Обработка персональных данных участников лотерей и стимулирующих мероприятий
При проведении стимулирующего мероприятия, в том числе стимулирующей лотереи, и негосударственной платной лотереи актуален вопрос сбора, учета, хранения и использования персональных данных участников. Необходимость обусловлена как самой организационной технологией, механикой или концепцией мероприятия и лотереи, так и функциями организатора в качестве налогового агента при их проведении.
Любая работа с данными физических лиц для учета и использования при регистрации, розыгрыше и вручении/выплате выигрышей так или иначе требует персонализации участников и идентификации в дальнейшем победителей. Для уведомления налоговой инспекции о невозможности удержания НДФЛ или его оплаты за победителя также необходимы его личные реквизиты.
В настоящей статье рассмотрены вопросы для добросовестных рекламных агентств, организаторов лотерей и производителей товаров/исполнителей услуг при проведении стимулирующих мероприятий и лотерей. Избыточность по сбору и сроку хранения персональных данных для каких-то иных целей, например, последующих рекламных контактов с участниками для “холодных продаж” и ответственность за такие действия, находится за рамками внимания.
Следует также понимать, что в статье нашли отражение лишь реперные точки, а сам ее формат представлен в виде некоторых выводов без подробной аналитики им предшествовавшей. Если кому-то необходимы логические и нормативные обоснования со всеми выводами, возможно воспользоваться платным приобретением полной версии обзора в разделе «Семинары и аналитика».
Анализ был проведен по следующим вопросам, которые, на наш взгляд, так или иначе связаны с прямой ответственностью организатора за действия/бездействия при обработке персональных данных или с опосредованной, т.е. только в случае наступления неблагоприятных последствий для участника как субъекта персональных данных:
1. Персональные данные (ПДн) как предмет обработки оператором и особенности обработки специальных категорий ПДн (в т.ч. биометрических);
2. Возможные способы обработки персональных данных (автоматизированный и без использования средств автоматизации);
3. Принципы и условия обработки ПДн, разрешенные, запрещенные, ограниченные и обязательные действия при их обработке;
4. Оформление действий/операций оператора для обработки ПДн (разрешения, лицензии, уведомления);
5. Категории ПДн и оценка соответствия информационных систем персональных данных (ИСПДн) требованиям безопасности по классам (сертификация, аттестация, декларирование, технические регламенты);
6. Взаимоотношения с субъектом ПДн (получение согласия в разных формах, права субъекта ПДн и корреспондирующие им обязанности оператора);
7. Возможность обработки ПДн без получения согласия их субъекта и разрешительной документации на соответствие ИСПДн требованиям безопасности;
8. Прямая и опосредованная ответственность, штрафные санкции и возможные материальные претензии для операторов ПДн.
По текущему российскому законодательству персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Специальной категорией ПДн, для которой установлены особые условия обработки, являются биометрические персональные данные.
Биометрические персональные данные - это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Т.е. по факту любая фотография участника является носителем его биометрических ПДн.
Оператор по обработке персональных данных в целях настоящего анализа – это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели обработки и состав ПДн, подлежащих обработке, действия/операции, совершаемые с ПДн.
Обработка персональных данных – это любое действие/операция или их совокупность, совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Информационная система персональных данных – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.
Надо сказать, что законодательство о ПДн противоречиво и недоработано. Вероятно, это вызвано пока еще не совсем внятной государственной политикой в этом вопросе. То, что по состоянию на 25.08.2011 г. лишь 216 011 операторов из 2,5 млн предполагаемых по прогнозным оценкам самого Роскомнадзора подали уведомление для включения в Реестр операторов персональных данных, показательно.
Однако, полагаем, что такой «массовый саботаж» вызван скорее незнанием, чем какими-то умышленными действиями организаторов. И, конечно, не является мотивом и гарантией избежания ответственности и санкций для отдельно взятого оператора. Тем более, что, например, направить уведомление в соответствующее территориальное управление Роскомнадзора не так сложно, заполнив и распечатав унифицированную форму на его сайте.
Какое же минимальное понимание вопроса при проведении стимулирующего мероприятия или лотереи любого вида по способу формирования призового фонда необходимо иметь организатору в части обработки персональных данных?
Сначала о “хороших” новостях. Действия оператора не требуют каких-либо разрешений и лицензий. Организаторы лотерей и стимулирующих лотерей освобождены от подачи уведомления в Роскомнадзор, так как сбор ПДн им необходим для исполнения договора на участие в лотерее. ИСПДн при проведении стимулирующих мероприятий и лотерей по категории ПДн от их объема (менее 100 000 участников) и угрозе безопасности интересам личности, общества и государства могут быть отнесены по основным распространенным механикам и концепциям к 3-му классу.
