подписка
Подписаться
Людмила Харитонова
управляющий партнер, "Зарцын и партнеры"
29/11/2017

Обработка персональных данных для интернет-магазинов

Обработка персональных данных для интернет-магазинов

Недавно Роскомнадзор опубликовал рекомендации интернет-магазинам о том, как выполнять требования закона, собирая данные своих клиентов. Мы поясним самые важные из них, опираясь на примеры и судебную практику.

Согласие на обработку

Роскомнадзор обращает особое внимание на необходимость получить согласие пользователя на обработку персональных данных. Согласие можно получить двумя способами: включить этот пункт в договор розничной купли-продажи (публичную оферту) либо составить отдельную форму.

Акцептом, т.е. подписью согласия, может быть простая "галочка", а может – другое действие, например, введение кода, полученного через смс.

Не забудьте, что применение автоматически проставленной "галочки" категорически запрещено. В таком случае вы не сможете доказать, что пользователь совершил активные действия и дал согласие на обработку данных.

Харитонова согласие 1

Что это значит? С одной стороны, ведомство подтвердило возможность использовать галочку для получения согласия покупателя. А значит, интернет-магазины могут исполнить закон без применения сложных механизмов. Но с другой стороны закон указывает, что согласие на обработку персональных данных должно даваться в форме, позволяющей подтвердить факт его получения.

В случае спора, это интернет-магазин должен будет подтвердить, что галочка проставлена именно покупателем, а не наоборот.

И если Роскомнадзор лояльно относится к возможности проставления галочки, то ФАС такой способ категорически не признает.  Учитывая, что именно ФАС рассматривает дела, связанные с незаконными рекламными рассылками, и штраф за такое нарушение составляет 500 000 рублей к мнению ведомства стоит прислушаться.

Так как же не нарушить закон?

Соблюдайте несколько правил:

1) В каждой форме, где пользователь оставляет персональные данные, разместите чек-бокс для проставления галочки и текст «Настоящим даю согласие на обработку персональных данных». Текст должен быть кликабельным. По ссылке должно открываться согласие с указанием необходимого перечня данных.

2) Галочка не должна быть автоматически проставлена.

3) Если форма, которую заполняет пользователь, предназначена для сбора данных для последующей рассылки, рекомендуется в тексте указать примерно следующее:

Настоящим даю: 

  • согласие на обработку персональных данных
  • согласие на получение рекламных рассылок

Тексты этих двух согласий следует разделить. ФАС часто указывает на то, что включение согласия на рассылку в оферту нарушает права  пользователей и не подтверждает, что пользователь согласился на получение рассылок.

4) Помните, что в согласии должен быть указан полный перечень данных, которые вы обрабатываете, а также цель обработки. Если персональные  данные вы собираете несколько раз (например, при регистрации, а потом при заказе), и список и цели обработки данных разные, то и согласия на обработку должны быть разными.

5) Будьте готовы доказать, что факт согласия был. Если вы используете галочку, обязательно храните log-файлы, фиксирующие, что пользователь ее поставил. Log-файлы в случае спора могут быть предоставлены в суд в качестве доказательств, и такое уже было в судебной практике.

«Цена» использования персональных данных без согласия  – штраф от 15 000 до 70 000 руб.

Политика обработки персональных данных (политика конфиденциальности)

Закон обязывает интернет-магазин разместить на сайте документ, описывающий порядок обработки персональных данных. Как правило, он именуется Политикой обработки персональных данных или Политикой конфиденциальности.

Обычно такой документ размещают в виде кликабельной ссылки в подвале сайта.

харитонова согласие1

Роскомнадзор подготовил также и рекомендации по составлению Политики. Вот они.

Политика должна включать в себя:

– раздел с основными понятиями в области персональных данных;

– раздел «Общие положения», с указанием основных прав и обязанностей пользователя и интернет-магазина;

– раздел «Цели сбора ПДн», с описанием целей, для которых вы собираете данные. Учтите, что цели должны совпадать с вашей деятельностью.

– раздел «Правовые основания обработки ПДн». В нем надо указать, на основании чего (какого документа) вы собираете данные. Для интернет-магазина это согласие на обработку данных либо договор розничной купли-продажи.

полный перечень данных, которые вы обрабатываете. Это важное требование. Если по факту Роскомнадзор обнаружит, что вы обрабатываете больше данных, чем указано в согласии на обработку и политике, это будет нарушением. При этом перечень данных должен соответствовать целям обработки. Например, если данные вы обрабатываете только с целью рассылки информации пользователям, то получать их паспортные данные совсем не к чему. Если целью обработки является доставка товара, то излишним будет запрашивать ИНН или дату рождения.

– в разделе «Порядок и условия обработки ПДн» описываются действия, которые вы совершаете с данными, указывается возможность передачи данных третьим лицам или – отдельно – трансграничной  передачи.

Если данные передаются третьим лицам, то рекомендуется указать их реквизиты. Для интернет-магазина это будут курьерские компании, платежные сервисы, компании, занимающиеся рекламными рассылками.

Дополнительно надо указать возможность применения  при обработке данных средств автоматизации, срок хранения данных, порядок отзыва согласия пользователем, а также формы запросов (обращений), которые пользователь  может направить интернет-магазину в связи с обработкой данных.

Нарушение обязанности по размещению политики влечет за собой штраф в размере от 15 000 до 30 000 руб.

Учтите, что Роскомнадзор все серьезнее подходит к контролю за соблюдением законодательства о персональных данных. Ведомство не только реагирует на жалобы пользователей. Специалисты все чаще сами мониторят сайты интернет-магазинов, проверяя, есть ли там согласия на обработку ПДн и Политика. Если ведомство их не обнаружит, а факт сбора данных зафиксирует, то сначала вы получите запрос о предоставлении документов, а потом, скорее всего, к вам придет проверка.

Прокомментировать
Форматирование текста
Читайте также
01/12/2017
"Холодильник.ру" отстоял право на рекламные ролики
А также отсудил обратно 71,3 млн рублей... Подробнее
28/11/2017
У китайских площадок попросят сертификаты
В правительство отправлен законопроект, который ужесточит требования к товарам из китайских интернет-магазинов... Подробнее
Сергей Ершов
Менеджер, Спутник
09/11/2017
Товарные знаки-претензии(( 3
Там расклад примерно такой - у Бренда должна быть зарегистрирована торговая марка в РФ. Только при этом условии они могут что-то предъявить.
Т.е. только у них есть исключительное право на использование этого ТЗ в РФ.
Если в этом случае товар легально завезен в РФ (ими или другой организацией, которая имеет на это право), т.е. введет в гражданский оборот, и куплен потом уже Вами, то магазин имеет полное право делать с товаром что хочет. Это называется - Исчерпание прав на товарный знак. Цену, кстати, они тоже не имеют право диктовать розничную.
Вендоры могут отлавливать серые поставки, если они явно не для РФ произведены, без русского языка, нет маркировок и т.п. Как правило это контрольная закупка причем нотариусом, нотариальное заверение сайта, досудебная претензия.
Т.е. в принципе если товар завезен легально (ну или часть :), то никто ничего не может предъявить. Мы не рассматриваем случай подделок.
Еще
Форум Ведение бизнеса Юридические вопросы