Персональные данные в рекламе: учитываем важные моменты
marigis / Depositphotos.com |
В этом материале:
Реклама является одним из способов продвижения товаров и услуг. Однако компании зачастую забывают, что важно соблюдение не только законодательства о рекламе, но и о персональных данных своих покупателей. Если получено согласие на получение рекламы, это еще не значит, что автоматически получено согласие на обработку персональных данных. То есть необходимо получать оба согласия. Важно помнить, что это два разных документа, которые следует оформлять отдельно – это следует из толкования норм из рекламного законодательства и закона о персональных данных. Практика показывает, что включение согласия на обработку персональных данных в другие документы (например, в политику конфиденциальности, расположенной на сайте) суды и ФАС России трактуют как нарушение законодательства – примеры таких кейсов рассмотрим далее в нашем материале. Чаще всего с такими ошибками сталкиваются компании, распространяющие рекламу в качестве рассылок (смс-рассылки, E-mail-рассылки, сообщения в мессенджерах), а также при организации звонков с предложением товаров или услуг.
Согласие на обработку персональных данных
Напомним, обработка персональных данных (то есть любое действие с ними – например, сбор, использование, передача третьим лицам) в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных (ч. 1 ст. 15 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"; далее – Закон № 152-ФЗ). К ним относится лицо, на чей адрес электронной почты или телефон поступило соответствующее рекламное сообщение (п. 15 Постановления Пленума ВАС РФ от 8 октября 2012 г. № 58 О некоторых вопросах практики применения арбитражными судами Федерального закона "О рекламе"; далее – постановление Пленума ВАС РФ № 58).
Как юридически грамотно оформить политику интернет-магазина в отношении обработки персональных данных? Узнайте в справке, подготовленной экспертами компании "Гарант"!
Примерная форма политики интернет-магазина в отношении обработки персональных данных
В законе о персональных данных содержится следующая норма – обработка персональных данных будет квалифицироваться как осуществляемая без предварительного согласия субъекта, если оператор не докажет обратное (ч. 1 ст. 15 Закона № 152-ФЗ). При этом оператор обязан немедленно прекратить их обработку по требованию субъекта (ч. 2 ст. 15 Закона № 152-ФЗ).
Если есть цель обработки в виде продвижения работ и услуг на рынке путем прямого контакта с субъектом персональных данных (физическим лицом), отсутствие согласия – нарушение (например, Постановление Московского городского суда от 3 августа 2017 г. по делу № 4а-2674/2017, Определение УФАС по Республике Татарстан от 2 сентября 2021 г. № 016/05/28-1650/2021, Постановление УФАС по Республике Татарстан от 23 декабря 2021 г. № 016/04/14.3-2299/2021). Суды и антимонопольный орган запрашивают доказательства, которые могут свидетельствовать о наличии действий пользователя по оформления заявки и его идентификации. К первому относится техническая информация с сайта (например, логи), ко второму – верификация такого пользователя.
В спорных случаях и суды, и антимонопольные органы не раз обращали внимание на ненадлежащие доказательства, которые представляли компании в спорах с потребителями. Так, в одном деле УФАС по Республике Татарстан посчитал, что предоставленный скриншот (на нем была отображена форма заявления с заполненными данными), обозначенный как согласие на обработку персональных данных клиентов, не является надлежащим и достаточным для выводов о совершенных действиях по оформлению заявки на сайте (Постановление УФАС по Республике Татарстан от 23 декабря 2021 г. № 016/04/14.3-2299/2021). Так как не было предоставлено доказательств того, что заявку оформлял клиент, антимонопольный орган посчитал такие документы односторонне составленными. Если в таком случае клиент не отрицает участие при их оформления, то они подлежат критической оценке.
