Действующий федеральный закон признаёт персональными данными любую информацию, относящуюся к прямо или косвенно определённому или определяемому гражданину. По общему правилу любое использование таких сведений возможно только с его согласия. Большинство работающих с потребителями компаний пытаются получить согласие на обработку их персональных данных. Но на практике такая политика только увеличивает риски привлечения к ответственности. […]
В то же время законодательство разрешает получать, хранить, использовать, а порой даже и распространять персональные данные без согласия соответствующего лица. В частности, это можно делать ради исполнения заключённого с таким гражданином договора.
В большинстве случаев этого основания достаточно. Например, интернет–магазину не требуется разрешение заказчика на обработку таких сведений, как его фамилия, имя и отчество, адрес для доставки, e–mail и номер телефона для уведомления. Эти же данные отправитель товара обязан передать почтовой службе, а в ряде случаев ещё и таможне. Равно как и в течение не менее 4 лет хранить содержащие такую информацию первичные бухгалтерские документы.
Перечень сведений, предоставляемых постояльцем для проживания в отеле, определён правилами предоставления гостиничных услуг. Также закон предписывает отелю в течение суток передать в миграционное подразделение полиции информацию о новом госте для его регистрации по месту пребывания. Банки в рамках так называемого «антиотмывочного» законодательства обязаны проводить идентификацию всех клиентов и в ряде случаев раскрывать эти сведения надзорным ведомствам, отчитываться о полученном вкладчиками доходе перед налоговыми инспекциями и иными органами. В аналогичном порядке без согласия гражданина могут обрабатываться персональные данные практически всеми участниками рынка.
В свою очередь, любое использование полученных от потребителя сведений вне целей договора или иных установленных законом условий без его разрешения не допускается. Так, по словам Елены Агаевой руководителя практики слияний и поглощений и корпоративного права АБ ЕПАМ в Санкт-Петербурге, согласие клиента необходимо, например, на передачу персональных данных третьим лицам, в том числе предоставляющим услуги по хранению информации, ведению бухгалтерского учёта и др.
Административная практика Роскомнадзора свидетельствует, что отсутствие согласия или иных правовых оснований — далеко не самое распространённое нарушение, за которое на операторов налагают порой многотысячные штрафы.
Так, в минувшем году чаще всего наказывали компании, которые не зарегистрировались в реестре операторов — не представили в надзорное ведомство специальное уведомление либо указали в нём неполные или недостоверные сведения. […]
Павел Нетупский / Деловой Петербург
