Интернет магазин и закон о персональных данных

Интернет магазин и закон о персональных данных

Полгода назад мы разместили на Мегамозге статью 3 юридические ошибки интернет-магазина, которая вызвала живой интерес у пользователей. Сейчас хочется остановиться на проблеме, которую мы не стали затрагивать в предыдущем материале. Это проблема внедоговорного использования персональных данных пользователей интернет-магазина.

Сразу отметим, что имеется простое решение данной проблемы: для этого достаточно заключить с пользователем договор на использование сервиса интернет-магазина до приобретения в нем товара. Самым простым способом это сделать является принятие Пользовательского соглашения. Однако большинство интернет-магазинов используют стандартную форму оферты, условия которой принимаются после предоставления персональных данных. Т.е. до принятия оферты ПДн используются незаконно.

К сожалению, владельцы интернет-магазинов об этом не задумываются. Оферта на дистанционную продажу товаров включает все правовые условия использования магазина и кажется достаточной. Но так ли это? Давайте разберемся.

Какие условия обычно включает публичная оферта среднестатистического интернет-магазина? Перечень условий достаточно стандартный:

  • Правила регистрации и использования
  • Порядок заказа товара
  • Порядок оплаты
  • Доставка товара
  • Возврат товара и платежа
  • Ограничение ответственности
  • Условия обработки персональных данных
  • Порядок внесения изменений.
  • Вроде бы, это все условия, которые необходимы по законодательству для дистанционной продажи товаров через интернет-магазин. Однако распространенная практика объединения необходимых условий в одном документе имеет существенный порок. В чем он заключается?

    Для продажи и доставки товара интернет-магазин получает персональные данные покупателя или лица, которому вручается товар (выгодоприобретателя). В связи с этим владелец интернет-магазина считается оператором по обработке персональных данных и должен соблюдать соответствующие требования.

    По закону «О персональных данных», не требуется согласие субъекта персональных данных на их обработку в случае, когда обработка персональных данных необходима для заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 п.1 ст.6 ФЗ «О персональных данных»)

    Помимо этого оператор вправе без уведомления Роскомнадзора осуществлять обработку персональных данных, полученных в связи с заключением договора, стороной которого является субъект персональных данных (пп.2 п.2 ст.22 ФЗ «О персональных данных»).

    Следовательно, для применения данных норм необходимо, чтобы обработке ПДн предшествовало заключение договора или начало его оформления.

    Когда происходит заключение договора по оферте? Обычно договор заключается при оплате товара. Когда пользователь знакомится с публичной офертой? В лучшем случае пользователь знакомится с публичной офертой:
    1) перед регистрацией на сайте интернет-магазина;
    2) перед отправкой оформленного заказа на сайте интернет-магазина.
    При этом условия оферты не дифференцируются на те, что применяются до заключения договора купли-продажи товара и после.

    Соответственно, нельзя сказать, что а) с момента регистрации на сайте интернет-магазина, пользователь заключил некий договор на его использование, и б) после оформления и (если требуется) оплаты товара отношения между пользователем и владельцем магазина дополнительно регулируются договором купли-продажи такого товара.

    Помимо этого в последнее время интернет-магазины стараются сократить количество действий в процессе покупки. Поэтому для оформления заказа не требуется предварительная регистрация, а при оформлении заказа — ознакомление с условиями продажи товара.

    Особенно это видно на примере интернет-магазинов розничных сетей. В таком случае товар доставляется со склада в указанный покупателем магазин и там же оплачивается. Таким образом, дистанционная продажа отсутствует, т.к. договор купли-продажи заключается в стационарной точке.

    Данную практику копируют и другие интернет-магазины, не имеющие собственных пунктов выдачи. Здесь товар доставляется наложенным платежом.

    Однако во всех рассмотренных случаях продавцы забывают о том, что при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные. В результате, такие персональные данные обрабатываются на стороне интернет-магазина до заключения договора.

    Поэтому владелец магазина не может ссылаться на положения закона, которые его освобождают от:
    а) получения согласия субъекта персональных данных на их обработку;
    б) уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн.

    Исключить данные риски позволяет простое разделение публичной оферты на 3 документа:

    1) Пользовательское соглашение, которое регулирует условия регистрации на сайте интернет-магазина и бесплатного использования его функционала;
    2) Оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин;
    3) Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по Пользовательскому соглашению и б) договора купли-продажи по оферте.

