Как собрать данные о покупателях и не налететь на штраф Роскомнадзора

Редактор DaData.ru побеседовал с сотрдником Роскомнадзора и выяснил, что делать с данными клиентов, чтобы не получить наказание от ведомства.

Итак, вы запускаете интернет-магазин. Поздравляю, теперь вы не только предприниматель, но и оператор персональных данных.

В России сбор и обработку персональных данных контролирует Роскомнадзор (РКН). Он следит, чтобы данные использовались только с разрешения владельца и никуда не утекали. Требования и наказания устанавливает 152-ФЗ "О персональных данных".

В Сети много юридических статей о том, что такое 152-ФЗ, как ему соответствовать, какие грозят штрафы. Эти статьи такие сложные, что предприниматели пугаются и откладывают их на потом. А проблемы с персональными данными в компании остаются.

Я хочу по-человечески рассказать об основных принципах правоприменения в области защиты персональных данных. Прочитав материал, вы с легкой душой приведете бизнес в соответствие требованиям закона.

Какие данные персональные, а какие — нет

В теории все очень легко: если по набору данных можно идентифицировать человека как конкретное физическое лицо, эти данные — персональные.

То есть "Сидоров Матвей Анатольевич, тел.:8 915 345-23-54, адрес: гор. Москва, ул.Ленина, д. 5, кв. 23" — это персональные данные. А вот только телефон или только адрес — нет.

Но это в теории.

РКН и суды очень широко трактуют определение персональных данных. На практике персональные данные — любая информация о человеке даже без прямой привязки к нему.

В прошлом году показательный прецедент произошел с МГТС: на оператора связи наложили штраф за сбор и передачу партнерам сведений об абонентах. В данных не было ФИО, телефонов или адресов — только обезличенные cookies, IP-шники и адреса посещенных страниц. Суд посчитал, что раз данные получены в результате активности клиентов МГТС, они являются персональными. И неважно, что компания их обезличила.

Если на сайте для оформления заказа достаточно ввести адрес и телефон, не надейтесь, что РКН останется в стороне.

Как Роскомнадзор выбирает компании для проверки

Роскомнадзор представляют как ведомство, которое направо и налево блокирует что вздумается и выписывает штрафы кому хочет. Но по меньшей мере в области персональных данных ведомство следует предписаниям закона и подзаконных актов.

План проверок РКН публичен, его согласуют в конце каждого года и публикуют на официальном сайте.

Актуальный план — первым пунктом

Иногда РКН внепланово проверяет компании, на которые прислали жалобу. Проверка следует, если чиновники сочтут жалобу веской.

Без жалоб и вне плана РКН не имеет права проверять организацию.

Что будет, если нарушить закон

Если РКН нашел в компании проблемы с 152-ФЗ, чиновники составляют протокол об административном нарушении. Его отправляют в суд, суд назначает наказание.

• Если предприниматель не предусмотрел или неправильно оформил Политику в отношении обработки персональных данных — для ИП последует штраф от 3 000 до 5 000 рублей, для юрлица — от 15 000 до 75 000 рублей:
• сбор и обработка данных не соответствовали заявленным целям — ИП получит штраф от 5 000 до 10 000 рублей, юрлицо — от 30 000 до 50 000 рублей;
• клиенту отказали в предоставлении информации о том, как обрабатываются персональные данные, или проигнорировали просьбу — штраф от 10 000 до 15 000 рублей для ИП, от 20 000 до 40 000 тысяч рублей — для юрлиц.

Да, по закону клиент имеет право узнать, что́ магазин делает с персональными данными. Также клиент может потребовать, чтобы его данные удалили, и магазин обязан подчиниться.

Для начала нужно уведомить Роскомнадзор о сборе данных

Еще до начала работы нужно рассказать РКН, что интернет-магазин намерен осуществлять сбор и обработку персональных данных. Форма уведомления — на официальном сайте.

Оператор — это компания, которая будет собирать персональные данные

В форме куча неочевидных полей, давайте разбираться.

Все примеры ниже — рабочие, можно подправить под свой бизнес и использовать. Хорошо, что требования к тексту уведомления не строгие: никто не придирается, штрафы не предусмотрены.

Правовое основание обработки персональных данных. Здесь нужно перечислить положения и законы, которыми руководствуется интернет-магазин при сборе и обработке данных.

152-ФЗ "О персональных данных", Уставом ООО "Ромашка", Политикой ООО "Ромашка" в отношении обработки персональных данных, Правилами продажи товаров дистанционным способом (утв. Постановлением Правительства
РФ от 27 сентября 2007 г. N 612), ст.18 ФЗ "О рекламе", ст. 86-90 Трудового кодекса РФ.

