 |
Людмила Харитонова
управляющий партнер, "Зарцын и партнеры" |
Недавно Роскомнадзор опубликовал рекомендации интернет-магазинам о том, как выполнять требования закона, собирая данные своих клиентов. Мы поясним самые важные из них, опираясь на примеры и судебную практику.
Согласие на обработку
Роскомнадзор обращает особое внимание на необходимость получить согласие пользователя на обработку персональных данных. Согласие можно получить двумя способами: включить этот пункт в договор розничной купли-продажи (публичную оферту) либо составить отдельную форму.
Акцептом, т.е. подписью согласия, может быть простая "галочка", а может – другое действие, например, введение кода, полученного через смс.
Не забудьте, что применение автоматически проставленной "галочки" категорически запрещено. В таком случае вы не сможете доказать, что пользователь совершил активные действия и дал согласие на обработку данных.
Что это значит? С одной стороны, ведомство подтвердило возможность использовать галочку для получения согласия покупателя. А значит, интернет-магазины могут исполнить закон без применения сложных механизмов. Но с другой стороны закон указывает, что согласие на обработку персональных данных должно даваться в форме, позволяющей подтвердить факт его получения.
В случае спора, это интернет-магазин должен будет подтвердить, что галочка проставлена именно покупателем, а не наоборот.
И если Роскомнадзор лояльно относится к возможности проставления галочки, то ФАС такой способ категорически не признает. Учитывая, что именно ФАС рассматривает дела, связанные с незаконными рекламными рассылками, и штраф за такое нарушение составляет 500 000 рублей к мнению ведомства стоит прислушаться.
Так как же не нарушить закон?
Соблюдайте несколько правил:
1) В каждой форме, где пользователь оставляет персональные данные, разместите чек-бокс для проставления галочки и текст "Настоящим даю согласие на обработку персональных данных". Текст должен быть кликабельным. По ссылке должно открываться согласие с указанием необходимого перечня данных.
2) Галочка не должна быть автоматически проставлена.
3) Если форма, которую заполняет пользователь, предназначена для сбора данных для последующей рассылки, рекомендуется в тексте указать примерно следующее:
Настоящим даю:
- согласие на обработку персональных данных
- согласие на получение рекламных рассылок
Тексты этих двух согласий следует разделить. ФАС часто указывает на то, что включение согласия на рассылку в оферту нарушает права пользователей и не подтверждает, что пользователь согласился на получение рассылок.
4) Помните, что в согласии должен быть указан полный перечень данных, которые вы обрабатываете, а также цель обработки. Если персональные данные вы собираете несколько раз (например, при регистрации, а потом при заказе), и список и цели обработки данных разные, то и согласия на обработку должны быть разными.
5) Будьте готовы доказать, что факт согласия был. Если вы используете галочку, обязательно храните log-файлы, фиксирующие, что пользователь ее поставил. Log-файлы в случае спора могут быть предоставлены в суд в качестве доказательств, и такое уже было в судебной практике.
"Цена" использования персональных данных без согласия – штраф от 15 000 до 70 000 руб.
Политика обработки персональных данных (политика конфиденциальности)
Закон обязывает интернет-магазин разместить на сайте документ, описывающий порядок обработки персональных данных. Как правило, он именуется Политикой обработки персональных данных или Политикой конфиденциальности.
Обычно такой документ размещают в виде кликабельной ссылки в подвале сайта.
Роскомнадзор подготовил также и рекомендации по составлению Политики. Вот они.
Политика должна включать в себя:
– раздел с основными понятиями в области персональных данных;
– раздел "Общие положения", с указанием основных прав и обязанностей пользователя и интернет-магазина;
– раздел "Цели сбора ПДн", с описанием целей, для которых вы собираете данные. Учтите, что цели должны совпадать с вашей деятельностью.
– раздел "Правовые основания обработки ПДн". В нем надо указать, на основании чего (какого документа) вы собираете данные. Для интернет-магазина это согласие на обработку данных либо договор розничной купли-продажи.
– полный перечень данных, которые вы обрабатываете. Это важное требование. Если по факту Роскомнадзор обнаружит, что вы обрабатываете больше данных, чем указано в согласии на обработку и политике, это будет нарушением. При этом перечень данных должен соответствовать целям обработки. Например, если данные вы обрабатываете только с целью рассылки информации пользователям, то получать их паспортные данные совсем не к чему. Если целью обработки является доставка товара, то излишним будет запрашивать ИНН или дату рождения.
– в разделе "Порядок и условия обработки ПДн" описываются действия, которые вы совершаете с данными, указывается возможность передачи данных третьим лицам или – отдельно – трансграничной передачи.
Если данные передаются третьим лицам, то рекомендуется указать их реквизиты. Для интернет-магазина это будут курьерские компании, платежные сервисы, компании, занимающиеся рекламными рассылками.
Дополнительно надо указать возможность применения при обработке данных средств автоматизации, срок хранения данных, порядок отзыва согласия пользователем, а также формы запросов (обращений), которые пользователь может направить интернет-магазину в связи с обработкой данных.
Нарушение обязанности по размещению политики влечет за собой штраф в размере от 15 000 до 30 000 руб.
Учтите, что Роскомнадзор все серьезнее подходит к контролю за соблюдением законодательства о персональных данных. Ведомство не только реагирует на жалобы пользователей. Специалисты все чаще сами мониторят сайты интернет-магазинов, проверяя, есть ли там согласия на обработку ПДн и Политика. Если ведомство их не обнаружит, а факт сбора данных зафиксирует, то сначала вы получите запрос о предоставлении документов, а потом, скорее всего, к вам придет проверка.
Читайте также: Персональные данные и интернет-магазин: что к ним относится, как обрабатывать, что грозит при неисполнении.
 |
|
 |
Максим Пименов
редактор клиентских рассылок, DaData.ru и HFLabs |
|
|
|