    Как видите все просто и логично: под каждое действие пользователя свой договор и условия обработки его ПДн. С учетом этого мы разработали Пакет документов интернет-магазина, состоящий из 3х документов вместо стандартной оферты.

    m.habr.com

    Сам себе оператор: простая инструкция для интернет-магазинов, которые не хотят нарушать Закон о персональных данных

    Закон о персональных данных в новой редакции вступил в силу полтора года назад. С тех пор юристы не устают твердить: регистрируйтесь, проверки не за горами. Тем не менее, в полку операторов этих самых персональных данных из числа интернет-магазинов не сильно прибыло. Кто-то по-прежнему уверен, что его это не касается. Другие просто не находят времени, чтобы разобраться в новых правилах. Shopolog составил простой Q&A для тех, кто не хочет нарушать закон, и выяснил, что же все-таки стоит предпринять, чтобы легально собирать базу данных клиентов. На ответы нашего корреспондента ответили эксперты юридической компании “Сенешаль Нейман” и Национальной ассоциации дистанционной торговли.

    Справка Shopolog: Юридическая компания «Сенешаль Нейман» — это эксперт по вопросам правового обеспечения коммерческой деятельности компаний в интернете, в том числе защиты информации и персональных данных, защиты товарных знаков и доменных имен, а также защиты деловой репутации и распространения контента в сети Интернет на территории РФ и за ее пределами. Национальная ассоциация дистанционной торговли — организация, деятельность которой направлена на развитие индустрии дистанционной торговли в России. НАДТ была создана в 2004 г… На сегодняшний день членами НАДТ являются Майл Ордер Сервис (Quelle), Издательский Дом Ридерз Дайджест, Дистрибуционный центр Бертельсман, Ив Роше Восток, Ла Редут Рус, Мир книги, ДИРЕКТ КАТАЛОГ СЕРВИС (ОТТО), Холдинг «Приват Трэйд» (KupiLuxe.ru, KupiVip.ru), и др.

    Shopolog: Какие шаги должен предпринять интернет-магазин, чтобы соблюсти новый Закон о персональных данных?

    Михаил Яценко, Национальная ассоциация дистанционной торговли: Чтобы законно обрабатывать персональные данные, компании нужно зарегистрироваться в качестве оператора персональных данных (кроме случаев, установленных законом “О персональных данных”). Это делается просто: на сайте Роскомнадзора вы заполняете анкету и электронным способом отправляете ее в ведомство. Регистрация носит уведомительный характер. Проблема в другом. Чтобы эту анкету заполнить, вам нужно провести ряд мероприятий внутри компании. Переделать регламенты, форму пользовательского соглашения, назначить ответственных, которые будут защищать персональные данные. Всего около 15 документов, по нашим данным.

    Это относится к любым данным?

    Михаил Яценко, Национальная ассоциация дистанционной торговли: Да, к любым. Есть основные данные — ФИО, дата рождения, адрес. Есть специальные — вероисповедание, диагнозы, долги, сексуальная ориентация. Роскомнадзор не может запретить собирать какие-то данные. Но вы должны объяснить, зачем они вам, что вы с ними собираетесь делать и как будете защищать от утечек.

    Что должен интернет-магазин написать в своем пользовательском соглашении, чтобы этого было достаточно для регулятора и чтобы согласие пользователя на передачу своих ПД считалось зарегистрированным?

    Юридическая компания “Сенешаль Нейман”: Если интернет-магазин не передает данные третьим лицам и использует их только для исполнения договора с пользователем (купли-продажи, сопутствующих услуг), вариантов много: например, можно написать, что если пользователь зарегистрируется на сайте и/или заполнит заявку, предоставляя свои персональные данные, — эти действия будут считаться согласием пользователя на обработку его персональных данных в целях исполнения пользовательского соглашения. Нужно также указать в пользовательском соглашении способ акцепта пользователем соглашения (внесение аванса, регистрация на сайте и т.д.).

