Еще в начале этого года госдума внесла изменения в статью 13.11 КоАП о нарушениях в области персональных данных. 1 июля изменения вступили в законную силу. Кого затронут перемены? Каждого, кто собирает, использует и хранит какие-либо личные данные. Если вы – владелец интернет-магазина, то, наверняка, входите в их число.
Что изменилось? Штрафы теперь разделили по видам правонарушений и повысили, порой в 10 раз. За отсутствие на интернет-ресурсе политики конфиденциальности – до 10 тыс. руб. для индивидуальных предпринимателей и до 30 тыс. руб. для компаний. За использование личных данных без согласия клиента – до 75 тыс. руб. для юридических лиц. Непосредственно директору компании или ИП придется выложить до 20 тыс. руб. За множественные нарушения грозят множественные штрафы.
Срочно приводим в соответствие сайты. Инспекторы уже на пороге
До 1 июля составлять протоколы о нарушении закона могла лишь прокуратура. За правонарушения органы правопорядка взыскивали максимум тысячу рублей с ИП и директоров и 10 тыс. руб. с компаний вне зависимости от вида правонарушения.
Теперь составлять протоколы доверили Роскомнадзору и он намерен основательно заняться проверками.
Как вычислить оператора персональных данных?
В понятие «персональные данные» входят любая информация о человеке, по которой можно идентифицировать его личность. В тексте закона увы список этих данных отсутствует, поэтому додумываем самостоятельно. К примеру, только по логину или даже ФИ невозможно определить, что за человек перед нами. Зато по имени в сочетании с номером телефона или адресом электронной почты – вполне.
С большой долей вероятности, можно отнести к операторам личных данных всех, кто получает от кого-либо следующую информацию в каком-либо сочетании:
имя/фамилию/отчество;
физический/электронный адрес/номер телефона;
дату/место рождения;
фото;
ссылки на личный сайт/профили в соцсетях;
специальность;
уровень образования;
семейное положение;
величина дохода.
Есть на вашем сайте формы захвата, обратной связи, данных для доставки товара, подписка на рассылку, либо регистрация в личном кабинете? Если на портале хоть что-то из этого есть то по закону, владелец ресурса считается оператором персональных данных. Даже безобидная кнопка «заказать обратный звонок» – тоже считается сбором личных данных.
Как обращаться с персональными данными, дабы не нарушать закон?
Для этого необходимо:
брать письменное разрешение на обработку, хранение и распространение персональных данных у каждого пользователя или покупателя;
разместить в публичном доступе всю информацию об использовании личных данных пользователей и покупателей;
просить оставить лишь ту информацию, которая необходимо для оказания конкретной услуги. К примеру, запрещается требовать оставлять физический адрес или данные паспорта для подписки на информационную e-mail рассылку;
использовать данные клиентов только в рамках целей, прописанных в соответствующем соглашении, с которым человек ознакомлен;
информировать по запросу пользователя, какая информация о нем собрана, как она собирается и зачем, передается ли они кому-либо;
удалять по первой просьбе контакты, использующиеся для рекламных рассылок или обзвонов;
защищать базу контактов от утечки информации;
обучить персонал правильной работе с персональной информацией;
зарегистрироваться в Роскомнадзоре.
Еще и где-то регистрироваться надо?
Именно. Согласно букве закона все операторы обязаны оповестить Роскомнадзор о своем существовании. Причем делать это стоит до старта процесса сбора и обработки данных или как только узнали о законе, т.е. как можно быстрее. Роскомнадзор поместит данные оператора в специальный реестр и выдаст их, если появится соответствующий запрос.
Уведомление можно не посылать, если:
используются лишь данные персонала;
личные данные взяты лишь для исполнения определенного договора с определенным человеком и далее не будут применяться для иных целей или распространяться;
человек сам выложил эти данные в свободном доступе;
у вас храниться только ФИО пользователя и никаких других данных нет.
Я собираю персональные данные на сайте. Что делать?
Если ваш интернет-ресурс все еще не приведен в соответствие с нормой закона, он уже нарушается, и вам уже могут выписать штраф. Причем платить его будет именно владелец сайта, а не веб-студия или программист-удаленщик, который его обслуживает. Штраф выписывается на индивидуального предпринимателя или компанию, указанные на интернет-ресурсе.
Что сделать в первую очередь? Подготовьте необходимую документацию и выложите на сайте с возможностью доступа с любой страницы сайта. Не так важно, что конкретно это будет. Lamoda разместила пользовательское соглашение, «Читай-город» – правила продажи, «М-видео», Re:store и Adidas – политику конфиденциальности. Владельцам интернет-магазинов также можно использовать для этих целей Публичную оферту с соответствующими положениями.
Нельзя срисовывать под копирку чужие документы. Их хорошо использовать в качестве ориентира, но перечень данных и цели сбора информации нужно писать собственные. То, что необходимо банку для выдачи кредита нет нужды собирать интернет-магазину для отправки заказа или рассылки электронных писем. Запрос на «лишние» данные – уже основание для штрафа.
Что обязательно должно быть указано в Публичной оферте или Политике конфиденциальности?
Основная информация об операторе личных данных.
Цели сбора информации пользователей.
Список всех данных, которые собираются интернет-магазином.
Список возможных действий по использованию этой информации.
Период действия согласия клиента.
Порядок отзыва разрешения на сбор данных клиента.
Обязательно указывать адрес электронной почты и другие контакты, куда пользователь может обратиться с просьбой удалить его данные из базы.
Внедрите решение, позволяющее ясно зафиксировать момент, когда пользователь соглашается на обработку персональных данных.
Получить согласие пользователя можно, вставив фразу «Нажимая на кнопку «Продолжить оформление» я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности ознакомлен» в форму, где клиент оставляет данные. Причем последнее предложение должны быть ссылкой на страницу сайта с соответствующим документом. Интернет-магазины также могут использовать вместо Политики конфиденциальности Публичную оферту. И уже в оферте сделать пункт, описывающий условия использования данных клиентов. Название кнопки в вашем интернет-магазине может быть другим, оставляете то, которое уже есть.
Также можно получить необходимое разрешение пользователя, если поместить окошко, в котором можно поставить галочку напротив фразы «Я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности ознакомлен». И, чтобы пока пользователь не поставит отметку, он не мог передать свои данные интернет-магазину.
Приведите в порядок и внутренние документы об использовании личных данных и ответственности за этого персонала, который с ними работает. Эти регламенты нет необходимости выкладывать в общий доступ, но вы должны быть готовы к возможной проверке.
Если вы попали в число операторов по обработке личных данных – обязательно уведомите о своем существовании Роскомнадзор. Если вы считаете, что не являетесь им, оформите документы так, чтобы это было ясно в случае проверки. К примеру, пропишите в политике конфиденциальности, что собираете личные данные лишь для выполнения конкретного договора. Либо пропишите, что на вашем портале данные размещаются в свободном доступе по воле пользователя. Если вы сомневаетесь посылать уведомление или нет, лучше пошлите.