Застройщики перешли на личности
Пандемия заставила девелоперов форсировать переход на общение с клиентами по «удалёнке». Появилась возможность дистанционно заключать сделки, организовывать онлайн-консультации, устраивать через Интернет показы и приёмку квартир. Все эти действия напрямую связаны с использованием персональных данных. Однако законодательство в этой сфере запутанно и неоднозначно, но при этом предусматривает серьёзные штрафы за нарушения.
Чтобы помочь застройщикам сэкономить средства, нервы и время адвокатское бюро «Качкин и Партнеры» вместе с газетой «Недвижимость и строительство Петербурга» провели семинар о тонкостях обработки персональной информации.
ФОТО:
Юрий СЛАВЦОВ
fasebook.com/yury.slavtsov
Партнёр, руководитель практики по недвижимости и инвестициям АБ «Качкин и Партнеры» Дмитрий Некрестьянов отмечает: Роскомнадзор уже начал веерные рассылки. От компаний, обрабатывающих персональные данные, требуется обширный перечень документов, которые надо было предоставить «ещё вчера»: «Я лично негативно отношусь к принятой концепции персональных данных. От того, что появился закон об их защите, моя жизнь в лучшую сторону не изменилась. Мне продолжают звонить из стоматологий, банков и т. д. Но государство обязывает бизнес, в том числе застройщиков, совершать целый ряд действий и стимулирует их большой ответственностью. Размер штрафов постоянно растёт».
Юрист практики по интеллектуальной собственности и информационным технологиям АБ «Качкин и Партнеры» Андрей Алексейчук уверен, что пандемия сделала в сфере цифровизации в разы больше, чем все государственные программы за последние 20 лет: «Все начали внедрять новые инструменты взаимодействия: от возможности у клиента оставить свой номер, чтобы с ним связались из компании, до онлайн-просмотра квартир и дистанционного заключения сделок. Если клиенты – физические лица, все эти действия подразумевают обработку персональных данных. Речь о любом дистанционном взаимодействии, «таргетированной» рекламе, анализе поведения потребителя и пр.».
Причём если раньше контролирующие органы больше внимания обращали на иностранные и крупные российские интернет-компании, теперь в поле зрения и обычный бизнес, констатирует г-н Алексейчук. Роскомнадзор анализирует работу фирм и предлагает им включиться в соответствующий реестр.
Чиновники редко сразу выписывают штрафы и обычно начинают с предписаний устранить нарушения. Однако размер штрафов велик, причём некоторые начисляются за каждое нарушение. Например, если компания использует данные 1000 клиентов, не взяв согласия на их обработку, за каждого придётся заплатить штраф в 60 000 рублей. Самым серьёзным нарушением считается хранение данных на серверах за пределами России. Если контролёры обнаружат его повторно, санкции составляют до 18 млн рублей. За подобную провинность Twitter недавно получил штраф на 17 млн рублей.
Персональная головоломка
Персональные данные (ПД) – любая информация, которую можно связать с конкретным человеком напрямую или косвенно (с помощью других сведений). Поэтому разобраться, что такое ПД в конкретной ситуации, довольно сложно. Роскомнадзор полагает, что фамилия, имя и отчество – это уже персональные данные. Хотя если они фигурируют в формате «Иванов Иван Иванович», понять, о ком идёт речь, нельзя. А если этот Иван Иванович забронировал у застройщика квартиру – это точно ПД. Поскольку информация позволяет более-менее конкретно идентифицировать гражданина. Номер рабочего телефона к ПД не относится, в отличие от сотового. Роскомнадзор считает, что по номеру мобильника можно установить его владельца с помощью мессенджеров и сервисов социальных сетей. IP-адрес тоже признаётся персональными данными, поскольку можно выяснить кто им пользовался в конкретный момент.
Роскомнадзор проверяет, есть ли у компании основания обрабатывать персональные данные и с какой целью. Основанием, например, может быть соответствующее согласие клиента: подписанный бумажный или электронный документ или проставленная на сайте «галочка». Есть случаи, когда согласие не нужно, например, когда СМИ цитирует спикера. Или если данные используются для заключения и исполнения договора или соглашения. «В этом случае использовать можно данные как физических лиц, так и руководителя компании-контрагента и лиц, действовавших по его доверенности. Но в ряде договоров указываются родственники (например, когда для сделки требуется согласие супруга). В этом случае сторона по договору согласие на обработку не предоставляет, а вот родственники – должны. Если договор так и не заключён, его проект отправляется в «шредер», а данные клиента удаляются. Хотя согласие на обработку не нужно, если, например, в законодательстве есть требование определённое время хранить первичный учётный документ», – рассказывает Андрей Алексейчук.
Договоримся на берегу
Обработкой ПД
будет считаться даже сбор телефонных номеров. Так, если потенциальный
клиент позвонил в отдел продаж, но договор так и не заключил, его номер
надо удалить. Формально его можно сохранить в рамках подготовки к
заключению договора, но не на длительный срок. В противном случае
требуется согласие гражданина.