    Если магазин собирается передавать данные пользователя третьим лицам в только целях исполнения пользовательского соглашения (например, службе доставки), это нужно специально оговорить, т.к. на передачу данных требуется согласие пользователя. В перечисленных случаях не требуется предварительно уведомлять регулятора об обработке персональных данных оператором. Но следует иметь в виду, что при Интернет-коммуникациях нет гарантии, что заявку на сайте заполняет именно тот человек, чьи данные предоставляются. Кстати, некоторым интернет-магазинам вообще не нужны персональные данные покупателя (например, достаточно имени, контактного e-mail, адреса доставки и т.п.). Если по совокупности информации о покупателе нельзя однозначно определить этого человека (например, некто Иван заказывает товары в офисный центр и оставляет контактный номер телефона), закон о персональных данных эти отношения не регулирует.

    Сегодня на рынке работают компании, которые собирают базы по запросу интернет-магазинов. Кто является оператором персональных данных в этом случае и должен ли интернет-магазин регистрироваться как оператор ПД?

    Юридическая компания “Сенешаль Нейман”: Оператор — тот, кто дает задание на сбор персональных данных, определяет цель, способы, объем их использования. Если интернет-магазин заключил договор с такой компанией и дал ей поручение собирать определенные данные, то оператором является интернет-магазин. И он должен регистрироваться как оператор ПД. Но если интернет-магазин собирает данные у пользователя только для исполнения своего договора с пользователем, закон разрешает не регистрироваться до начала обработки персональных данных при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия пользователя (ст.22 ч.2 п.2 Закона).

    А если интернет-магазин собирает данные для себя, но в перспективе не исключает возможность продажи своей базы?

    Михаил Яценко, Национальная ассоциация дистанционной торговли: В этом случае ответственность так же лежит на магазине. Продажа баз — это нормально, если есть согласие от пользователя на передачу данных третьим лицам. Этот пункт должен быть прописан в пользовательском соглашении. Юридическая компания “Сенешаль Нейман”: И не только на передачу, но и на все прочие способы использования.

    Как может выглядеть согласие? Правда ли, что “галочка” на попап-баннере уже не считается?

    Михаил Яценко, Национальная ассоциация дистанционной торговли: Нет, галочка не считается. Как вы потом докажете, что он поставил эту алочку? Нормы, как следует получать согласие, пока не прописаны. В законе сказано лишь, что это согласие должно быть прямо выражено. То есть пользователь должен понимать, с чем он соглашается. В идеале, согласие лучше фиксировать с помощью аудиозаписи либо просить подпись клиента на бумажном носителе — например, на чеке или на форме заказа. Для получения согласия на сбор специальных данных также потребуются паспортные данные. Также суд не примет к рассмотрению согласие, полученное от клиента как обязательное условие для оформление заказа.

    Юридическая компания “Сенешаль Нейман”: Не совсем так. “Галочка” считается. Но ее легче оспорить, чем письменный документ с подписью. И вообще, согласие, данное по электронной почте или в виде «галочки« в интерфейсе сайта, не гарантирует, что оно получено именно от того человека, чьи персональные данные вы планируете обрабатывать. А чтобы удостовериться в личности человека, нужно проверить его паспорт. То есть без личного контакта нет гарантии законности сбора персональных данных. В идеале необходим личный контакт, предъявление паспорта и (раз человек явился) заключение договора об использовании, распространении персональных данных. При наличии такого договора оператору не нужно заявлять о себе в Роскомнадзор (что потребуется в случае получения просто письменного согласия субъекта ПД в отсутствие договора с оператором — ст.22 закона).

    А если пользователь сначала дал согласие, а потом передумал, как он должен об этом заявить?

    Михаил Яценко, Национальная ассоциация дистанционной торговли: Тоже желательно в письменной форме, не через электронку. Впрочем, если он не хочет получать от вас письма и не согласен дать вам право обрабатывать его данные, стоит ли делать это насильно?

    Юридическая компания “Сенешаль Нейман”: И кстати, имейте в виду, что субъект ПД, то есть пользователь, может в любой момент запретить ранее им разрешенную обработку ПД.

    Какая ответственность предусмотрена за несоблюдение требований закона?

    Михаил Яценко, Национальная ассоциация дистанционной торговли: К вам могут прийти проверяющие — планово или после жалобы. Если проверка обнаружит, что компания не зарегистрирована в качестве оператора персональных данных, но при этом эти данные она собирает, или, например, что пользователь просил удалить его из базы, а его не удалили, — за это предусмотрены санкции. Максимальное наказание — приостановка деятельности предприятия на 90 дней. Но процедура приостановки пока не прописана — и, как следствие, реально не применяется. Что применяют, так это штрафы. Сегодня это в среднем от 5 до 10 тысяч рублей. Впрочем, изменения в КОАП и Уголовный кодекс уже на подходе. Размеры штрафов законодатели обещают увеличить до нескольких миллионов. А за повторное нарушение предусмотреть наказание до 5 лет лишения свободы.

