Все это — онлайн, с заботой о вас и по отличным ценам.
Нужно ли мне как-то по особенному эти данные принимать, хранить?
Здравствуйте!
Моя компания продаёт курсы по обучению. Я бы хотел сделать инвалидом специальную дополнительную скидку на покупку. Для подтверждения инвалидности, я хочу попросить клиента прислать фотографию себя с инвалидным удостоверением на email поддержки, где далее им будет дан купон на скидку.
В праве ли я это делать?
Какие нормы мне нужно соблюдать?
Нужно ли мне как-то по особенному эти данные принимать, хранить?
Здравствуйте.
Да, вы можете дать такую скидку. Только необходимо всё эти условия указать в оферте.
То есть оферта- это ваш договор с заказчиком на услуги в рамках статьи 435 гк, офертой признается адресованное одному или нескольким конкретным лицам предложение, которое достаточно определенно и выражает намерение лица, сделавшего предложение, считать себя заключившим договор с адресатом, которым будет принято предложение.
Если вы даете такую скидку- то сама сумма скидки может быть в приложении указана, а вот порядок ее получения — фото с документом или отправка скана документа- прописывается в оферте.
При этом в любом случае вы обязаны получить согласие на обработку персональных данных- можно галочкой по ст 9 фз 152 о персональных данных. Причем так как тут речь о здоровье- нужно получать отдельное согласие и на такую обработку тоже. То есть в согласии должно быть выделено состояние здоровья.
Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
Здравствуйте, Артем.
Да, Вы можете это делать, согласно ст. 421 ГК РФ — свобода договора, стороны вправе договариваться об условиях, не противоречащих закону. Скидка — закону не противоречит.
Вам необходимо соблюдать нормы Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, а также Закона РФ от 07.02.1992 N 2300-1 «О защите прав потребителей».
В частности, как уже отметил мой коллега Владимир — необходимо отдельное согласие на обработку персональных данных в силу ст. 10 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ.
Также — необходимо разработать политику обработки персональных данных, в связи с вышеуказанными особенностями, опубликовать ее на сайте.
По Закону РФ от 07.02.1992 N 2300-1 «О защите прав потребителей», согласно ст. 10, в договоре-оферте Вам следует предоставить информацию о порядке предоставления скидок отдельным категориям граждан, поскольку это является особенностью ценообразования на Ваши услуги.
Порядок хранения должен быть указан в самой политике.
На обработку биометрии следует также акцентировать внимание в самом согласии в силу ст. 11 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ.
Если Вам необходима разработка политики обработки перс. данных, а также включение формулировок в договор, дополнительная консультация по Вашему вопросу — Вы можете обратиться ко мне в чат за такими возмездными услугами.
Здравствуйте, Артем!
Скидка определенной категории потребителей не является ущемлением прав остальных потребителей в контексте ч. 2 ст. 16 Закона РФ от 07.02.1992 №2300-1, поэтому включить соответствующее условие Вы можете.
Главное — исполнять взятую на себя обязанность в отношении всех потребителей, кто выполняет свою часть. Согласно ч. 2 ст. 437 ГК РФ, это будет публичной офертой.
То есть, хотя любые программы лояльности, скидки, бонусы и т.п. — это добрая воля исполнителя, если Вы анонсировали скидку и человек предоставил подтверждение инвалидности, отказать Вы ему будете не вправе.
Какие нормы мне нужно соблюдать?
Нормы, касающиеся обработки персональных данных. В соответствии с п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ, обработка любых персональных данных для таких целей требует получения согласия субъекта. Оно должно быть в письменном виде.
А у Вас речь идет о двух особых категориях ПД. Сведения о состоянии здоровья — это специальная категория, на нее нужно отдельное согласие, фото — это биометрические ПД, их предоставление в силу ч. 3 ст. 11 ФЗ №152 не может быть обязательным.
Так что рекомендую ограничиться предоставлением копии справки, подтверждающей факт установления инвалидности, выданной МСЭ.
Артем, добрый день.
Нужно ли мне как-то по особенному эти данные принимать, хранить?
