Сам себе оператор: простая инструкция для интернет-магазинов, которые не хотят нарушать закон о персональных данных

Закон о персональных данных в новой редакции получил юридическую силу полтора года назад. С того времени юристы не устают твердить: регистрируйтесь, проверки прейдет скоро. Однако, в полку операторов этих самых персональных данных из вебмагазинов не очень сильно прибыло. Кто-то так же, как и прежде уверен, что его это не касается. Другие просто не находят времени, дабы разобраться в новых правилах.

Shopolog составил несложной QA для тех, кто не желает нарушать закон, и узнал, что же все-таки стоит предпринять, дабы легально собирать базу данных клиентов. На ответы отечественного обозревателя ответили специалисты юридической компании “Сенешаль Нейман” и Национальной ассоциации дистанционной торговли.

Справка Shopolog: Юридическая компания «Сенешаль Нейман» — это специалист по вопросам правового обеспечения коммерческой деятельности компаний в сети, а также защиты информации и персональных данных, защиты товарных знаков и доменных имен, и защиты рабочий репутации и распространения контента в Интернете на территории РФ и за ее пределами. Национальная ассоциация дистанционной торговли — организация, деятельность которой направлена на развитие индустрии дистанционной торговли в Российской Федерации. НАДТ была создана в 2004 г На сегодня участниками НАДТ являются Майл Ордер Сервис (Quelle), Издательский ДомРидерз Дайджест,Дистрибуционный центр Бертельсман, Ив Роше Восток, Ла Редут Рус, Мир книги, ДИРЕКТ КАТАЛОГ СЕРВИС (ОТТО), Холдинг «Приват Трэйд» (KupiLuxe.ru, KupiVip.ru), и др.Сам себе оператор: простая инструкция для интернет-магазинов, которые не хотят нарушать закон о персональных данных

Shopolog: Какие конкретно шаги обязан предпринять вебмагазин, дабы соблюсти новый Закон о персональных данных?

Михаил Яценко, Национальная ассоциация дистанционной торговли: Дабы законно обрабатывать персональные эти, компании необходимо пройти регистрацию в качестве оператора персональных данных (не считая случаев, установленных законом “О персональных данных”). Это делается легко: на сайте Роскомнадзора вы заполняете анкету и электронным методом отправляете ее в ведомство. Регистрация носит уведомительный темперамент. Неприятность в другом.

Дабы эту анкету заполнить, вам необходимо совершить последовательность мероприятий в компании. Переделать регламенты, форму пользовательского соглашения, назначить важных, каковые будут защищать персональные эти. Всего около 15 документов, по отечественным данным.

Это относится к любым данным?

Михаил Яценко, Национальная ассоциация дистанционной торговли: Да, к любым. Имеется главные эти — ФИО, дата рождения, адрес. Имеется особые — вероисповедание, заключения, долги, сексуальная ориентация.

Роскомнадзор неимеетвозможности запретить собирать какие-то эти. Но вы должны растолковать, для чего они вам, что вы с ними планируете делать и как станете защищать от утечек.

Что обязан вебмагазин написать в собственном пользовательском соглашении, дабы этого было достаточно для регулятора и дабы согласие пользователя на передачу собственных ПД считалось зарегистрированным?

Юридическая компания “Сенешаль Нейман”: В случае если вебмагазин не передает эти третьим лицам и применяет их лишь для выполнения контракта с пользователем (купли-продажи, сопутствующих одолжений), вариантов большое количество: к примеру, возможно написать, что в случае если пользователь пройдёт регистрацию на сайте и/либо заполнит заявку, предоставляя собственные персональные эти, — эти действия будут принимать во внимание согласием пользователя на обработку его персональных данных в целях выполнения пользовательского соглашения. Необходимо кроме этого указать в пользовательском соглашении метод акцепта пользователем соглашения (внесение аванса, регистрация на сайте и т.д.).

В случае если магазин планирует передавать эти пользователя третьим лицам в лишь целях выполнения пользовательского соглашения (к примеру, службе доставки), это необходимо намерено оговорить, т.к. на передачу данных требуется согласие пользователя. В перечисленных случаях не нужно предварительно уведомлять регулятора об обработке персональных данных оператором.

Но направляться иметь в виду, что при Интернет-коммуникациях нет гарантии, что заявку на сайте заполняет как раз тот человек, чьи эти предоставляются. Кстати, некоторым интернет-магазинам по большому счету не необходимы персональные эти клиента (к примеру, достаточно имени, контактного e-mail, адреса доставки и т.п.). В случае если по совокупности информации о клиент запрещено конкретно выяснить этого человека (к примеру, некто Иван заказывает товары в офисный центр и оставляет контактный номер телефона), закон о персональных данных эти отношения не регулирует.