    Следите за публикациями в удобном для вас формате, в Facebook, Вконтакте и Twitter.

    www.shopolog.ru

    Персональные данные: где интернет-магазину «подстелить соломку»?

    С 1 июля ужесточается законодательство о персональных данных. Поэтому интернет-магазины с новой силой вспомнили о 152 ФЗ и задались вопросом – как именно его нужно соблюдать. Тем более, что Роскомнадзор уже начал рассылать «письма счастья», в которых сообщает, что проведен осмотр сайта интернет-магазина, а вот формы для получения согласия на сбор ПДн, увы, не обнаружено.

    В этой статье мы расскажем, как интернет-магазину правильно «подстелить соломки» и обезопасить себя от штрафов.

    Для начала, перечислим самые популярные мифы по персональных данных, не соответствующие действительности.

    Миф 1: принят новый закон

    Закону о персональных данных (152 ФЗ) уже много лет, и основные положения остаются неизменными. Периодически законодатели принимают поправки к закону. Некоторое время назад были введены правила о «локализации ПДн», а с 1 июля ужесточается ответственности для операторов персональных данных. Если конкретнее, вступают в силу изменения в в статью 13.11 КоАП РФ. В новой редакции статьи есть 7 составов правонарушений и прописаны штрафы за них. Что наиболее актуально для интернет-магазинов – предусмотрены штрафы (до 75 тысяч рублей для юрлиц) за:

  • Обработку ПДн без согласия пользователя, полученного в письменной форме.
  • Обработку ПДн в случаях, не предусмотренных законодательством РФ.
  • Непредоставление доступа к документу, определяющему политику оператора в отношении обработки ПДн, и к сведениям о защите персональных данных.
  • Непредоставление субъекту ПДн информации, касающейся обработки его персональных данных
  • Невыполнение оператором при обработке ПДн обязанности по соблюдению сохранности персональных данных при хранении материальных носителей ПДн.
  • Миф 2: персональные данные это только данные паспорта или платежные реквизиты

    Закон отчасти сам вводит нас в заблуждение и содержит очень обтекаемое определение персональных данных. Скажем по практике правоприменения на сегодняшний день. Совершенно точно к ПДн относятся – ФИО, адрес электронной почты, телефон, адрес электронной почты, паспортные данные, платежные реквизиты, данные о здоровье и даже IP-адрес. По сути это любые данные, с помощью которых можно определить конкретное лицо.

    Миф 3: пока не подал уведомление в Роскомнадзор – я не оператор персональных данных

    152 ФЗ указывает, что оператором персональных данных организация становится в ЛЮБОМ случае, когда начинает их обработку. Другими словами, получив данные клиента, вы уже обязаны соблюдать 152 ФЗ.

    Интернет-магазин собирает данные, как правило, через

  • форму заказа;
  • форму подписки на рассылку;
  • форму обратной связи.

Само наличие таких форм на сайте уже означает, что вы стали оператором и начали обработку данных.

Закон действительно обязывает оператора подать уведомление в РКН, но есть и ряд исключений. Самое распространенное из них – получение данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Человеческим языком: если данные получены от покупателя или потенциального покупателя в рамках договора с ним, то подавать уведомление не обязательно.


Миф 4: оператору достаточно разместить сведения о политике конфиденциальности на сайте

На самом деле, закон 152 ФЗ не дает конкретного перечня документов, наличие которых на сайте является достаточным минимумом для законной обработки данных.

Но, с учетом практики, минимальным считается следующий пакет документов, размещенный на сайте:

  1. Договор, определяющего права и обязанности покупателя и продавца;
  2. Политика обработки персональных данных. В этом документе следует определить принципы и цели обработки, порядок обработки данных, сроки хранения, порядок удаления.
  3. Специальная форма согласия пользователя на обработку его данных – если данные собираются до момента акцепта договора. Например, если договор акцептуется при регистрации или заказе товара, а данные на сайте ИМ собираются еще и через форму обратной связи или подписки на рассылку.

