Персональные данные: где интернет-магазину "подстелить соломку"?
С 1 июля ужесточается законодательство о персональных данных. Поэтому интернет-магазины с новой силой вспомнили о 152 ФЗ и задались вопросом – как именно его нужно соблюдать. Тем более, что Роскомнадзор уже начал рассылать "письма счастья", в которых сообщает, что проведен осмотр сайта интернет-магазина, а вот формы для получения согласия на сбор ПДн, увы, не обнаружено.
В этой статье мы расскажем, как интернет-магазину правильно "подстелить соломки" и обезопасить себя от штрафов.
Для начала, перечислим самые популярные мифы по персональных данных, не соответствующие действительности.
Миф 1: принят новый закон
Закону о персональных данных (152 ФЗ) уже много лет, и основные положения остаются неизменными. Периодически законодатели принимают поправки к закону. Некоторое время назад были введены правила о "локализации ПДн", а с 1 июля ужесточается ответственности для операторов персональных данных. Если конкретнее, вступают в силу изменения в в статью 13.11 КоАП РФ. В новой редакции статьи есть 7 составов правонарушений и прописаны штрафы за них. Что наиболее актуально для интернет-магазинов – предусмотрены штрафы (до 75 тысяч рублей для юрлиц) за:
- Обработку ПДн без согласия пользователя, полученного в письменной форме.
- Обработку ПДн в случаях, не предусмотренных законодательством РФ.
- Непредоставление доступа к документу, определяющему политику оператора в отношении обработки ПДн, и к сведениям о защите персональных данных.
- Непредоставление субъекту ПДн информации, касающейся обработки его персональных данных
- Невыполнение оператором при обработке ПДн обязанности по соблюдению сохранности персональных данных при хранении материальных носителей ПДн.
Миф 2: персональные данные это только данные паспорта или платежные реквизиты
Закон отчасти сам вводит нас в заблуждение и содержит очень обтекаемое определение персональных данных. Скажем по практике правоприменения на сегодняшний день. Совершенно точно к ПДн относятся – ФИО, адрес электронной почты, телефон, адрес электронной почты, паспортные данные, платежные реквизиты, данные о здоровье и даже IP-адрес. По сути это любые данные, с помощью которых можно определить конкретное лицо.
Миф 3: пока не подал уведомление в Роскомнадзор – я не оператор персональных данных
152 ФЗ указывает, что оператором персональных данных организация становится в ЛЮБОМ случае, когда начинает их обработку. Другими словами, получив данные клиента, вы уже обязаны соблюдать 152 ФЗ.
Интернет-магазин собирает данные, как правило, через
- форму заказа;
- форму подписки на рассылку;
- форму обратной связи.
Например:
Само наличие таких форм на сайте уже означает, что вы стали оператором и начали обработку данных.
Закон действительно обязывает оператора подать уведомление в РКН, но есть и ряд исключений. Самое распространенное из них – получение данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Человеческим языком: если данные получены от покупателя или потенциального покупателя в рамках договора с ним, то подавать уведомление не обязательно.
Миф 4: оператору достаточно разместить сведения о политике конфиденциальности на сайте
На самом деле, закон 152 ФЗ не дает конкретного перечня документов, наличие которых на сайте является достаточным минимумом для законной обработки данных.
Но, с учетом практики, минимальным считается следующий пакет документов, размещенный на сайте:
- Договор, определяющего права и обязанности покупателя и продавца;
- Политика обработки персональных данных. В этом документе следует определить принципы и цели обработки, порядок обработки данных, сроки хранения, порядок удаления.
- Специальная форма согласия пользователя на обработку его данных – если данные собираются до момента акцепта договора. Например, если договор акцептуется при регистрации или заказе товара, а данные на сайте ИМ собираются еще и через форму обратной связи или подписки на рассылку.
В соответствии с ч. 1 ст. 9 №152 ФЗ согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Важно подтвердить,что пользователь согласие давал, а значит, прямо указать, какое действие является согласием (ввод кода, галочка).
Для того, чтобы обезопасить себя, идеально подходит форма двухэтапного получения согласия.
1 этап – пользователь заполняет форму регистрации на сайте, потом нажимает на кнопку "Согласен" или проставляет в чекбоксе автоматическую галочку и отправляет форму регистрации.
Вот пример правильного оформления 1 этапа – форма заказа на сайте "М.Видео":
Возле чекбокса, который надо активировать, размещена фраза, свидетельствующая о прямом согласии пользователя с политикой конфиденциальности сайта. После нее есть кликабельная ссылка на политику конфиденциальности.
Также на сайте стоит отдельно разместить форму согласия пользователя на получение информационно-рекламных материалов в виде SMS и email-рассылок. Например форма согласия на рассылки на сайте Landcruiserland.toyota.ru выглядит так:
Обратите внимание: недостаточно только одного чекбокса "Согласие на получение рекламно-информационных рассылок". Вы ведь собираете данные посетителей, для того чтобы включить их в рассылку. А значит, надо в первую очередь получить согласие пользователя на обработку его ПДн.
Регистрационные формы или формы на получение рассылок, размещенные на сайтах без чекбокса или другого инструмента получения согласия пользователя нарушают ФЗ-152.
Вот пример формы заказа, которая может обернуться для вас штрафом. Данные вносятся, а получение согласия от пользователя – не предусмотрено. К сожалению, таких примеров на сайтах интернет-магазинов до сих пор много. А как эта форма выглядит у вас?
2 этап – подтверждение регистрации на сайте через заход по ссылке, направленной на электронную почту пользователя.
Обратите внимание: второй этап согласия пользователя важно получить именно через его электронную почту, так как ни законодательство, ни инструкции или рекомендации Роскомнадзора не признают согласия на обработку ПДн, полученного при помощи SMS и по телефону.
Если не предусмотрено двухэтапное согласие пользователя, то лучше внедрить на сайте механизм, который не дает возможности отправить заказ со всеми данными клиента без нажатия кнопки "Согласен на обработку ПДн".
Текст согласия должен быть достаточно понятным и содержать основные моменты:
- наименование оператора персональных данных;
- перечень ПДн, на обработку которых пользователь дает согласие;
- цели обработки ПДн;
- срок хранения ПДн;
- положение о передаче ПДн пользователя транспортным компаниям/курьерским службам в целях доставки;
- положение об обязательстве оператора совершать или не совершать трансграничную передачу ПДн пользователя;
- согласие пользователя получать рекламную информацию при помощи SMS или по электронной почте.
Стоит помнить, что с согласием на обработку данных тесно связано согласие на получение рассылок. Согласие пользователя является обязательным для рассылки рекламы, в соответствии с ч. 1 ст. 18 ФЗ "О рекламе" №38-ФЗ от 13.03.2006.
Судебная практика за 2017 год по незаконной рекламе, в частности, по sms-рассылкам без получения предварительного согласия, – довольно противоречива. Например, по некоторым делам территориальные управления ФАС ограничиваются вынесением предупреждений недобросовестным операторам ПДн.Так, торговый дом "Связь" в городе Кемерово получил за рассылку рекламных sms без согласия пользователя только предупреждение. В качестве смягчающего обстоятельства в решении суда указывается то, что ТД был замечен за таким административным нарушением в первый раз.
Однако по некоторым делам о незаконной рекламе ФАС и его территориальные органы применили более серьезные меры. Например: по решению Московского УФАС России от 26.01.2017 г. компания "Мегафон" получила за рассылку рекламных sms штраф в размере 450 000 руб. То же Московское УФАС 05.06.2017 г. возбудило производство против "Вымпелком", по заявлению пользователя, получившего рекламную sms от "Билайна" об акции "Месяц в подарок".
И самый интересный пример. Московское УФАС возбудило дело в отношении ООО "Приват Трейд" (компания, которой принадлежит KupiVIP). Частное лицо подало жалобу, что ему без его согласия присылали на e-mail письма с сообщениями о скидках и акциях. Теперь компании грозит крупный штраф за нарушение Закон о рекламе (статья 18, ч.1). В таких случаях, если вина компании будет доказана, юрлицо должно заплатить от 100 до 500 тысяч рублей.
Итак, мы видим, что контроль Роскомнадзора за ecommerce усиливается, а значит, соблюдение 152ФЗ становится жизненно важным.
И Адидас и Одежда зарегистированы на Иванову И.И.
Деятельность ИМ ведет ИП Иванова И.И.
И вот Ивановой И.И. пришло письмо с претензией от представителя провообладателя. Просят снять переадресацию, ликвидировать домен адидас365 и оплатить 500 тр в досудебном порядке (и угрожают, что в суде придется оплатить еще больше).
Переадресацию снимем, домен ликвидируем.
А вот с 500 тр что делать, коллеги?
Всем спасибо! Свернуть