Оценка соответствия требованиям безопасности ПДн для ИСПДн 3-го класса проводится в виде декларирования. Однако сам регламент такого декларирования в настоящий момент пока отсутствует.
Теперь о новостях “плохих”. Во-первых, за нарушения законодательства в сфере обработки ПДн установлена гражданская, административная и уголовная ответственность для оператора и уполномоченных им лиц на обработку ПДн. При этом перед субъектом ПДн всегда отвечает сам оператор, а не им уполномоченное лицо. Свои требования к лицу, которому поручена обработка ПДн, или разработчику ИСПДн оператор может предъявить только в порядке регресса и при соблюдении определенных существенных условий в договоре с ними.
Штрафные административные санкции за несоблюдение действующего законодательства в части обработки ПДн не так уж велики. В совокупности по разным статьям они могут составить не более 15 000 рублей. Однако, подчеркнем, что это прямые санкции за формальные нарушения, опосредованная ответственность при наступлении негативных последствий за несоблюдение правовых норм о ПДн может быть много больше.
Во-вторых, организаторы рекламных стимулирующих мероприятий (за исключением стимулирующих лотерей), если они проводятся не в формате договора между организатором и участником и обрабатываемые ПДн не ограничиваются ФИО участников, обязаны уведомлять об этом Роскомнадзор. По сложившемуся мнению, такое уведомление должно быть направлено не менее чем за 30 дней до начала мероприятия и обработки ПДн. В текущем законодательстве установлен лишь срок принятия решения Роскомнадзором для включения оператора в Реестр со дня подачи уведомления о намерении осуществлять обработку ПДн.
В-третьих, при сборе ПДн организатор стимулирующего мероприятия, основанного не на договоре, обязан получать согласие субъекта персональных данных. Если требуется получение ксерокопии паспорта с фотографией участника, то такое согласие должно быть письменным для организаторов стимулирующих мероприятий, в том числе стимулирующих лотерей, и лотерей, так как фотография участника содержит сведения о его биометрических данных.
В-четвертых, оператор, осуществляющих обработку ПДн с помощью Интернета, обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств Интернета.
Остается неясным вопрос, если стимулирующее мероприятие проводится в форме игры (лотереи любого вида – это априори игры), имеет ли право участник на судебную защиту в отношении своих ПДн, обрабатываемых организатором, если по общему правилу он, будучи стороной в игре, лишен возможности искового производства против организатора в порядке п. 1 ст. 1062 ГК РФ.
На этот счет есть разные точки зрения. Некоторые полагают, что такое ограничение и саму игру нельзя трактовать слишком широко, лишая прав игроков на защиту смежных прав, тем более касающихся их личности, а также принимать во внимание не только азартные игры. Однако, на наш взгляд, дополнительные указания на запрет распространения ПДн без согласия участников в Законе о лотереях могут говорить об обратном, т.е. о том, что законодателю специально пришлось это указать для лотерей.
Тем не менее, в любом случае субъект ПДн наделен правом обжаловать действия/бездействия оператора в Роскомнадзоре для административного преследования последнего, как, например, это с успехом сейчас делают участники стимулирующих мероприятий, жалуясь в ФАС РФ для применения санкций в отношении их организаторов по Закону о рекламе.
Выводы и практические советы:
- Осуществлять сбор персональных данных по принципу достаточности их содержания, объема и формы необходимым целям и избегать избыточности. Например, пожелания главного бухгалтера организатора об обязательном получении ксерокопий паспортов с победителей не может быть безусловным руководством к действию. Такие данные могут быть предоставлены участником, например, путем заполнения анкеты или с вымаранной фотографией либо с приложением своего письменного согласия на обработку его биометрических данных.
- Соотносить практические затраты на законопослушные действия и возможные санкции. Например, иногда экономические и временные потери, связанные с формальными нюансами в виде уведомления Роскомнадзора, разработки и публикации в Интернете документа, определяющего политику в отношении обработки ПДн, получение письменных согласий от участников могут быть несопоставимы со штрафом в размере 3 000 – 15 000 рублей и лишь в случае выявления и заведения административного дела Роскомнадзором. При этом безопасность и конфиденциальность ПДн участников, несомненно, должны быть соблюдены как с позиции социальной морали, так и в целях избежания иной возможно большей ответственности в будущем.
К сведению: См. также «Новый раздел в условиях лотерей и стимулирующих лотерей о персональных данных участников станет обязательным»