В соответствии с ч. 1 ст. 9 №152 ФЗ согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Важно подтвердить,что пользователь согласие давал, а значит, прямо указать, какое действие является согласием (ввод кода, галочка).

Для того, чтобы обезопасить себя, идеально подходит форма двухэтапного получения согласия.

1 этап – пользователь заполняет форму регистрации на сайте, потом нажимает на кнопку «Согласен» или проставляет в чекбоксе автоматическую галочку и отправляет форму регистрации.

Вот пример правильного оформления 1 этапа – форма заказа на сайте «М.Видео»:

Возле чекбокса, который надо активировать, размещена фраза, свидетельствующая о прямом согласии пользователя с политикой конфиденциальности сайта. После нее есть кликабельная ссылка на политику конфиденциальности.

Также на сайте стоит отдельно разместить форму согласия пользователя на получение информационно-рекламных материалов в виде SMS и email-рассылок. Например форма согласия на рассылки на сайте Landcruiserland.toyota.ru выглядит так:

Обратите внимание: недостаточно только одного чекбокса «Согласие на получение рекламно-информационных рассылок». Вы ведь собираете данные посетителей, для того чтобы включить их в рассылку. А значит, надо в первую очередь получить согласие пользователя на обработку его ПДн.

Регистрационные формы или формы на получение рассылок, размещенные на сайтах без чекбокса или другого инструмента получения согласия пользователя нарушают ФЗ-152.

Вот пример формы заказа, которая может обернуться для вас штрафом. Данные вносятся, а получение согласия от пользователя – не предусмотрено. К сожалению, таких примеров на сайтах интернет-магазинов до сих пор много. А как эта форма выглядит у вас?

2 этап – подтверждение регистрации на сайте через заход по ссылке, направленной на электронную почту пользователя.

Обратите внимание: второй этап согласия пользователя важно получить именно через его электронную почту, так как ни законодательство, ни инструкции или рекомендации Роскомнадзора не признают согласия на обработку ПДн, полученного при помощи SMS и по телефону.

Если не предусмотрено двухэтапное согласие пользователя, то лучше внедрить на сайте механизм, который не дает возможности отправить заказ со всеми данными клиента без нажатия кнопки «Согласен на обработку ПДн».

Текст согласия должен быть достаточно понятным и содержать основные моменты:

  • наименование оператора персональных данных;
  • перечень ПДн, на обработку которых пользователь дает согласие;
  • цели обработки ПДн;
  • срок хранения ПДн;
  • положение о передаче ПДн пользователя транспортным компаниям/курьерским службам в целях доставки;
  • положение об обязательстве оператора совершать или не совершать трансграничную передачу ПДн пользователя;
  • согласие пользователя получать рекламную информацию при помощи SMS или по электронной почте.
  • Стоит помнить, что с согласием на обработку данных тесно связано согласие на получение рассылок. Согласие пользователя является обязательным для рассылки рекламы, в соответствии с ч. 1 ст. 18 ФЗ «О рекламе» №38-ФЗ от 13.03.2006.

    Судебная практика за 2017 год по незаконной рекламе, в частности, по sms-рассылкам без получения предварительного согласия, – довольно противоречива. Например, по некоторым делам территориальные управления ФАС ограничиваются вынесением предупреждений недобросовестным операторам ПДн.Так, торговый дом «Связь» в городе Кемерово получил за рассылку рекламных sms без согласия пользователя только предупреждение. В качестве смягчающего обстоятельства в решении суда указывается то, что ТД был замечен за таким административным нарушением в первый раз.

    Однако по некоторым делам о незаконной рекламе ФАС и его территориальные органы применили более серьезные меры. Например: по решению Московского УФАС России от 26.01.2017 г. компания «Мегафон» получила за рассылку рекламных sms штраф в размере 450 000 руб. То же Московское УФАС 05.06.2017 г. возбудило производство против «Вымпелком», по заявлению пользователя, получившего рекламную sms от «Билайна» об акции «Месяц в подарок».

    И самый интересный пример. Московское УФАС возбудило дело в отношении ООО «Приват Трейд» (компания, которой принадлежит KupiVIP). Частное лицо подало жалобу, что ему без его согласия присылали на e-mail письма с сообщениями о скидках и акциях. Теперь компании грозит крупный штраф за нарушение Закон о рекламе (статья 18, ч.1). В таких случаях, если вина компании будет доказана, юрлицо должно заплатить от 100 до 500 тысяч рублей.