С учетом того, что данные сведения, отнесены в силу ст. 10 ФЗ «О персональных данных» к специальной категории персональных данных — существует достаточно особенностей связанных с их обработкой (включая их хранение).
Первое на что обращаю внимание
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
Таким образом, до того момента когда Вам будет передана фото справки об инвалидности Вы должны получить согласие на обработку указанных персональных данных.
При этом Вы должны предварительно разъяснить для каких целей будет осуществляться такая обработка, а также представить информацию, содержащую указания на последствия отказа в предоставлении данного согласия.
Немаловажно, что такого рода согласие в отношении указанной категории персональных данных должно быть получено в письменной форме.
Постановка галочки в общей форме согласия на обработку персональных данных не свидетельствует о том, что оно было получено.
Поэтому в отношении указанной категории персональных данных Вы или разрабатываете отдельную форму на получение согласие об их обработке или включаете в общую форму, но в таком случае, согласие дается без проставление галочки об этом.
Следует учитывать на этот счет разъяснения приведенные в <Информации> Роскомнадзора <О получении согласия на обработку персональных данных при покупке товаров в интернет-магазинах>
Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме. Список стран, обеспечивающих адекватную защиту персональных данных, опубликован на Портале персональных данных.
Обращаем внимание, что интернет-магазины, осуществляющие обработку персональных данных покупателей, обязаны разместить на своем сайте документ, определяющий политику оператора в отношении обработки персональных данных, а также обеспечить локализацию персональных данных российских пользователей на территории Российской Федерации.
Второй момент.
По смыслу ст. 18.1 ФЗ «О персональных данных»
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Указанные меры предполагают обеспечение условий по их хранению.
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
Со ст. 19 данного закона Вы можете ознакомиться по ссылке
https://www.consultant.ru/document/cons_doc_LAW_61801/ca9e5658710519f09ab2fdb8196fcb3eb024a051/
С учетом данного обстоятельства при организации технических условий их хранения и обработки Вам стоит решить вопрос будет ли осуществляться их обработка с использованием автоматизированных средств и будет ли осуществляться их передача с целью хранения третьему лицу.
В случае, если предполагается передача ПД третьим лицам, для целей осуществления их хранения — то от субъекта ПД получается по отдельно установленной форме согласие на их распространение.
При осуществлении автоматизированной обработки ПД Вы обязаны до начала их обработку уведомить Роскомнадзор.
С учетом того, какое именно решение в этой части Вы принимаете данный вопрос прорабатывается отдельно.
В праве ли я это делать? Какие нормы мне нужно соблюдать?
Сделать Вы это вправе и помимо проведения политики осуществления персональных данных до начала указанной деятельности Вам в оферте следует предусмотреть условия разграничения стоимость в зависимости от категории пользователей.
В силу ст. 10 Закона РФ «О защите прав потребителей» Вы до заключения договора обязаны до потенциального клиента довести информацию о
— потребительских свойствах услуги
— цене услуги.
Соответственно с этим при формировании предложения о цене у Вас должны быть сведения о предоставляемых скидках и условиях их предоставления.
Таким условием будет являться предоставление данных об инвалидности, с указанием на требования при которых они считаются полученными и разъяснением порядка передачи ПД, порядка осуществления их обработки и требования к оформлению согласия по их обработке.
Если нужно именно фото, то тогда указывается еще и согласие на обработку его внешности.
В любом случае нужна политика обработки перс данных, и человек на сайте с ней должен согласиться (можно галочкой). И там должны быть указаны как раз не только формальные, но и технические меры защиты персональных данных, их обработки.
То есть идет оферта- это порядок оказания услуг, по сути договор, согласие на обработку перс. данных + вот это политика обработки персональных данных.
Кстати — важный момент.
А в реестр роскомнадзора- как оператора перс. данных вы вставали?
Если да- то хорошо, но там указывается конкретный перечень данных для обработки. Если здоровья там нет у вас на сегодня — надо будет новое уведомление подавать — о новой категории данных для обработки- здоровья в вашем случае.
Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»