Сам себе оператор: простая инструкция для интернет-магазинов, которые не хотят нарушать Закон о персональных данных

Смотрите в каталоге
Одежда

Закон о персональных данных в новой редакции вступил в силу полтора года назад. С тех пор юристы не устают твердить: регистрируйтесь, проверки не за горами. Тем не менее, в полку операторов этих самых персональных данных из числа интернет-магазинов не сильно прибыло. Кто-то по-прежнему уверен, что его это не касается. Другие просто не находят времени, чтобы разобраться в новых правилах. Shopolog составил простой Q&A для тех, кто не хочет нарушать закон, и выяснил, что же все-таки стоит предпринять, чтобы легально собирать базу данных клиентов. На ответы нашего корреспондента ответили эксперты юридической компании “Сенешаль Нейман” и Национальной ассоциации дистанционной торговли

Справка Shopolog: Юридическая компания «Сенешаль Нейман» — это эксперт по вопросам правового обеспечения коммерческой деятельности компаний в интернете, в том числе защиты информации и персональных данных, защиты товарных знаков и доменных имен, а также защиты деловой репутации и распространения контента в сети Интернет на территории РФ и за ее пределами. Национальная ассоциация дистанционной торговли — организация, деятельность которой направлена на развитие индустрии дистанционной торговли в России. НАДТ была создана в 2004 г… На сегодняшний день членами НАДТ являются Майл Ордер Сервис (Quelle), Издательский Дом  Ридерз Дайджест,  Дистрибуционный центр Бертельсман, Ив Роше Восток, Ла Редут Рус, Мир книги, ДИРЕКТ КАТАЛОГ СЕРВИС (ОТТО), Холдинг «Приват Трэйд» (KupiLuxe.ru, KupiVip.ru), и др. 

Shopolog: Какие шаги должен предпринять интернет-магазин, чтобы соблюсти новый Закон о персональных данных? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Чтобы законно обрабатывать персональные данные, компании нужно зарегистрироваться в качестве оператора персональных данных (кроме случаев, установленных законом “О персональных данных”). Это делается просто: на сайте Роскомнадзора вы заполняете анкету и электронным способом отправляете ее в ведомство. Регистрация носит уведомительный характер. Проблема в другом. Чтобы эту анкету заполнить, вам нужно провести ряд мероприятий внутри компании. Переделать регламенты, форму пользовательского соглашения, назначить ответственных, которые будут защищать персональные данные. Всего около 15 документов, по нашим данным. 

Это относится к любым данным? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Да, к любым. Есть основные данные — ФИО, дата рождения, адрес. Есть специальные — вероисповедание, диагнозы, долги, сексуальная ориентация. Роскомнадзор не может запретить собирать какие-то данные. Но вы должны объяснить, зачем они вам, что вы с ними собираетесь делать и как будете защищать от утечек. 

Что должен интернет-магазин написать в своем пользовательском соглашении, чтобы этого было достаточно для регулятора и чтобы согласие пользователя на передачу своих ПД считалось зарегистрированным? 

Юридическая компания “Сенешаль Нейман”: Если интернет-магазин не передает данные третьим лицам и использует их только для исполнения договора с пользователем (купли-продажи, сопутствующих услуг), вариантов много: например, можно написать, что если пользователь зарегистрируется на сайте и/или заполнит заявку, предоставляя свои персональные данные, — эти действия будут считаться согласием пользователя на обработку его персональных данных в целях исполнения пользовательского соглашения. Нужно также указать в пользовательском соглашении способ акцепта пользователем соглашения (внесение аванса, регистрация на сайте и т.д.). 

Если магазин собирается передавать данные пользователя третьим лицам в только целях исполнения пользовательского соглашения (например, службе доставки), это нужно специально оговорить, т.к. на передачу данных требуется согласие пользователя. В перечисленных случаях не требуется предварительно уведомлять регулятора об обработке персональных данных оператором. Но следует иметь в виду, что при Интернет-коммуникациях нет гарантии, что заявку на сайте заполняет именно тот человек, чьи данные предоставляются. Кстати, некоторым интернет-магазинам вообще не нужны персональные данные покупателя (например, достаточно имени, контактного e-mail, адреса доставки и т.п.). Если по совокупности информации о покупателе нельзя однозначно определить этого человека (например, некто Иван заказывает товары в офисный центр и оставляет контактный номер телефона), закон о персональных данных эти отношения не регулирует. 

Сегодня на рынке работают компании, которые собирают базы по запросу интернет-магазинов. Кто является оператором персональных данных в этом случае и должен ли интернет-магазин регистрироваться как оператор ПД? 

Юридическая компания “Сенешаль Нейман”: Оператор — тот, кто дает задание на сбор персональных данных, определяет цель, способы, объем их использования. Если интернет-магазин заключил договор с такой компанией и дал ей поручение собирать определенные данные, то оператором является интернет-магазин. И он должен регистрироваться как оператор ПД. Но если интернет-магазин собирает данные у пользователя только для исполнения своего договора с пользователем, закон разрешает не регистрироваться до начала обработки персональных данных при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия пользователя (ст.22 ч.2 п.2 Закона). 