    Итак, мы видим, что контроль Роскомнадзора за ecommerce усиливается, а значит, соблюдение 152ФЗ становится жизненно важным.

    oborot.ru

    Интернет-магазины требуют изменить закон «О персональных данных»

    Российская ассоциация электронной торговли готовит предложения к поправкам к федеральному закону № 152 «О персональных данных», которые будут направлены в Государственную думу в начале сентября этого года. Один из пунктов поправок направлен на приравнивание клика к письменному согласию на обработку персональных данных.

    — Если интернет-магазин обрабатывает персональные данные пользователя, то он по действующему законодательству обязан взять письменное согласие на это. В законе нет деления на электронное и неэлектронное согласие, пришло время это исправить, — говорит аналитик Российской ассоциации электронных коммуникаций ( РАЭК) Глеб Шуклин. — Для каждого интернет-магазина брать согласие с пользователя нереально, поэтому клик должен быть приравнен к согласию на законодательном уровне.

    Вопрос о внесении поправок упоминался на заседании комиссии РАЭК по электронной коммерции, проходившем 18 июля. В нем приняли участие крупнейшие представители отрасли, такие как Ассоциация торговых компаний и товаропроизводителей электробытовой и компьютерной техники (РАТЭК) и Национальная ассоциация дистанционной торговли (НАДТ). Присутствующие согласились, что нужно вносить изменения в действующее законодательство.

    — Сегодня нельзя воспользоваться сервисом какого-либо сайта, пока пользователь не поставил галочку, что принимает политику конфиденциальности и политику обработки персональных данных, — говорит аналитик РАЭК Ирина Левова. — Клик — это согласие на какие-то условия, и хотелось бы приравнять его и галочку к письменной форме на обработку персональных данных.

    Закон «О персональных данных» был принят 27 июля 2006 года, а в прошлом году в него были внесены поправки. В них переработаны действующие законодательные нормы, касающиеся обеспечения безопасности персональных данных при их обработке.

    — После их принятия мы возмущались на тему того, что закон не выполним, — вспоминает Левова. — Мы выждали, чтобы убедиться, что он не работает в определенных моментах. И вот начали работать над поправками.

    Статья 9, часть 4 ФЗ «О персональных данных» гласит: «обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных». По поводу данного пункта в Роскомнадзор за разъяснениями обратились представители интернет-магазина Ozon.ru. 31 октября 2011 года они получили ответ (копия есть в распоряжении «Известий»), в котором говорится: «форма согласия (проставление галочки или крестика в поле «Согласен») может быть приравнена к согласию в соответствии с ч. 1 ст. 9 федерального закона, за исключением случаев, предусмотренных федеральным законом, при котором требуется оформление письменного согласия субъекта персональных данных».

    — Разъяснение Роскомнадзора носит неформальный и частный характер, и ссылаться на него как на источник права мы не можем, — говорит замдиректора юридического департамента онлайн-мегамаркета Ozon.ru Надежда Белова. — В то же время оно подтверждает сложившуюся практику в виде получения согласия на обработку персональных данных в форме проставления отметки в специальной графе так называемого «чекбокса», за исключением случаев, когда необходимо получать согласие в письменной форме на включение персональных данных в общедоступные источники персональных данных.

    — В законе написано одно, Роскомнадзор подразумевает другое, и судьи не всегда однозначно трактуют нормы, — поясняет Шуклин. — В каких-то случаях соглашаются, что раз кликнул, то принял условия и приравниваются к письменному согласию, в других случаях — нет.

    По мнению юриста «Инвесткафе» Дмитрия Шилова, изменение закона «О персональных данных» необходимо.

    — Согласно ФЗ № 152 интернет-магазины нарушают действующее законодательство, и потенциально пользователь может потребовать возмещения морального вреда, а также убытков, хоть это маловероятно, так как будет сложно доказать, что данные были получены незаконно, — считает Шилов. — Субъект персональных данных, которым является гражданин, заказывает товар в интернет-магазине. Требования нынешнего законодательства понятны: государство предостерегает утечку персональных данных, которые могут быть использованы, например, для рассылки спама. А это непосредственным образом влияет на законные интересы граждан.

