Дедалі більше людей користуються послугами інтернет-магазинів, так само й дедалі більше підприємств пропонують продаж своїх товарів і послуг через Iнтернет. Але розрахунки через Iнтернет передбачають, що покупець повідомляє продавцеві певний набір даних про себе, і цим можуть скористатися, а іноді й користаються шахраї. Розгляньмо, які вимоги законодавство ставить до захисту персональних даних (далі — ПД) та як інтернет-магазину1 організувати зберігання й обробку ПД.
З вересня 2015 року в Україні діє законодавчий акт, який упорядкував торгівлю з використанням інформаційно-телекомунікаційних систем, — Закон про електронну комерцію.
1 Термін «інтернет-магазин» тут вживається не в загальноприйнятому розумінні, а в розумінні Закону про електронну комерцію — як засіб для представлення або реалізації товару, роботи чи послуги шляхом вчинення електронного правочину.
Частина 2 статті 8 цього Закону, яка регулює правовий статус покупця, зобов'язує покупця, який приймає (акцептує) пропозицію іншої сторони щодо укладення електронного договору, повідомити про себе інформацію, необхідну для його укладення.
Про яку інформацію йдеться? На жаль, законодавець укотре поквапився з прийняттям невідкладного закону (а далі зволікати й справді було нікуди — у 2015 році популярний всесвітній інтернет-магазин eBay відсвяткував 20-річний ювілей, а один із найпопулярніших українських готувався відзначити 10-річний), не доопрацювавши його як слід. Тому, як завжди в таких випадках, у ч. 6 статті 8 обійшлися бланкетною нормою: «Перелік інформації, необхідної для вчинення електронного правочину, визначається законодавством України або за домовленістю сторін».
Звертаємо увагу, що вперше визначення поняття «електронний правочин» з'явилося саме в цьому Законі, тому в наведеній нормі йдеться про законодавство, яке мало з'явитися вже після прийняття цього Закону, — однак досі не з'явилося. Тож і виходить, що те, яку інформацію вимагати від покупця, кожен інтернет-магазин вирішує для себе самостійно, а «домовленістю сторін» це стає, коли покупець висловлює згоду на запропоновані продавцем умови. I природно, що головним дороговказом тут буде Закон про захист ПД.
Нагадаємо, що відповідно до ст. 2 цього Закону ПД — це відомості чи сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована.
Положення про обробку і захист ПД
У вищезгаданій нормі Закону про захист ПД говориться про положення, яке регулює діяльність володільця ПД. Тож інтернет-магазину варто подбати про розроблення Положення про обробку і захист ПД, узявши за основу норми Закону про захист ПД. Наведемо орієнтовний зміст і структуру Положення про обробку і захист ПД інтернет-магазином.
Орієнтовний зміст і структура Положення про обробку і захист ПД інтернет-магазином
1. Загальні поняття та сфера застосування Положення.
2. Перелік баз ПД, володільцем та розпорядником яких є інтернет-магазин.
3. Мета обробки ПД.
4. Порядок обробки ПД.
5. Місцезнаходження бази ПД.
6. Умови розкриття інформації про ПД третім особам.
7. Захист ПД.
8. Права суб'єкта ПД.
9. Порядок роботи із запитами суб'єкта ПД.
Звертаємо увагу, що норми Закону про захист ПД є нормами прямої дії, тому взагалі-то не потребують дублювання в Положенні. Проте радимо все-таки не економити на обсягу і докладно розписати кожен із пунктів, не уникаючи дублювання із Законом. Адже покупець, який прийде на ваш сайт і почне ознайомлюватися з правилами обробки та зберігання ПД, не буде звірятися із Законом, а захоче, щоб уся інформація, яка його цікавить у цьому контексті, була зібрана в одному місці. За основу можна взяти аналогічні положення, що затверджуються органами державної влади, — добрим прикладом тут буде Положення про обробку та захист персональних даних фізичних осіб, що звертаються до Уповноваженого щодо додержання прав і свобод людини і громадянина, відповідно до Закону України «Про звернення громадян», затверджене наказом Уповноваженого ВРУ з прав людини від 17.01.2013 р. №5/02-13. У кожному разі до розроблення такого Положення варто залучити юриста. Додатковою допомогою в розробленні Положення буде Типовий порядок обробки персональних даних, затверджений наказом Уповноваженого ВРУ з прав людини від 08.01.2014 р. №1/02-14.
Згода суб'єкта ПД на обробку ПД
Наявність Положення про обробку і захист ПД потрібна ще й тому, що Закон про захист ПД умовою згоди суб'єкта ПД на обробку ПД ставить його поінформованість. Ще однією умовою є неможливість обробки ПД клієнта в інформаційно-телекомунікаційній системі до моменту проставлення ним відмітки про надання дозволу на таку обробку. Тому під час розроблення інтернет-магазину (видання технічного завдання розробнику) треба передбачити кількакрокову процедуру реєстрації клієнта: спершу — ознайомлення з Положенням про захист і обробку ПД, відтак — проставлення відмітки про таке ознайомлення, і лише після цього клієнт зможе перейти на сторінку для введення ПД. Як свідчить практика, на багатьох сайтах реалізовано саме такий алгоритм — без погодження на обробку ПД (відповідним кліком чи позначкою) подальша реєстрація, інші дії на цьому порталі, як і замовлення бажаного товару, є неможливими.
Згода суб'єкта ПД
Згода суб'єкта персональних даних — добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб'єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб'єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки.
