• 1

Еще в начале этого года госдума внесла изменения в статью 13.11 КоАП о нарушениях в области персональных данных. 1 июля изменения вступили в законную силу. Кого затронут перемены? Каждого, кто собирает, использует и хранит какие-либо личные данные. Если вы – владелец интернет-магазина, то, наверняка, входите в их число. Что изменилось? Штрафы теперь разделили по видам правонарушений и повысили, порой в 10 раз. За отсутствие на интернет-ресурсе политики конфиденциальности – до 10 тыс. руб. для индивидуальных предпринимателей и до 30 тыс. руб. для компаний. За использование личных данных без согласия клиента – до 75 тыс. руб. для юридических лиц. Непосредственно директору компании или ИП придется выложить до 20 тыс. руб. За множественные нарушения грозят множественные штрафы. Срочно приводим в соответствие сайты. Инспекторы уже на пороге До 1 июля составлять протоколы о нарушении закона могла лишь прокуратура. За правонарушения органы правопорядка взыскивали максимум тысячу рублей с ИП и директоров и 10 тыс. руб. с компаний вне зависимости от вида правонарушения. Теперь составлять протоколы доверили Роскомнадзору и он намерен основательно заняться проверками. Как вычислить оператора персональных данных? В понятие «персональные данные» входят любая информация о человеке, по которой можно идентифицировать его личность. В тексте закона увы список этих данных отсутствует, поэтому додумываем самостоятельно. К примеру, только по логину или даже ФИ невозможно определить, что за человек перед нами. Зато по имени в сочетании с номером телефона или адресом электронной почты – вполне. С большой долей вероятности, можно отнести к операторам личных данных всех, кто получает от кого-либо следующую информацию в каком-либо сочетании: имя/фамилию/отчество; физический/электронный адрес/номер телефона; дату/место рождения; фото; ссылки на личный сайт/профили в соцсетях; специальность; уровень образования; семейное положение; величина дохода. Есть на вашем сайте формы захвата, обратной связи, данных для доставки товара, подписка на рассылку, либо регистрация в личном кабинете? Если на портале хоть что-то из этого есть то по закону, владелец ресурса считается оператором персональных данных. Даже безобидная кнопка «заказать обратный звонок» – тоже считается сбором личных данных. Как обращаться с персональными данными, дабы не нарушать закон? Для этого необходимо: брать письменное разрешение на обработку, хранение и распространение персональных данных у каждого пользователя или покупателя; разместить в публичном доступе всю информацию об использовании личных данных пользователей и покупателей; просить оставить лишь ту информацию, которая необходимо для оказания конкретной услуги. К примеру, запрещается требовать оставлять физический адрес или данные паспорта для подписки на информационную e-mail рассылку; использовать данные клиентов только в рамках целей, прописанных в соответствующем соглашении, с которым человек ознакомлен; информировать по запросу пользователя, какая информация о нем собрана, как она собирается и зачем, передается ли они кому-либо; удалять по первой просьбе контакты, использующиеся для рекламных рассылок или обзвонов; защищать базу контактов от утечки информации; обучить персонал правильной работе с персональной информацией; зарегистрироваться в Роскомнадзоре. Еще и где-то регистрироваться надо? Именно. Согласно букве закона все операторы обязаны оповестить Роскомнадзор о своем существовании. Причем делать это стоит до старта процесса сбора и обработки данных или как только узнали о законе, т.е. как можно быстрее. Роскомнадзор поместит данные оператора в специальный реестр и выдаст их, если появится соответствующий запрос. Уведомление можно не посылать, если: используются лишь данные персонала; личные данные взяты лишь для исполнения определенного договора с определенным человеком и далее не будут применяться для иных целей или распространяться; человек сам выложил эти данные в свободном доступе; у вас храниться только ФИО пользователя и никаких других данных нет. Я собираю персональные данные на сайте. Что делать? Если ваш интернет-ресурс все еще не приведен в соответствие с нормой закона, он уже нарушается, и вам уже могут выписать штраф. Причем платить его будет именно владелец сайта, а не веб-студия или программист-удаленщик, который его обслуживает. Штраф выписывается на индивидуального предпринимателя или компанию, указанные на интернет-ресурсе. Что сделать в первую очередь? Подготовьте необходимую документацию и выложите на сайте с возможностью доступа с любой страницы сайта. Не так важно, что конкретно это будет. Lamoda разместила пользовательское соглашение, «Читай-город» – правила продажи, «М-видео», Re:store и Adidas – политику конфиденциальности. Владельцам интернет-магазинов также можно использовать для этих целей Публичную оферту с соответствующими положениями. Нельзя срисовывать под копирку чужие документы. Их хорошо использовать в качестве ориентира, но перечень данных и цели сбора информации нужно писать собственные. То, что необходимо банку для выдачи кредита нет нужды собирать интернет-магазину для отправки заказа или рассылки электронных писем. Запрос на «лишние» данные – уже основание для штрафа. Что обязательно должно быть указано в Публичной оферте или Политике конфиденциальности? Основная информация об операторе личных данных. Цели сбора информации пользователей. Список всех данных, которые собираются интернет-магазином. Список возможных действий по использованию этой информации. Период действия согласия клиента. Порядок отзыва разрешения на сбор данных клиента. Обязательно указывать адрес электронной почты и другие контакты, куда пользователь может обратиться с просьбой удалить его данные из базы. Внедрите решение, позволяющее ясно зафиксировать момент, когда пользователь соглашается на обработку персональных данных. Получить согласие пользователя можно, вставив фразу «Нажимая на кнопку «Продолжить оформление» я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности ознакомлен» в форму, где клиент оставляет данные. Причем последнее предложение должны быть ссылкой на страницу сайта с соответствующим документом. Интернет-магазины также могут использовать вместо Политики конфиденциальности Публичную оферту. И уже в оферте сделать пункт, описывающий условия использования данных клиентов. Название кнопки в вашем интернет-магазине может быть другим, оставляете то, которое уже есть. Также можно получить необходимое разрешение пользователя, если поместить окошко, в котором можно поставить галочку напротив фразы «Я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности ознакомлен». И, чтобы пока пользователь не поставит отметку, он не мог передать свои данные интернет-магазину. Приведите в порядок и внутренние документы об использовании личных данных и ответственности за этого персонала, который с ними работает. Эти регламенты нет необходимости выкладывать в общий доступ, но вы должны быть готовы к возможной проверке. Если вы попали в число операторов по обработке личных данных – обязательно уведомите о своем существовании Роскомнадзор. Если вы считаете, что не являетесь им, оформите документы так, чтобы это было ясно в случае проверки. К примеру, пропишите в политике конфиденциальности, что собираете личные данные лишь для выполнения конкретного договора. Либо пропишите, что на вашем портале данные размещаются в свободном доступе по воле пользователя. Если вы сомневаетесь посылать уведомление или нет, лучше пошлите.