Цели обработки персональных данных. Расскажите, зачем вам нужны персональные данные клиентов.

— Оказание услуг по дистанционному оформлению заказов и осуществлению доставки товаров;
— систематизация и анализ с целью улучшения качества товаров и услуг;
— исполнение договорных обязательств;
— ведение личных дел сотрудников;
— работа с жалобами.

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона "О персональных данных". Тут нужно перечислить технические средства, которые вы используете, чтобы защитить персональные данные от утечек.

• Антивирусы;
• запирающиеся на ключ шкафы для хранения информации в распечатанном виде;
• сейфы;
• шредеры.

Также желательно назначить ответственного за хранение персональных данных, указать ФИО и должность.

— Оператором назначено лицо, ответственное за организацию обработки персональных данных;
— приняты локальные нормативные акты, регламентирующие обработку персональных данных;
— обеспечены средства безопасности: использование антивирусной защиты;
— использование шредера;
— использование паролей на компьютерах;
— ответственный за организацию обработки персональных данных: бухгалтер Иванова Анастасия Михайловна;
— номера контактных телефонов, почтовые адреса и адреса электронной почты ответственного за организацию обработки персональных данных: 108128, г. Москва, ул. Тверская, дом 7, 8 499 123-44-22, ivanova@yandex.ru.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ. Напишите, что разработали и утвердили Политику обработки персональных данных, приказом определили ответственное лицо и провели с ним инструктаж. Сотрудники проинформированы о правилах работы с персональными данными, а доступ третьих лиц исключен.

Разработана и утверждена Политика обработки персональных данных в ООО "Ромашка", приказами определены лица, ответственные и допущенные к обработке персональных данных в ООО "Ромашка", приказом определены места хранения носителей, содержащих персональные данные, обеспечивается раздельное хранение материальных носителей, содержащих персональные данные, назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе. Несанкционированный доступ к базам персональных данных исключён. Неконтролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки. На основании модели угроз безопасности информации разработана система защиты информации (СЗИ). Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях — в сейфах (шкафах, исключающих  несанкционированный доступ).

Срок или условие прекращения обработки персональных данных. Здесь все коротко и просто.

Ликвидация (реорганизация) ООО "Ромашка".

Категории субъектов, персональные данные которых обрабатываются. Это можно заполнить так.

— физические   лица,   состоящие   в   договорных   отношениях   с ООО "Ромашка";
— сотрудники ООО "Ромашка", с которыми заключены трудовые договоры;
— граждане, обратившиеся в ООО "Ромашка" с жалобами;
— граждане, направившие резюме при устройстве на работу.

Оформить и опубликовать Политику обработки персональных данных

Следующий шаг — составить Политику обработки персональных данных. С ней будут соглашаться покупатели, прежде чем отправить вам имена, фамилии, адреса и т. д.

Политику оформляют как документ, чтобы показать в случае проверки. Документ выкладывают на сайте в публичном доступе.

На сайте Роскомнадзора лежат официальные рекомендации по составлению Политики.

Обычно при проверке РКН не цепляется к тексту документа, штрафует только за отсутствие. Поэтому можно сделать Политику краткой, как "Ситилинк". Но лучше подстраховаться и составить подробную Политику, следуя рекомендациям, как "Связной".

У Политики нет обязательного шаблона, но РКН рекомендует включать в нее 6 разделов. Разберем их подробно.

Общие положения. В этом разделе описывают:

— назначение Политики;
— принципы обработки данных;
— понятия ("обработка персональных данных", "оператор", "субъект персональных данных", "конфиденциальность персональных данных");
— основные права и обязанности оператора и субъекта (ов) персональных данных.

Это совершенно стандартный раздел, который можно спокойно взять, например, у "Связного".

Правовые основания обработки персональных данных. Тут нужно перечислить законы, правовые акты и документы, которые регулируют работу с персональными данными. Для интернет-магазинов это стандартный набор.

Политика персональных данных ООО "Ромашка" разработана в соответствии с Конституцией Российской Федерации, 152-ФЗ "О персональных данных", Уставом ООО "Ромашка", другими законодательными, нормативными документами и правовыми актами Российской Федерации в области персональных данных.

Цели сбора персональных данных. Подробно опишите, зачем вам нужны персональные данные клиентов.

— Для обеспечения регистрации на сайте;
— выполнения условий договоров;
— осуществления доставки товара;
— проведения внутренних исследований аудитории сайта;
— осуществления документооборота.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Начало стандартное для всех.

В информационных системах персональных данных ООО "Ромашка" обрабатываются персональные данные следующих субъектов персональных данных.

