Персональные данные клиента

20.12.2015/05.04.2020

Адвокаты, осуществляющие деятельность индивидуально и в юридической консультации, адвокатские конторы, юридические фирмы и частно-практикующие юристы (далее - адвокаты и юридические фирмы) постоянно в ходе своей деятельности собирают, накапливают, хранят и используют персональные данные своих клиентов, а также третьих лиц. Если вы - один из вышеперечисленных субъектов, то вам необходимо учитывать требования законодательства, относящиеся к работе с персональными данными.

Понятие персональных данных

В соответствии с подпунктом 2) статьи 1 Закона Республики Казахстан "О персональных данных и их защите" (далее - Закон) персональные данные представляют собой сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Применительно к клиентам адвокатов и юридических фирм такими сведениями могут быть:

  • фамилия, имя, отчество;
  • данные о месте и дате рождения;
  • данные документов, удостоверяющих личность;
  • адрес и телефон;
  • сведения о правах на имущество;
  • сведения о доходах;
  • сведения об участии в коммерческих и некоммерческих организациях;
  • другие сведения, относящиеся к клиентам.

Субъектом персональных данных согласно подпункту 16) указанной статьи является физическое лицо, к которому относятся персональные данные. Таким образом, субъектом персональных данных выступает любой клиент - физическое лицо, обратившееся к вам за юридической помощью.

Базой, содержащей персональные данные, является совокупность упорядоченных персональных данных (подпункт 8) статьи 1 Закона). Следовательно, CRM-система, адресная книга, файловый или бумажный архив, содержащие указанные сведения ваших клиентов, будут считаться базой, содержащей персональные данные.

В соответствии с подпунктами 9) и 10) статьи 1 указанного Закона адвокаты и юридические фирмы, реализующие права на базу, содержащую персональные данные, а также осуществляющие сбор, обработку и защиту персональных данных выступают одновременно в качестве собственника и оператора базы, содержащей персональные данные.

Таким образом, поскольку адвокаты и юридические фирмы в своей деятельности собирают, накапливают, обрабатывают, используют, хранят и распространяют сведения, относящиеся к своим клиентам, то такая их деятельность попадает под регулирование Законом "О персональных данных и их защите".

Согласие клиента на сбор и обработку персональных данных

Подпункт 5) статьи 1 Закона определяет сбор персональных данных как действия, направленные на получение персональных данных.  Согласно подпункту 12) указанной статьи обработка персональных данных представляет собой действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

В соответствии с пунктом 1 статьи 7 Закона  сбор и обработка персональных данных могут осуществляться вами только с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 Закона, которой установлен ряд случаев, когда  сбор, обработка персональных данных производятся без согласия субъекта (например, деятельность правоохранительных органов, судов, статистических органов, журналистов и т. д.). Деятельность адвокатов и юридических фирм в данный перечень исключений не включена. Таким образом, закон обязывает вас заручиться согласием клиента на сбор и обработку его персональных данных.

В соответствии с пунктом 1 статьи 8 Закона согласие на сбор и обработку должно быть дано письменно или в форме электронного документа, либо иным способом,  с применением защитных действий, не противоречащих законодательству.

В связи с этим, до начала использования персональных данных, у вас имеется следующий выбор:

  1. Получить у клиента письменное согласие на сбор и обработку персональных данных в виде отдельного документа.
  2. Включить необходимые условия об использовании персональных данных в текст договора об оказании юридической помощи (оказании юридических услуг). В целях уменьшения количества создаваемых документов, данный вариант представляется более рациональным, чем первый.
  3. Использовать электронную форму согласия на вашем сайте (для онлайн-заказов и обращений).

Конфиденциальность персональных данных

Под распространением персональных данных понимаются действия, в результате  которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом (подпункт 15) статьи 1 Закона). В соответствии с пунктом 1 статьи 11 Закона вы обязаны обеспечить конфиденциальность персональных данных ваших клиентов, соблюдая требование не допускать их распространения без согласия клиента либо наличия иного законного основания. Для адвокатов данное положение фактически перекрывается требованиями Закона "Об адвокатской деятельности" по сохранению адвокатской тайны.

Пункт 2 статьи 11 Закона предусматривает обязанность для лиц, которым стали известны персональные данные ограниченного доступа (то есть доступ, к которым ограничен законодательством) в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обеспечивать их конфиденциальность. Таким образом, адвокаты и сотрудники юридических фирм, получившие в свое распоряжение персональные данные, содержащие, к примеру, медицинскую, банковскую и иную тайну, обязаны соблюдать конфиденциальность такой информации.

Накопление и хранение персональных данных

Подпункт 4) статьи 1 Закона под накоплением персональных данных понимает действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные. Занося даные клиентов в свою клиентскую базы, вы осуществляете накопление персональных данных.  Пункт 1 статьи 12 Закона устанавливает, что накопление производится путем сбора персональных данных, необходимых и достаточных для выполнения осуществляемых вами задач. То есть вы не должны собирать данных о клиенте больше, чем вам требуется для оказания юридической помощи.

Под хранением персональных данных в соответствии с подпунктом 14) статьи 1 Закона понимаются действия по обеспечению целостности, конфиденциальности и доступности персональных данных.  Согласно пункту 2 статьи 12 Закона хранение персональных данных должно осуществляться вами в базе, а срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством.

Использование персональных данных клиентов

Под использованием персональных данных понимаются действия с ними, направленные на реализацию ваших целей деятельности, то есть на оказание правовой помощи (юридических услуг) (подпункт 13) статьи 1 Закона). Согласно статье 14 Закона использование персональных данных должно осуществляться только для ранее заявленных целей их сбора. Исходя из целей деятельности адвокатов и юридических фирм использование может заключаться:

  • во включении персональных данных в составляемые заявления, жалобы, ходатайства, договоры и другие документы правового характера, изготавливаемые в интересах клиентов;
  • в сообщении этих данных суду, государственным органам, судебным исполнителям, организациям и физическим лицам, перед которыми осуществляется представительство интересов клиента.

Использовать персональные данные в целях, не предусмотренных договором с клиентом, не допустимо.

Обязанности адвоката (юридической фирмы), связанные с персональными данными

Как собственник и оператор базы, содержащей персональные данные, вы в соответствии со статьей 25 Закона обязаны:

  • утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых вами задач;
  • принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством;
  • соблюдать законодательство о персональных данных и их защите;
  • принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных установленных законодательством случаях;
  • представлять доказательство о получении согласия клиента на сбор и обработку его персональных данных;
  • сообщать информацию, относящуюся к субъекту, в течение 3 рабочих дней со дня получения обращения его самого или его законного представителя;
  • в случае отказа предоставить информацию субъекту в срок, не превышающий 3 рабочих дней со дня получения обращения, представлять мотивированный ответ;
  • в течение 1 рабочего дня:
    • изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
    • блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
    • уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства, а также в иных случаях, установленных законодательством;
    • снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Поделитесь ссылкой