Если сотрудники застройщика помогают
клиенту оформить заявку на ипотеку, то есть выступают посредником между
гражданином и банком, передавая последнему документы «не глядя»,
согласие на обработку ПД не нужно. Но если эти данные застройщик захочет
оставить, ему необходимо разрешение клиента.
«Надо определить, для
чего вы будете обрабатывать данные, и подумать, куда это условие
включить: в договор долевого участия, в виде «галочки» на сайте и т. д.
Наилучший вариант – заранее включить в договор пункт о том, что
исполнение контракта подразумевает использование данных в информационных
и маркетинговых целях», – рекомендует Андрей Алексейчук.
Множество
вопросов вызывает сбор данных с помощью социальных сетей. Пока они
обрабатываются внутри самой сети, например, застройщик переписывается с
участниками группы, вся ответственность лежит на соцсети. Но как только
данные извлечены, например, компания решила связаться с участником
группы напрямую, требуется согласие на обработку. Аккаунт в социальных
сетях можно использовать для инициализации пользователя на сайте
девелопера – и только. В остальных случаях потребуется его согласие на
обработку ПД (клиенту нужно поставить «галочку» в соответствующем поле).
Для проформы
В
любом случае адвокаты рекомендуют компаниям выполнить несколько
бюрократических процедур. Например, оценить, надо ли до обработки данных
уведомить Роскомнадзор или можно обойтись более простой процедурой.
Собирать сведения с использованием баз данных на территории РФ,
обеспечить безопасность информации и прекращать её обработку при
достижении цели или истечении срока, а также по запросу пользователя.
Кроме того, у компании должна быть определена политика обработки персональных данных. Если сведения собирают через сайт, этот раздел надо разместить заранее, и пользователь должен согласиться с таким вариантом.
В
ограниченном перечне случаев может потребоваться «суперсогласие», или
согласие в квалифицированной форме. Это документ с указанием паспортных
данных и двумя страницами мелким шрифтом о том, что с этими данными
можно делать. Один из подобных случаев – передача ПД третьим лицам,
например, в маркетинговых целях, для рассылок. Избежать необходимости
его получения можно двумя способами. Взять обычное согласие на
обработку, но в политике компании прописать, что есть конкретный
партнёр, за работу которого компания берёт ответственность, контролирует
обработку им данных и в случае проблем претензии можно предъявлять
застройщику. Второй вариант: брать согласие, заверенное электронной
подписью. Ей может считаться, например, код из SMS-сообщения. Надо
составить письменное согласие, вывести его на экран, клиент введёт код
из SMS, а застройщик – сохранит логи, где видно, что сообщение
отправлялось. Кстати, при передаче документов в Росреестр
«суперсогласие» не нужно – это прямое требование закона.
Небезопасные «печеньки»
Cookie-файлы, которые позволяют идентифицировать разные группы и конкретных пользователей и собирать статистику посещений, также признаются персональными данными. Для их использования нужно согласие. Впрочем, порой сайты некорректно работают без этой технологии. Если информация не собирается, можно указать, что cookie используют только в технических целях. Всё это тоже стоит продублировать в информационной политике компании.
Для сервисов «обратный звонок» и «чат с консультантом», для входа в «личный кабинет» и сервиса бронирования квартир также требуется «галочка» про обработку персональных данных. Причём она не должна быть проставлена заранее. Это будет считаться нарушением. Посетитель должен нажать на поле самостоятельно. Необходима и ссылка на политику обработки данных, в которой все эти сервисы должны быть указаны.
«Определите, какие персональные данные вы обрабатываете, как и где их собираете. И уже исходя из этого решайте, нужно ли вам согласие от клиентов или нет. Внимательно посмотрите договор долевого участия и, если требуется, внесите в него пункты об использовании персональных данных», – настаивает Дмитрий Некрестьянов.
«В политике должна быть ссылка на группу компаний, в которую входит застройщик, и оговорка о передаче данных третьим лицам в рамках группы. Проверьте собственный сайт на исполнение этих простых правил. Многие сайты застройщиков им не соответствуют. И учитесь работать с Роскомнадзором, давление которого на компании, скорее всего, будет только усиливаться», – уверен Андрей Алексейчук.
Что должно быть в политике компании об обработке данных:
- Сведения об операторе (владелец сайта, того, кто собирает данные)
- Цели обработки данных
- Категории субъектов персональных данных
- Основания для обработки данных
- Объём и категории персональных данных
- Способы и порядок обработки
- Меры безопасности
- Прекращение обработки данных
- Порядок взаимодействия с клиентом
Когда НЕ НАДО подавать уведомление об обработке персональных данных:
- Если данные обрабатываются только для заключения и исполнения договора, не распространяются и не передаются третьим лицам
- Если обрабатываются данные работников компании
- Если данные обрабатываются без использования средств автоматизации
- Если данные включают в себя только фамилию, имя и отчество
- Если данные обрабатываются в рамках пропускного режима
- + несколько специфических оснований
! Доказывать согласие каждого посетителя сайта необязательно. Но Роскомнадзору надо будет продемонстрировать, что пользователь технически не может отправить свои данные, пока не поставит нужную «галочку».