Сам себе оператор: простая инструкция для интернет-магазинов, которые не хотят нарушать Закон о персональных данных

Смотрите в каталоге
Одежда

Закон о персональных данных в новой редакции вступил в силу полтора года назад. С тех пор юристы не устают твердить: регистрируйтесь, проверки не за горами. Тем не менее, в полку операторов этих самых персональных данных из числа интернет-магазинов не сильно прибыло. Кто-то по-прежнему уверен, что его это не касается. Другие просто не находят времени, чтобы разобраться в новых правилах. Shopolog составил простой Q&A для тех, кто не хочет нарушать закон, и выяснил, что же все-таки стоит предпринять, чтобы легально собирать базу данных клиентов. На ответы нашего корреспондента ответили эксперты юридической компании “Сенешаль Нейман” и Национальной ассоциации дистанционной торговли

Справка Shopolog: Юридическая компания «Сенешаль Нейман» — это эксперт по вопросам правового обеспечения коммерческой деятельности компаний в интернете, в том числе защиты информации и персональных данных, защиты товарных знаков и доменных имен, а также защиты деловой репутации и распространения контента в сети Интернет на территории РФ и за ее пределами. Национальная ассоциация дистанционной торговли — организация, деятельность которой направлена на развитие индустрии дистанционной торговли в России. НАДТ была создана в 2004 г… На сегодняшний день членами НАДТ являются Майл Ордер Сервис (Quelle), Издательский Дом  Ридерз Дайджест,  Дистрибуционный центр Бертельсман, Ив Роше Восток, Ла Редут Рус, Мир книги, ДИРЕКТ КАТАЛОГ СЕРВИС (ОТТО), Холдинг «Приват Трэйд» (KupiLuxe.ru, KupiVip.ru), и др. 

Shopolog: Какие шаги должен предпринять интернет-магазин, чтобы соблюсти новый Закон о персональных данных? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Чтобы законно обрабатывать персональные данные, компании нужно зарегистрироваться в качестве оператора персональных данных (кроме случаев, установленных законом “О персональных данных”). Это делается просто: на сайте Роскомнадзора вы заполняете анкету и электронным способом отправляете ее в ведомство. Регистрация носит уведомительный характер. Проблема в другом. Чтобы эту анкету заполнить, вам нужно провести ряд мероприятий внутри компании. Переделать регламенты, форму пользовательского соглашения, назначить ответственных, которые будут защищать персональные данные. Всего около 15 документов, по нашим данным. 

Это относится к любым данным? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Да, к любым. Есть основные данные — ФИО, дата рождения, адрес. Есть специальные — вероисповедание, диагнозы, долги, сексуальная ориентация. Роскомнадзор не может запретить собирать какие-то данные. Но вы должны объяснить, зачем они вам, что вы с ними собираетесь делать и как будете защищать от утечек. 

Что должен интернет-магазин написать в своем пользовательском соглашении, чтобы этого было достаточно для регулятора и чтобы согласие пользователя на передачу своих ПД считалось зарегистрированным? 

Юридическая компания “Сенешаль Нейман”: Если интернет-магазин не передает данные третьим лицам и использует их только для исполнения договора с пользователем (купли-продажи, сопутствующих услуг), вариантов много: например, можно написать, что если пользователь зарегистрируется на сайте и/или заполнит заявку, предоставляя свои персональные данные, — эти действия будут считаться согласием пользователя на обработку его персональных данных в целях исполнения пользовательского соглашения. Нужно также указать в пользовательском соглашении способ акцепта пользователем соглашения (внесение аванса, регистрация на сайте и т.д.). 

Если магазин собирается передавать данные пользователя третьим лицам в только целях исполнения пользовательского соглашения (например, службе доставки), это нужно специально оговорить, т.к. на передачу данных требуется согласие пользователя. В перечисленных случаях не требуется предварительно уведомлять регулятора об обработке персональных данных оператором. Но следует иметь в виду, что при Интернет-коммуникациях нет гарантии, что заявку на сайте заполняет именно тот человек, чьи данные предоставляются. Кстати, некоторым интернет-магазинам вообще не нужны персональные данные покупателя (например, достаточно имени, контактного e-mail, адреса доставки и т.п.). Если по совокупности информации о покупателе нельзя однозначно определить этого человека (например, некто Иван заказывает товары в офисный центр и оставляет контактный номер телефона), закон о персональных данных эти отношения не регулирует. 

Сегодня на рынке работают компании, которые собирают базы по запросу интернет-магазинов. Кто является оператором персональных данных в этом случае и должен ли интернет-магазин регистрироваться как оператор ПД? 

Юридическая компания “Сенешаль Нейман”: Оператор — тот, кто дает задание на сбор персональных данных, определяет цель, способы, объем их использования. Если интернет-магазин заключил договор с такой компанией и дал ей поручение собирать определенные данные, то оператором является интернет-магазин. И он должен регистрироваться как оператор ПД. Но если интернет-магазин собирает данные у пользователя только для исполнения своего договора с пользователем, закон разрешает не регистрироваться до начала обработки персональных данных при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия пользователя (ст.22 ч.2 п.2 Закона). 

