Закон о персональных данных в новой редакции получил юридическую силу полтора года назад. С того времени юристы не устают твердить: регистрируйтесь, проверки прейдет скоро. Однако, в полку операторов этих самых персональных данных из вебмагазинов не очень сильно прибыло. Кто-то так же, как и прежде уверен, что его это не касается. Другие просто не находят времени, дабы разобраться в новых правилах.
Shopolog составил несложной QA для тех, кто не желает нарушать закон, и узнал, что же все-таки стоит предпринять, дабы легально собирать базу данных клиентов. На ответы отечественного обозревателя ответили специалисты юридической компании “Сенешаль Нейман” и Национальной ассоциации дистанционной торговли.
Справка Shopolog: Юридическая компания «Сенешаль Нейман» — это специалист по вопросам правового обеспечения коммерческой деятельности компаний в сети, а также защиты информации и персональных данных, защиты товарных знаков и доменных имен, и защиты рабочий репутации и распространения контента в Интернете на территории РФ и за ее пределами. Национальная ассоциация дистанционной торговли — организация, деятельность которой направлена на развитие индустрии дистанционной торговли в Российской Федерации. НАДТ была создана в 2004 г На сегодня участниками НАДТ являются Майл Ордер Сервис (Quelle), Издательский ДомРидерз Дайджест,Дистрибуционный центр Бертельсман, Ив Роше Восток, Ла Редут Рус, Мир книги, ДИРЕКТ КАТАЛОГ СЕРВИС (ОТТО), Холдинг «Приват Трэйд» (KupiLuxe.ru, KupiVip.ru), и др.
Shopolog: Какие конкретно шаги обязан предпринять вебмагазин, дабы соблюсти новый Закон о персональных данных?
Михаил Яценко, Национальная ассоциация дистанционной торговли: Дабы законно обрабатывать персональные эти, компании необходимо пройти регистрацию в качестве оператора персональных данных (не считая случаев, установленных законом “О персональных данных”). Это делается легко: на сайте Роскомнадзора вы заполняете анкету и электронным методом отправляете ее в ведомство. Регистрация носит уведомительный темперамент. Неприятность в другом.
Дабы эту анкету заполнить, вам необходимо совершить последовательность мероприятий в компании. Переделать регламенты, форму пользовательского соглашения, назначить важных, каковые будут защищать персональные эти. Всего около 15 документов, по отечественным данным.
Это относится к любым данным?
Михаил Яценко, Национальная ассоциация дистанционной торговли: Да, к любым. Имеется главные эти — ФИО, дата рождения, адрес. Имеется особые — вероисповедание, заключения, долги, сексуальная ориентация.
Роскомнадзор неимеетвозможности запретить собирать какие-то эти. Но вы должны растолковать, для чего они вам, что вы с ними планируете делать и как станете защищать от утечек.
Что обязан вебмагазин написать в собственном пользовательском соглашении, дабы этого было достаточно для регулятора и дабы согласие пользователя на передачу собственных ПД считалось зарегистрированным?
Юридическая компания “Сенешаль Нейман”: В случае если вебмагазин не передает эти третьим лицам и применяет их лишь для выполнения контракта с пользователем (купли-продажи, сопутствующих одолжений), вариантов большое количество: к примеру, возможно написать, что в случае если пользователь пройдёт регистрацию на сайте и/либо заполнит заявку, предоставляя собственные персональные эти, — эти действия будут принимать во внимание согласием пользователя на обработку его персональных данных в целях выполнения пользовательского соглашения. Необходимо кроме этого указать в пользовательском соглашении метод акцепта пользователем соглашения (внесение аванса, регистрация на сайте и т.д.).
В случае если магазин планирует передавать эти пользователя третьим лицам в лишь целях выполнения пользовательского соглашения (к примеру, службе доставки), это необходимо намерено оговорить, т.к. на передачу данных требуется согласие пользователя. В перечисленных случаях не нужно предварительно уведомлять регулятора об обработке персональных данных оператором.
Но направляться иметь в виду, что при Интернет-коммуникациях нет гарантии, что заявку на сайте заполняет как раз тот человек, чьи эти предоставляются. Кстати, некоторым интернет-магазинам по большому счету не необходимы персональные эти клиента (к примеру, достаточно имени, контактного e-mail, адреса доставки и т.п.). В случае если по совокупности информации о клиент запрещено конкретно выяснить этого человека (к примеру, некто Иван заказывает товары в офисный центр и оставляет контактный номер телефона), закон о персональных данных эти отношения не регулирует.
Сейчас на рынке трудятся компании, каковые собирают базы по запросу вебмагазинов. Кто есть оператором персональных данных в этом случае и обязан ли вебмагазин регистрироваться как оператор ПД?
Юридическая компания “Сенешаль Нейман”: Оператор — тот, кто дает задание на сбор персональных данных, определяет цель, методы, количество их применения. В случае если вебмагазин заключил контракт с таковой компанией и дал ей поручение собирать определенные эти, то оператором есть вебмагазин. И он обязан регистрироваться как оператор ПД.
Но в случае если вебмагазин собирает эти у пользователя лишь для выполнения собственного договора с пользователем, закон разрешает не регистрироваться до начала обработки персональных данных при условии, что персональные эти не распространяются, и не предоставляются третьим лицам без согласия пользователя (ст.22 ч.2 п.2 Закона).
А вдруг вебмагазин собирает эти для себя, но в возможности не исключает возможность продажи собственной базы?
Михаил Яценко, Национальная ассоциация дистанционной торговли: В этом случае ответственность так же лежит на магазине. Продажа баз — это естественно, в случае если имеется согласие от пользователя на передачу данных третьим лицам. Данный пункт должен быть прописан в пользовательском соглашении.
Юридическая компания “Сенешаль Нейман”: И не только на передачу, но и на все другие методы применения.
Как может смотреться согласие? Правда ли, что “галочка” на попап-баннере уже не считается?
Михаил Яценко, Национальная ассоциация дистанционной торговли: Нет, галочка не считается. Как вы позже докажете, что он поставил эту алочку? Нормы, как направляться приобретать согласие, пока не прописаны. В законе сообщено только, что это согласие должно быть прямо выражено. Другими словами пользователь обязан осознавать, с чем он соглашается. В совершенстве, согласие лучше фиксировать посредством аудиозаписи или просить подпись клиента на бумажном носителе — к примеру, на чеке либо на форме заказа.
Для получения согласия на сбор особых данных кроме этого потребуются паспортные эти. Кроме этого суд не примет к рассмотрению согласие, полученное от клиента как необходимое условие для оформление заказа.
Юридическая компания “Сенешаль Нейман”: Не совсем так. “Галочка” считается. Но ее легче оспорить, чем письменный документ с подписью. И по большому счету, согласие, данное по email либо в виде «галочки« в интерфейсе сайта, не гарантирует, что оно получено как раз от того человека, чьи персональные эти вы собираетесь обрабатывать. А дабы удостовериться в личности человека, необходимо проверить его паспорт.
Другими словами без личного контакта нет гарантии законности сбора персональных данных. В совершенстве нужен персональный контакт, предъявление паспорта и (раз человек явился) заключение контракта об применении, распространении персональных данных. При наличии для того чтобы соглашения оператору не требуется заявлять о себе в Роскомнадзор (что потребуется при получения легко письменного согласия субъекта ПД в отсутствие соглашения с оператором — ст.22 закона).
А вдруг пользователь сперва согласился, а позже передумал, как он обязан об этом заявить?
Михаил Яценко, Национальная ассоциация дистанционной торговли: Также нужно в письменной форме, не через электронку. Но, если он не желает приобретать от вас письма и не согласен дать вам право обрабатывать его эти, стоит ли делать это насильно?
Юридическая компания “Сенешаль Нейман”: И кстати, имейте в виду, что субъект ПД, другими словами пользователь, может в любую секунду запретить ранее им разрешенную обработку ПД.
Какая ответственность предусмотрена за несоблюдение требований закона?
Михаил Яценко, Национальная ассоциация дистанционной торговли: К вам смогут прийти контролирующие — планово либо по окончании жалобы. В случае если проверка найдёт, что компания не зарегистрирована в качестве оператора персональных данных, но наряду с этим эти сведенья она собирает, либо, к примеру, что пользователь просил удалить его из базы, а его не удалили, — за это предусмотрены санкции. Большое наказание — приостановка деятельности предприятия на 90 дней.
Но процедура приостановки пока не прописана — и, как следствие, реально не используется. Что используют, так это штрафы. Сейчас это в среднем от 5 до 10 тысяч рублей. Но, трансформации в КОАП и Уголовный кодекс уже на подходе.
Размеры штрафов законодатели обещают расширить до нескольких миллионов. А за повторное нарушение предусмотреть наказание до 5 лет лишения свободы.
Материал подготовила Светлана Сорокина.
Смотрите за публикациями в эргономичном для вас формате, в Facebook, Вконтакте и Twitter.
Случайные статьи:
Обязательный закон в интернете | 54-ФЗ | Обработка персональных данных
Подборка похожих статей:
-
6 Простых правил для составления отчетов по kpi-метрикам
Простые маркетинговые агентства трудятся более чем с несколькими клиентами. Любой таковой клиент руководствуется различными целями, исходя из этого в…
-
Бухгалтерия интернет-магазина: подробная инструкция для начинающих
Бухгалтерия, регистрация, налоговая отчетность По окончании этих слов страшно затевать собственный дело. Храбрее! В действительности все достаточно…
-
Инструкция по настройке рассылок в mailchimp для интернет-магазина
Попадались ли вы когда-нибудь в перечни рассылок вебмагазинов? Что думаете о них? Нам думается, что большая часть из них имеет всего одно письмо с…
-
6 Простых правил для создания дизайна мобильных веб-сайтов
Согласно расчетам ComScore к концу 2014 года приблизительно 1.75 миллиарда человек в мире будут пользоваться смартфонами. А это значит, что наиболее…