Сейчас на рынке трудятся компании, каковые собирают базы по запросу вебмагазинов. Кто есть оператором персональных данных в этом случае и обязан ли вебмагазин регистрироваться как оператор ПД?

Юридическая компания “Сенешаль Нейман”: Оператор — тот, кто дает задание на сбор персональных данных, определяет цель, методы, количество их применения. В случае если вебмагазин заключил контракт с таковой компанией и дал ей поручение собирать определенные эти, то оператором есть вебмагазин. И он обязан регистрироваться как оператор ПД.

Но в случае если вебмагазин собирает эти у пользователя лишь для выполнения собственного договора с пользователем, закон разрешает не регистрироваться до начала обработки персональных данных при условии, что персональные эти не распространяются, и не предоставляются третьим лицам без согласия пользователя (ст.22 ч.2 п.2 Закона).

А вдруг вебмагазин собирает эти для себя, но в возможности не исключает возможность продажи собственной базы?

Михаил Яценко, Национальная ассоциация дистанционной торговли: В этом случае ответственность так же лежит на магазине. Продажа баз — это естественно, в случае если имеется согласие от пользователя на передачу данных третьим лицам. Данный пункт должен быть прописан в пользовательском соглашении.

Юридическая компания “Сенешаль Нейман”: И не только на передачу, но и на все другие методы применения.

Как может смотреться согласие? Правда ли, что “галочка” на попап-баннере уже не считается?

Михаил Яценко, Национальная ассоциация дистанционной торговли: Нет, галочка не считается. Как вы позже докажете, что он поставил эту алочку? Нормы, как направляться приобретать согласие, пока не прописаны. В законе сообщено только, что это согласие должно быть прямо выражено. Другими словами пользователь обязан осознавать, с чем он соглашается. В совершенстве, согласие лучше фиксировать посредством аудиозаписи или просить подпись клиента на бумажном носителе — к примеру, на чеке либо на форме заказа.

Для получения согласия на сбор особых данных кроме этого потребуются паспортные эти. Кроме этого суд не примет к рассмотрению согласие, полученное от клиента как необходимое условие для оформление заказа.

Юридическая компания “Сенешаль Нейман”: Не совсем так. “Галочка” считается. Но ее легче оспорить, чем письменный документ с подписью. И по большому счету, согласие, данное по email либо в виде «галочки« в интерфейсе сайта, не гарантирует, что оно получено как раз от того человека, чьи персональные эти вы собираетесь обрабатывать. А дабы удостовериться в личности человека, необходимо проверить его паспорт.

Другими словами без личного контакта нет гарантии законности сбора персональных данных. В совершенстве нужен персональный контакт, предъявление паспорта и (раз человек явился) заключение контракта об применении, распространении персональных данных. При наличии для того чтобы соглашения оператору не требуется заявлять о себе в Роскомнадзор (что потребуется при получения легко письменного согласия субъекта ПД в отсутствие соглашения с оператором — ст.22 закона).

А вдруг пользователь сперва согласился, а позже передумал, как он обязан об этом заявить?

Михаил Яценко, Национальная ассоциация дистанционной торговли: Также нужно в письменной форме, не через электронку. Но, если он не желает приобретать от вас письма и не согласен дать вам право обрабатывать его эти, стоит ли делать это насильно?

Юридическая компания “Сенешаль Нейман”: И кстати, имейте в виду, что субъект ПД, другими словами пользователь, может в любую секунду запретить ранее им разрешенную обработку ПД.

Какая ответственность предусмотрена за несоблюдение требований закона?

Михаил Яценко, Национальная ассоциация дистанционной торговли: К вам смогут прийти контролирующие — планово либо по окончании жалобы. В случае если проверка найдёт, что компания не зарегистрирована в качестве оператора персональных данных, но наряду с этим эти сведенья она собирает, либо, к примеру, что пользователь просил удалить его из базы, а его не удалили, — за это предусмотрены санкции. Большое наказание — приостановка деятельности предприятия на 90 дней.

Но процедура приостановки пока не прописана — и, как следствие, реально не используется. Что используют, так это штрафы. Сейчас это в среднем от 5 до 10 тысяч рублей. Но, трансформации в КОАП и Уголовный кодекс уже на подходе.

Размеры штрафов законодатели обещают расширить до нескольких миллионов. А за повторное нарушение предусмотреть наказание до 5 лет лишения свободы.

Материал подготовила Светлана Сорокина.

Смотрите за публикациями в эргономичном для вас формате, в Facebook, Вконтакте и Twitter.

Случайные статьи:

Обязательный закон в интернете | 54-ФЗ | Обработка персональных данных


Подборка похожих статей:

riasevastopol