Далее перечислите категории субъектов. Если по-простому, это категории людей и организаций, который будут оставлять данные в магазине. Рядом с категориями в скобках укажите, какие конкретно данные вы у них собираете и обрабатываете.

• сотрудники (ФИО, паспортные данные, телефон, домашний адрес, СНИЛС);
• бывшие сотрудники (ФИО, паспортные данные, телефон, домашний адрес, СНИЛС);
• кандидаты на замещение вакантных должностей (ФИО, телефон, электронная почта, место работы);
• клиенты и контрагенты (ФИО, телефон, электронная почта, домашний адрес, рабочий адрес).

Важно, чтобы данные, которые вы собираете, соответствовали заявленным целям сбора и обработки. Например, если в целях только "Осуществление доставки товара", при проверке придется объяснить, зачем вы спрашиваете у клиентов уровень дохода.

Порядок и условия обработки персональных данных. Расскажите, что делаете с данными и когда прекращаете их обрабатывать. Это самый важный раздел, на который можно ссылаться в конфликтных ситуациях.

ООО "Ромашка" осуществляет сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;
• смешанная обработка персональных данных, в том числе, с передачей по внутренней сети ООО "Ромашка" и/или с передачей по сети Интернет.

Важно указать все, что планируете делать с данными. Например, если вы с помощью dadata.ru чистите от опечаток ФИО и адреса клиентов, придется добавить в список еще один пункт:

автоматизированная обработка персональных данных.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. Опишите, как будете реагировать на запросы клиентов: куда им писать, чтобы получить ответ, в течение какого срока вы отвечаете, что указывать в обращении.

Клиент ООО "Ромашка" имеет право обратиться в ООО "Ромашка", чтобы скорректировать свои персональные данные, узнать о форме их обработки или потребовать удалить их.

Обращения клиентов принимаются в письменном виде на электронную почту ivanova@romashka.ru. Ответ на обращение направляется клиенту в течение 3-х рабочих дней.

ООО "Ромашка" обязуется информировать клиентов о любых изменениях условий обработки персональных данных.

При достижении целей обработки персональные данные клиентов ООО "Ромашка" подлежат уничтожению.

Ответственный за обработку обращений клиентов — бухгалтер Иванова Анастасия Михайловна; тел. 8 499123-44-22, ivanova@romashka.ru.

Все разделы нужно собрать в документ и выложить на сайт. Посетители должны видеть ссылку, обычно ее ставят в подвале.

Получить согласие покупателей

У 152-ФЗ есть важный принцип: клиент должен разрешить обработку персональных данных.

Чтобы получить согласие, в форму регистрации на сайте добавляют "галочку". Рядом с ней — ссылка на Политику в отношении обработки персональных данных.

Если не отметить вторую "галку", купить на "Озоне" не получится

Не подставляться на мелочах

Интернет-магазины постоянно допускают две простые ошибки. Очень уж велик соблазн: данные вроде бы лежат под ногами, хочется пустить их в дело. Но нет.

Нельзя собирать информацию из якобы открытых источников. У таких источников тоже есть Политика, где прописаны условия использования и обработки данных.

Например, вы изучили интересы московских студентов во "ВКонтакте" и рассылаете им адресные предложения.

Если после такого предложения последует хотя бы одна жалоба в РКН, чиновники вправе выдвинуться с внеплановой проверкой. Придется объяснить, где вы собрали данные и почему тревожите людей без согласия. Могут и еще что-нибудь найти.

Сослаться на открытость данных не получится, потому что Политика "ВКонтакте" защищает персональные данные пользователей от третьих лиц. Это принципиальная позиция социальной сети.

Нельзя обзванивать своих клиентов без согласия. Такие обзвоны легальны, только если вы получили предварительное разрешение. То есть включили в договор пункт "использование данных в рекламных целях по сетям электросвязи". Иначе любое использование данных клиента в целях продвижения товаров будет признано не соответствующим целям их сбора.

"Телефонное" продвижение товаров вызывает интерес еще и Федеральной антимонопольной службы. Рекламируя услуги без согласия абонента, нарушаешь статью 18 закона "О рекламе".

Как собрать данные клиентов и не нарваться на Роскомнадзор

1. Перед запуском магазина отправить уведомление в РКН.
2. Составить Политику в отношении обработки персональных данных, опубликовать ее на сайте.
3. При регистрации на сайте получать у клиентов согласие на обработку персональных данных.
4. Соблюдать цели обработки данных.
5. Следить за планом проверок на сайте РКН.

Помните: чтобы провести внеплановую проверку, Роскомнадзору достаточно одной жалобы от клиента. Не давайте повода.

Читайте также: Персональные данные и интернет-магазин: что к ним относится, как обрабатывать, что грозит при неисполнении.