Другой пример приводит руководитель Innovation Group, старший юрист практики IP и TMT CMS Russia Ирина Шурмина на конференции CMS Russia "Рекламное право" – в одном деле УФАС г. Москвы посчитало недостаточным проставление галочки на согласие на обработку персональных данных (Решение Московского УФАС от 6 ноября 2019 г. по делу № 077/05/18-11501/2019). Комиссия посчитала, что учебное заведение не предоставило документальные доказательства того, что пользователь действительно прошел процедуру регистрации на сайте. При этом были предоставлены следующие сведения: страница сайта с незаполненной формой для регистрации и лиц с указанием номера телефона. Однако антимонопольный орган посчитал, что сам по себе факт заполнения "неустановленным лицом" формы на сайте (в том числе с указанием номера телефона и имени) и проставлении галочки "не позволяет однозначно идентифицировать его как владельца телефонного номера". При этом не было разъяснено, какие именно доказательства могли бы являться допустимыми, однако Ирина Шурмина объяснила, что на практики ими могут быть, например, логи или двухфакторная идентификация (когда для подтверждения номера пользователю приходит смс-сообщение с кодом).
Включение согласия на обработку персональных данных в другие документы
В прошлом году вступила в силу норма, согласно которой молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч. 8 ст. 10.1 Закона № 152-ФЗ). При этом некоторые компании встраивают на сайте всплывающий баннер с информацией следующего содержания: "Продолжая пользоваться сайтом вы соглашаетесь с обработкой персональных данных". В данном случае компания считает, что если пользователь продолжает поиск на сайте, то он автоматически дает согласие на обработку своих персональных данных. Или другой пример – в любой другой документ, например, политику конфиденциальности, согласие на получение рекламы и т. п., включается отдельным пунктом и согласие на обработку персональных данных договора. Практика показывает, что подобные действия являются нарушением законодательства о персональных данных. Как объяснила Ирина Шурмина, толкование применения нормы ч. 8 ст. 10.1 Закона № 152-ФЗ может быть расширительным и относится ко всем видам согласия на обработку персональных данных. В целом такое требование означает недопустимость "спрятанных" таких согласий в других документах и наличия предпроставленных "галочек" в графе согласия на обработку персональных данных.
Отзыв согласия
Даже если потребитель дал согласие на обработку данных, он в любой момент может отозвать его (ч. 2 ст. 9 Закона № 152-ФЗ). В этом случае оператор обязан прекратить обработку персональных данных (или обеспечить такое прекращение) (ст. 21 Закона № 152-ФЗ). Для оператора закон устанавливает 30-дневный срок со дня обращения, если договором не предусмотрен иной срок (ч. 5 ст. 21 Закона № 152-ФЗ). При этом важно понимать, что законодательно не закреплена форма или порядок такого отзыва, оно может быть подано дистанционно. То есть отказ от прекращения обработки персональных данных субъекта на основании ненадлежащей формы не допустим. Например, требование личного присутствия для подачи согласия на отзыв обработки персональных данных является неправомерным.
Оператор отказал в удовлетворении заявления на отзыв, утверждая, что клиент должен прийти в офис и подать заявление лично, так как такая норма содержится в его политике по обработке персональных данных. Законно ли такое требование? Узнайте в справке ГАРАНТ!
Законно ли требование оператора о подаче заявления об отзыве персональных данных только лично? Является ли условие о форме подачи отзыва персональных данных договорным?
Важно обратить внимание, что в некоторых случаях даже при отзыве согласия компания имеет право продолжить обработку данных – такие случаи закреплены в законе (п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ). Так, в отношении компаний может применяться следующее положение – если обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, то даже после отзыва согласия обработка может быть осуществлена. Сюда же относится случай, когда для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
***
Таким образом, для соблюдения законодательства о персональных данных Ирина Шурмина советует учитывать следующие моменты:
- согласие должно быть отдельным, четким и добровольным – не допускается применение "предпроставленных" галочек;
- согласие должно быть отдельным от других документов – следует избегать включение пункта в другие документы, которые требуют получения согласия (например, согласие на получение рекламы);
- получение согласия должно быть отслеживаемым и доказуемым – конкретное лицо дало согласие;
- должна сохраняться возможность для потребителя в любой момент отказаться от рекламы.
С точки зрения гражданского законодательства, покупатель выступает слабой стороной договора – в связи с этим на компанию возлагаются дополнительные требования по защите его прав. В частности, при распространении рекламы компаниям следует озаботиться юридически грамотным оформлением важных документов, без которых такое распространение неправомерно – согласие на обработку персональных данных и согласие на получение рекламных сообщений. В противном случае, компания рискует получить предписание от ФАС России и крупный штраф. Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие грозит юридическим лицам административным штрафом в размере от 30 тыс. до 150 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).