А если интернет-магазин собирает данные для себя, но в перспективе не исключает возможность продажи своей базы? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: В этом случае ответственность так же лежит на магазине. Продажа баз — это нормально, если есть согласие от пользователя на передачу данных третьим лицам. Этот пункт должен быть прописан в пользовательском соглашении. Юридическая компания “Сенешаль Нейман”: И не только на передачу, но и на все прочие способы использования. 

Как может выглядеть согласие? Правда ли, что “галочка” на попап-баннере уже не считается? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Нет, галочка не считается. Как вы потом докажете, что он поставил эту алочку? Нормы, как следует получать согласие, пока не прописаны. В законе сказано лишь, что это согласие должно быть прямо выражено. То есть пользователь должен понимать, с чем он соглашается. В идеале, согласие лучше фиксировать с помощью аудиозаписи либо просить подпись клиента на бумажном носителе — например, на чеке или на форме заказа. Для получения согласия на сбор специальных данных также потребуются паспортные данные. Также суд не примет к рассмотрению согласие, полученное от клиента как обязательное условие для оформление заказа. 

Юридическая компания “Сенешаль Нейман”: Не совсем так. “Галочка” считается. Но ее легче оспорить, чем письменный документ с подписью. И вообще, согласие, данное по электронной почте или в виде «галочки« в интерфейсе сайта, не гарантирует, что оно получено именно от того человека, чьи персональные данные вы планируете обрабатывать. А чтобы удостовериться в личности человека, нужно проверить его паспорт. То есть без личного контакта нет гарантии законности сбора персональных данных. В идеале необходим личный контакт, предъявление паспорта и (раз человек явился) заключение договора об использовании, распространении персональных данных. При наличии такого договора оператору не нужно заявлять о себе в Роскомнадзор (что потребуется в случае получения просто письменного согласия субъекта ПД в отсутствие договора с оператором — ст.22 закона). 

А если пользователь сначала дал согласие, а потом передумал, как он должен об этом заявить? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Тоже желательно в письменной форме, не через электронку. Впрочем, если он не хочет получать от вас письма и не согласен дать вам право обрабатывать его данные, стоит ли делать это насильно?

Юридическая компания “Сенешаль Нейман”: И кстати, имейте в виду, что субъект ПД, то есть пользователь, может в любой момент запретить ранее им разрешенную обработку ПД. 

Какая ответственность предусмотрена за несоблюдение требований закона?

Михаил Яценко, Национальная ассоциация дистанционной торговли: К вам могут прийти проверяющие — планово или после жалобы. Если проверка обнаружит, что компания не зарегистрирована в качестве оператора персональных данных, но при этом эти данные она собирает, или, например, что пользователь просил удалить его из базы, а его не удалили, — за это предусмотрены санкции. Максимальное наказание — приостановка деятельности предприятия на 90 дней. Но процедура приостановки пока не прописана — и, как следствие, реально не применяется. Что применяют, так это штрафы. Сегодня это в среднем от 5 до 10 тысяч рублей. Впрочем, изменения в КОАП и Уголовный кодекс уже на подходе. Размеры штрафов законодатели обещают увеличить до нескольких миллионов. А за повторное нарушение предусмотреть наказание до 5 лет лишения свободы. 

Материал подготовила Светлана Сорокина

Следите за публикациями в удобном для вас формате, в FacebookВконтакте и Twitter.

Компании и сервисы: KupiVip
Автор: Игорь Назаров

Подписаться на новости

Читайте также

20 сентября / Комментарии

Почему стоит задуматься о регистрации своего товарного знака

Чтобы ответить на главный вопрос предпринимателя «а зачем мне это?», приведем примеры конкретных ситуаций, в которых зарегистрированный товарный знак убережет бизнес от проблем и будет способствовать его расцвету.

далее →

25 апреля / Комментарии

Бухгалтерия интернет-магазина: подробная инструкция для начинающих

Бухгалтерия, регистрация, налоговая отчетность… После этих слов страшно начинать свое дело. Смелее! На самом деле все довольно просто. В статье я расскажу, как настроить бухгалтерский и налоговый учёт в интернет-магазине.

далее →

2 декабря 2015 / Комментарии

12 интересных судебных дел связанных с рекламой в интернете

Юридическая фирма "Ветров и партнеры" сделала подборку интересных судебных дел, связанных со спецификой рекламы в Интернете.

далее →

15 июня 2015 / Комментарии

"КонсультантПлюс": обязан ли интернет-магазин платить торговый сбор

Вопрос который волнует всех владельцев интернет-магазинов — платит или не платит интернет-магазин торговый сбор, который вступает в силу 1 июля в Москве.

далее →

18 февраля 2015 / Комментарии

Закон о торговле. Как новые инициативы могут отразится на бизнесе

В настоящий момент в Государственную Думу внесено более 10 законопроектов, предусматривающих изменения в Федеральный закон от 28.

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook