Светлана Ивановна Новикова
Юридические аспекты проведения рекламных акций с призами
В Правилах также указываются: цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
3. Далее компания обязана установить для себя тип имеющейся угрозы. Стандартно для данных, собираемых на Промосайтах, тип угрозы третий (Подробнее: http://www.rskb48.ru/stati/urovni.html).
Для указанного типа угроз компания обязана выполнить следующие действия:
– Создать комиссию из сотрудников (оформить приказ) и классифицировать информационную систему (оформить акт, подписанный членами комиссии).
– Утвердить приказом ответственное лицо, перечень обрабатываемых персональных данных, а также список лиц (сотрудников), имеющих право доступа к данным.
– Не допускать в помещения и к компьютерам, где расположена информационная система, обрабатывающая персональные данные, посторонних лиц (разработать положение).
– Обеспечивать сохранность носителей персональных данных (разработать положение).
– Опубликовать на Промосайте или в Мобильном приложении политику обработки персональных данных.
– На компьютерах, на которых осуществляется обработка персональных данных, установить пароли и использовать сертифицированные средства защиты, реестр которых находится на сайте ФСТЭК.
– Соблюдать конфиденциальность и безопасность работы с данными (например, нельзя хранить на столе в офисе копии паспортов участников или пересылать их по электронной почте без архивации).
– Уничтожить персональные данные после того как Акция завершена (в течение 30-ти дней, составить акт).
– Предоставлять доступ к данным по запросам Участников (в правилах указать электронный адрес для получения таких запросов).
4. В договорах с подрядчиками, которые получают от Оператора персональные данные, необходимо указывать положения о конфиденциальности работы с персональными данными.
5. В случае если Организатор планирует использовать персональные данные участников для дальнейшей рассылки рекламных предложений (самостоятельно или передать своему клиенту), то необходимо специально оговорить это в правилах акции.
6. Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением некоторых случаев, предусмотренных ч. 2 ст. 22 Закона о защите персональных данных.
В уведомлении указывается:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 Закона о защите персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Фактически, это означает, что такое Уведомление должно быть направлено в Роскомнадзор до старта каждой Акции, в которой собираются персональные данные. На основании первого поступившего уведомления Роскомнадзор включает Организатора в Реестр операторов персональных данных.
Однако существует нюанс, который позволяет упростить ситуацию для Организатора. Часть 2 ст. 22 Закона о защите персональных данных указывает, что Оператор персональных данных вправе осуществлять без Уведомления обработку персональных данных полученных оператором в следующих случаях:
– в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
– персональных данных, сделанных субъектом персональных данных общедоступными (например, при авторизации через социальные сети);
– включающих в себя только фамилии, имена и отчества субъектов персональных данных.
Таким образом, если отношения Участников Акции и Организатора основаны на договоре, если они берутся из социальных сетей или ограничиваются только ФИО, Организатор вправе осуществлять обработку данных без Уведомления Роскомнадзора.
Для того чтобы в полной мере использовать эти возможности, Организатор может включить в правила положения о том, что, принимая участие в Акции, Участник фактически заключает договор с Организатором, текстом которого выступают правила, а также Правила должны содержать положения, установленные в статье (ч. 2 п. 2 ст. 22 Закона о защите персональных данных: персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора). В таком случае обработка персональных данных возможна без направления соответствующего Уведомления в Роскомнадзор и без постановки и Организатора на учёт в Реестр операторов персональных данных.
Подводя итог, следует признать, что создать систему защиты персональных данных и следовать букве Закона о защите персональных данных – это сложное дело. Для Организатора открывается три варианта действий: 1) привлечь специализированную компанию и заплатить ей достаточно крупную сумму, и построить качественную систему защиты персональных данных; 2) своими силами сформировать пакет документов и сделать минимальный набор действий по защите персональных данных, здесь нужно будет составить ряд документов и закупить сертифицированный хостинг; 3) ничего этого не делать, отложить в резервный фонд 20 – 50 тысяч на случай штрафов. Здесь важно понимать, что проведение рекламной акции, по идее, никак не связано с построением системы защиты персональных данных. Система уже должна быть разработана в компании, как только компания наняла первого сотрудника.
Кто в Акции выступает Оператором персональных данных
Обычно в Правилах указывается, что именно Организатор Акции является Оператором персональных данных. В то же время, может быть исключение. Если есть необходимость, обязанности Оператора персональных данных можно передать заказчику Акции, а также подрядчику, который в рамках Акции обрабатывает персональные данные (сведения о таких лицах указываются в Правилах). Также сторонам необходимо в договоре на оказание услуг закрепить, кто именно выступает Оператором персональных данных.