Персональні дані де інтернет-магазину - підстелити соломку

У цій статті ми розповімо, як інтернет-магазину правильно "підстелити соломки" та убезпечити себе від штрафів.

Для початку, перерахуємо найпопулярніші міфи за персональними даними, що не відповідають дійсності.

Міф 1: ухвалено новий закон

  1. Обробку ПДН без згоди користувача, одержаного в письмовій формі.
  2. Обробку ПДн у випадках, передбачених законодавством РФ.
  3. Ненадання доступу до документа, що визначає політику оператора щодо обробки ПДН, та до інформації про захист персональних даних.
  4. Ненадання суб'єкту ПДн інформації щодо обробки його персональних даних
  5. Невиконання оператором при обробці ПДН обов'язки щодо збереження персональних даних при зберіганні матеріальних носіїв ПДн.

Міф 2: персональні дані це лише дані паспорта або платіжні реквізити

Міф 3: поки не подав повідомлення до Роскомнагляду – я не оператор персональних даних

152 ФЗ показує, що оператором персональних даних організація стає у БУДЬ-ЯКОМУ випадку, коли починає їх обробку. Іншими словами, отримавши дані клієнта, ви вже повинні дотримуватися 152 ФЗ.

Інтернет-магазин збирає дані, як правило, через

  • форму замовлення;
  • форму передплати на розсилку;
  • форму зворотний зв'язок.

персональні

Наявність таких форм на сайті вже означає, що ви стали оператором і почали обробку даних.

Закон справді зобов'язує оператора подати повідомлення до РКН, але є й низка винятків. Найпоширеніше їх – отримання даних у зв'язку з укладанням договору, стороноюякого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних та використовуються оператором виключно для виконання зазначеного договору та укладання договорів із суб'єктом персональних даних. Людською мовою: якщо дані отримані від покупця чи потенційного покупця у межах договору із нею, то подавати повідомлення необов'язково.

Міф 4: оператору достатньо розмістити відомості про політику конфіденційності на сайті

Насправді закон 152 ФЗ не дає конкретного переліку документів, наявність яких на сайті є достатнім мінімумом для законної обробки даних.

Але, з урахуванням практики, мінімальним вважається наступний пакет документів, розміщений на сайті:

  1. Договір, що визначає права та обов'язки покупця та продавця;
  2. Політика опрацювання персональних даних. У цьому документі слід визначити принципи та цілі обробки, порядок обробки даних, термін зберігання, порядок видалення.
  3. Спеціальна форма згоди користувача на обробку даних – якщо дані збираються до моменту акцепту договору. Наприклад, якщо договір акцептується під час реєстрації або замовлення товару, а дані на сайті ІМ збираються ще й через форму зворотного зв'язку чи підписки на розсилку.

Відповідно до ч. 1 ст. 9 №152 ФЗ згоду на обробку ПДн має бути конкретною, поінформованою та свідомою. Важливо підтвердити, що користувач давав згоду, а значить, прямо вказати, яка дія є згодою (введення коду, галочка).

Для того щоб убезпечити себе, ідеально підходить форма двоетапного отримання згоди.

1 етап – користувач заповнює формуреєстрації на сайті, потім натискає на кнопку «Згоден» або проставляє в чекбоксі автоматичну галочку та надсилає форму реєстрації.

Ось приклад правильного оформлення 1 етапу – форма замовлення на сайті "М.Відео":

дані

інтернет-магазину

Реєстраційні форми або форми отримання розсилок, розміщені на сайтах без чекбокса чи іншого інструменту отримання згоди користувача порушують ФЗ-152.

Ось приклад форми замовлення, яка може обернутися вам штрафом. Дані вносяться, а отримання згоди від користувача не передбачено. На жаль, таких прикладів на сайтах інтернет-магазинів досі багато. А як ця форма виглядає у вас?

інтернет-магазину

2 етап – підтвердження реєстрації на сайті через захід за посиланням, направленим на електронну пошту користувача.

Якщо не передбачена двоетапна згода користувача, то краще впровадити на сайті механізм, який не дає змоги надіслати замовлення з усіма даними клієнта без натискання кнопки "Згоден на обробку ПДН".

Текст згоди має бути досить зрозумілим та містити основні моменти:

Отже, бачимо, що контроль Роскомнадзора за ecommerce посилюється, отже, дотримання 152ФЗ стає життєво важливим.