. 6 Закона N 152-ФЗ, должны найти отражение в соответствующих локальных актах (документах) оператора. Подтверждение уничтожения персональных данных в предусмотренных ст. 21 Закона N 152-ФЗ случаях осуществляется в соответствии с Требованиями, установленными приказом Роскомнадзора от 28.10.2022 N 179.

Необходимо также учитывать, что ч. 5 ст. 18 Закона N 152-ФЗ предусмотрено, что при сборе персональных данных, в том числе посредством сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных в пп. 2, 3, 4, 8 ч. 1 ст. 6 указанного Закона. Аналогичное требование следует и из п. 7 ч. 4 ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон N 149-ФЗ).

Telegram включен Роскомнадзором в Перечень информационных систем и (или) программы для электронных вычислительных машин, указанных в ч. 8 ст. 10 Закона N 149-ФЗ и подпадающих под запрет на передачу информации, содержащей персональные данные граждан РФ и др. сведений, при оказании государственных и муниципальных услуг, выполнении государственного или муниципального задания, а также для отдельных категорий юридических лиц и видов деятельности. Из приказа Роскомнадзора от 21.02.2023 N 22 следует, что в указанный Перечень подлежат включению иностранные информационные системы.

Сбор персональных данных с использованием баз данных, находящихся за пределами РФ, будет являться нарушением законодательства РФ в области персональных данных, а также образует трансграничную передачу, требующую предварительного уведомления Роскомнадзора о намерении ее осуществления (ст. 12 Закона N 152-ФЗ).

Обратим внимание также и на то, что поскольку Telegram включен в реестр социальных сетей, на владельца персональной страницы (канала) с более чем 10 000 пользователями (подписчиками) независимо от содержания размещаемой информации распространяются требования ч. 1.1 ст. 10.6 Закона N 149-ФЗ по предоставлению позволяющих его идентифицировать сведений в Роскомнадзор. Такая обязанность должна быть исполнена в течение десяти рабочих дней со дня, когда количество пользователей страницы (канала) в социальной сети превысит 10 000*(4).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Беликова Татьяна

Ответ прошел контроль качества

24 февраля 2025 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

-------------------------------------------------------------------------

*(1) В постановлении Арбитражного суда Московского округа от 30.03.2023 N Ф05-4354/23 по делу N А40-139096/2022 обращено внимание, что утверждение территориального органа Роскомнадзора о том, что адрес электронной почты является персональными данными лица, его зарегистрировавшего, так как обладает "двумя важными свойствами: неизменностью при присвоении и уникальностью", обоснованно признано судами несостоятельным. Суды указали, что адрес электронной почты фактически не обладает свойством "абсолютной неизменности", потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, также, как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту.

*(2) В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

*(3) Необходимо обратить внимание, что из положений ст. 15 Закона N 152-ФЗ следует, что обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

Аналогичный подход применяется и в ст. 18 Федерального закона от 13.03.2006 N 38-ФЗ "О рекламе" (далее - Закон о рекламе), согласно которой распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.

В случае, если предполагается использование полученных от участников акций, розыгрышей данных (например, адреса электронной почты, номер телефона, аккаунта в мессенджере или социальной сети и т.п.) в дальнейшем для продвижения товаров (работ, услуг), направления рекламы, передачи третьим лицам и др., необходимо обеспечить получение отдельно выраженного согласия на это (ст. 15 Закона N 152-ФЗ, ч. 1 ст. 18 Закона о рекламе).

*(4) Перечень направляемых в Роскомнадзор сведений и порядок их направления установлен Правилами предоставления пользователем социальной сети, объем аудитории персональной страницы которого составляет более 10 000 пользователей социальной сети, сведений, позволяющих его идентифицировать, утвержденными постановлением Правительства РФ от 28.12.2024 N 1963. Порядок формирования и ведения перечня персональных страниц утвержден приказом Роскомнадзора от 10.12.2024 N 238.