Як варіант, клієнт може ознайомлюватися з Положенням про захист і обробку ПД за власним бажанням, але і тоді в момент збору ПД йому слід повідомити мінімальний набір інформації, встановлений ч. 2 статті 12 Закону про захист ПД: володільця ПД, склад та зміст зібраних ПД, його права, визначені Законом про захист ПД, мету збору ПД та осіб, яким передаються його ПД.
До речі, частиною 3 ст. 14 Закону про електронну комерцію встановлено, що реєстрація фізособи в інформаційній системі суб'єкта електронної комерції означає надання нею згоди на використання та обробку її ПД і вчинення інших дій, передбачених Законом про захист ПД. Вважаємо, однак, що основним нормативно-правовим актом, що регулює правовідносини, пов'язані із захистом і обробкою ПД, є все-таки Закон про захист ПД, а тому при реєстрації клієнта важливо дотриматися наведеної в ньому послідовності: спочатку поінформування про обробку ПД — потім реєстрація, яка одночасно є і наданням згоди на обробку ПД. Вищенаведена норма Закону про електронну комерцію означає лише, що надання згоди на обробку ПД не мусить бути окремим кроком під час реєстрації в системі інтернет-магазину.
Мета обробки ПД в інтернет-магазині та їх обсяг
Одним з аспектів захисту ПД є їх використання виключно у межах задекларованої мети їх обробки. Вище ми говорили про мету обробки ПД у контексті Закону про захист ПД. Що ж до Закону про електронну комерцію, то він начебто різко обмежує мету збирання й обробки ПД: ч. 2 ст. 14 цього Закону забороняє використання та витребування ПД сторонами електронного правочину з іншою метою, ніж вчинення електронного правочину, якщо інше не встановлено законом або за домовленістю сторін.
Тобто «за умовчанням» ідеться про мінімальний набір даних про клієнта, які дозволяється збирати й обробляти лише з метою оплати та доставки товару на адресу покупця. Природно, клієнт зацікавлений надати якомога менший обсяг інформації про себе. Але є нюанси.
Якщо покупець — анонім, він не зможе скористатися правовою охороною, яку надає йому Закон про захист прав споживачів. Тому в його інтересах дати таку інформацію про себе, яка могла б допомогти в обстоюванні його прав.
Другий нюанс, теж не дуже приємний для покупця, полягає у встановленому ч. 2 ст. 14 Закону про електронну комерцію застереженні: домовленістю сторін може бути встановлено, що ПД клієнта використовуватимуться і з іншою метою, ніж вчинення електронного правочину. Причому це, звичайно ж, не конче мусить бути сформульовано саме так. Наприклад, у Положенні про обробку і захист ПД інтернет-магазину буде написано, що ПД використовуються «для підвищення якості послуг, які надаються Підприємством». Таке невинне, на перший погляд, формулювання уможливлює розширене тлумачення. Наприклад, інтернет-магазин збирає інформацію про те, якими саме товарами цікавиться кожен окремий відвідувач. Потім цю інформацію може бути використано для того, щоб показувати кожному клієнтові рекламні блоки саме про ті товари, які його цікавлять, — чим не «підвищення якості послуг»? А такі відомості дуже цінуються серед агенцій інтернет-реклами, бо різко підвищують імовірність «спрацьовування» реклами.
Збираючи ПД клієнта, важливо не переборщити і пам'ятати, що частиною 1 ст. 7 Закону про захист ПД забороняється обробка ПД про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та профспілках, засудження до кримінального покарання, а також даних, що стосуються здоров'я, статевого життя, біометричних або генетичних даних. Але у реєстраційній формі можна позначити зірочками поля з абсолютно необхідними даними, без заповнення яких реєстрація не відбудеться.
Строк зберігання ПД
Важливим інструментом захисту ПД є обмеження строку їх зберігання у володільця та розпорядника. Парадоксально, але Закон про захист ПД, по суті, нічого не говорить, скільки саме можуть або мають зберігатися ПД. Пункт 1 ч. 2 ст. 15 цього Закону зазначає лише, що ПД підлягають видаленню або знищенню у разі закінчення строку зберігання даних, визначеного згодою суб'єкта ПД на обробку цих даних або законом. Природно, нічого не говорить про це і Закон про електронну комерцію, бо це питання не належить до його сфери регулювання. Тобто знову маємо справу з бланкетною нормою, яка відсилає або до угоди сторін, або до іншого закону (якого немає).
Логічним рішенням володільця інтернет-магазину у цій ситуації є встановити в Положенні про обробку і захист ПД, з яким ознайомлюється і погоджується покупець, що ПД зберігаються протягом усього часу його реєстрації в інформаційно-комунікаційній системі підприємства і знищуються одночасно зі скасуванням такої реєстрації.
Відповідальність
Стаття 28 «Відповідальність за порушення законодавства про захист персональних даних» Закону про захист ПД знову відсилає нас до іншого закону, але цього разу цей закон усе-таки є. Це КУпАП, а саме стаття 188-39, яка передбачає доволі жорсткі санкції за недодержання встановленого законодавством про захист ПД порядку захисту ПД, що призвело до незаконного доступу до них або порушення прав суб'єкта ПД, — від 300 до 1000 н. м. д. г. штрафу на посадових осіб або ФОП (від 1000 до 2000 н. м. д. г. у разі повторності протягом року). Але доводити наявність порушення доведеться самому споживачу.
Нормативна база
- Закон про електронну комерцію — Закон України від 03.09.2015 р. №675-VIII «Про електронну комерцію».
- Закон про захист ПД — Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних».
- Закон про захист прав споживачів — Закон України від 12.05.91 р. №1023-XII «Про захист прав споживачів».
Андрій ПОРИТКО, заступник головного редактора