А если интернет-магазин собирает данные для себя, но в перспективе не исключает возможность продажи своей базы? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: В этом случае ответственность так же лежит на магазине. Продажа баз — это нормально, если есть согласие от пользователя на передачу данных третьим лицам. Этот пункт должен быть прописан в пользовательском соглашении. Юридическая компания “Сенешаль Нейман”: И не только на передачу, но и на все прочие способы использования. 

Как может выглядеть согласие? Правда ли, что “галочка” на попап-баннере уже не считается? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Нет, галочка не считается. Как вы потом докажете, что он поставил эту алочку? Нормы, как следует получать согласие, пока не прописаны. В законе сказано лишь, что это согласие должно быть прямо выражено. То есть пользователь должен понимать, с чем он соглашается. В идеале, согласие лучше фиксировать с помощью аудиозаписи либо просить подпись клиента на бумажном носителе — например, на чеке или на форме заказа. Для получения согласия на сбор специальных данных также потребуются паспортные данные. Также суд не примет к рассмотрению согласие, полученное от клиента как обязательное условие для оформление заказа. 

Юридическая компания “Сенешаль Нейман”: Не совсем так. “Галочка” считается. Но ее легче оспорить, чем письменный документ с подписью. И вообще, согласие, данное по электронной почте или в виде «галочки« в интерфейсе сайта, не гарантирует, что оно получено именно от того человека, чьи персональные данные вы планируете обрабатывать. А чтобы удостовериться в личности человека, нужно проверить его паспорт. То есть без личного контакта нет гарантии законности сбора персональных данных. В идеале необходим личный контакт, предъявление паспорта и (раз человек явился) заключение договора об использовании, распространении персональных данных. При наличии такого договора оператору не нужно заявлять о себе в Роскомнадзор (что потребуется в случае получения просто письменного согласия субъекта ПД в отсутствие договора с оператором — ст.22 закона). 

А если пользователь сначала дал согласие, а потом передумал, как он должен об этом заявить? 

Михаил Яценко, Национальная ассоциация дистанционной торговли: Тоже желательно в письменной форме, не через электронку. Впрочем, если он не хочет получать от вас письма и не согласен дать вам право обрабатывать его данные, стоит ли делать это насильно?

Юридическая компания “Сенешаль Нейман”: И кстати, имейте в виду, что субъект ПД, то есть пользователь, может в любой момент запретить ранее им разрешенную обработку ПД. 

Какая ответственность предусмотрена за несоблюдение требований закона?

Михаил Яценко, Национальная ассоциация дистанционной торговли: К вам могут прийти проверяющие — планово или после жалобы. Если проверка обнаружит, что компания не зарегистрирована в качестве оператора персональных данных, но при этом эти данные она собирает, или, например, что пользователь просил удалить его из базы, а его не удалили, — за это предусмотрены санкции. Максимальное наказание — приостановка деятельности предприятия на 90 дней. Но процедура приостановки пока не прописана — и, как следствие, реально не применяется. Что применяют, так это штрафы. Сегодня это в среднем от 5 до 10 тысяч рублей. Впрочем, изменения в КОАП и Уголовный кодекс уже на подходе. Размеры штрафов законодатели обещают увеличить до нескольких миллионов. А за повторное нарушение предусмотреть наказание до 5 лет лишения свободы. 

Материал подготовила Светлана Сорокина

Следите за публикациями в удобном для вас формате, в Facebook (организация признана экстремистской, деятельность на территории РФ запрещена), Вконтакте и Twitter.

Компании и сервисы: KupiVip

Читайте также

2 июня 2021 / Комментарии

Регулирование рекомендательных систем — идея, которую неправильно поняли

В конце марта в закон «Об информации» предложили внести очередные изменения. На этот раз речь шла о регулировании рекомендательных систем, которые формируют выдачу под каждого пользователя. Они работают везде: от поисковика Яндекса до маркетплейсов. Правильно ли истолковали предложение, какие скрытые проблемы не учли авторы и насколько идея реализуема технически?

далее →

26 апреля 2019 / Комментарии

При покупке товаров за границей надо платить пошлину. Что это такое и как ее оплачивать?

Разберемся, на что обращать внимание при заказе товара из-за границы, как рассчитать пошлину и какими способами ее можно оплатить.

далее →

27 июня 2018 / Комментарии

Обзор поправок в 54-ФЗ "О применении контрольно-кассовой техники"

Ряд поправок был известен заранее и активно обсуждался в предпринимательской среде, но некоторые из них стали для бизнеса сюрпризом. Антон Румянцев, директор OFD.RU, сделал обзор принятых нововведений.

далее →

26 июня 2017 / Комментарии

Новые штрафы за нарушение законодательства при сборе персональных данных - что делать?

С 1 июля резко изменяются санкции за нарушение законодательства при сборе персональных данных. В сегодняшнем материале – эксперты отвечают на вопросы: что собственно изменилось? И как с минимальными издержками избежать новых санкций - информационному сайту, сайту интернет-магазина, и т.д.

далее →

20 апреля 2017 / Комментарии

Что принесет рынку закон о регулировании онлайн-агрегаторов товаров (услуг)

О том, что из себя представляет собой нашумевший законопроект о регулировании онлайн-агрегаторов товаров (услуг), что он принесет отрасли, пользователям, и т.д. - рассуждают эксперты и участники рынка...

далее →