    По мнению Шилова, приравнивание клика к письменному согласию целесообразно, однако и в этом случае могут возникнуть проблемы — например, как подтвердить то, что именно сам гражданин предоставил эти персональные данные?

    После того как поправки будут разработаны, представители РАЭК намерены согласовывать их с Минкомсвязью, Роскомнадзором и с профильным комитетом в Госдуме.

    iz.ru

    Интернет-магазин и персональные данные: рекомендации Роскомнадзора

    Интернет-магазины должны получать согласие пользователей, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений.

    Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

    Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме. Список стран, обеспечивающих адекватную защиту персональных данных, опубликован на Портале персональных данных.

    Интернет-магазины, осуществляющие обработку персональных данных покупателей, обязаны разместить на своем сайте документ, определяющий политику оператора в отношении обработки персональных данных, а также обеспечить локализацию персональных данных российских пользователей на территории Российской Федерации.

    ИНТЕРНЕТ-МАГАЗИН, ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ , ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

    РЕКОМЕНДАЦИИ ПО СОСТАВЛЕНИЮ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ПОРЯДКЕ, УСТАНОВЛЕННОМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  • Примерная структура Политики конфиденциальности (рекомендации Роскомнадзора)

    В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

    2.Цели сбора персональных данных

    Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

    Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

    3.Правовые основания обработки персональных данных

    Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

    В качестве правового основания обработки персональных данных могут быть указаны:

  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы оператора;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

    4.Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям[1] обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

    К категориям субъектов персональных данных могут быть отнесены, в том числе:

    • работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
    • клиенты и контрагенты оператора (физические лица);
    • представители/работники клиентов и контрагентов оператора (юридических лиц).
    • В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

      5. Порядок и условия обработки персональных данных

      В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

      В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных[2]), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

      Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

      Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

      Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

      Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

      Рекомендуется указывать сроки[3] хранения персональных данных.

      При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

      Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.

      6.Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

      В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно[4].

      При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

    • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
    • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
    • Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего[5].

      Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

      [1] Ст. 6 № 152-ФЗ «О персональных данных»

      [2] Ч. 3 ст. 6 № 152-ФЗ «О персональных данных»

      [3] Конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки персональных данных.

      [4] Ст. 21 № 152-ФЗ «О персональных данных»

      [5] Ст. 20 № 152-ФЗ «О персональных данных»

      ecommercelaw.ru

    Смотрите так же:

    • Ст 382 уку Уголовная ответственность за невыполнение судебных решений Уголовная ответственность за невыполнение судебных решений Важным аспектом правосудия является обеспечение быстрого и неотвратимого выполнения судебных решений, вступивших в […]
    • Юристы консультанты по дтп Бесплатная консультация по ДТП Компания «Консультирует юрист» в любое время дня и ночи готова предоставить консультацию юриста при ДТП – бесплатно и с соблюдением полной конфиденциальности. Однажды сев за руль, человек раз и навсегда […]
    • Как подать заявление в школу на сайте госуслуг Инструкции по подаче заявлений в 1 и 10 классы через портал госуслуг. Инструкция по записи ребенка в общеобразовательную организацию на Едином портале государственных и муниципальных услуг в 1 класс — посмотреть Инструкция по записи […]
    • Постановление вс осаго Пленум ВС РФ опубликовал постановление по ОСАГО Пленум Верховного суда РФ закончил обсуждение и перед самыми новогодними праздниками представил общественности окончательный текст постановления по ОСАГО. В документе судьи разъяснили […]
    • Закон о пропускном режиме в школе Закон о пропускном режиме в школе ПОЛОЖЕНИЕ О КОНТРОЛЬНО-ПРОПУСКНОМ РЕЖИМЕ ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО ОБЩЕОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ СРЕДНЕЙ ОБЩЕОБРАЗОВАТЕЛЬНОЙ ШКОЛЫ № 617 ПРИМОРСКОГО РАЙОНА САНКТ-ПЕТЕРБУРГА 1. Общие положения: 1.1. […]
    • Сухоложский городской суд Сухоложский городской суд На страницах нашего сайта Вы можете получить информацию об организационной структуре суда ( судьях , подразделениях суда, контактных телефонах), информацию о режиме работы суда и порядке приема граждан , о […]