Закон о персональных данных: как собирать базу клиентов легально


Закон о персональных данных №152-ФЗ был принят еще в 2006 году. В 2015 г. законом ФЗ-242 операторов персональных данных россиян обязали обрабатывать и хранить эту информацию, используя базы данных, расположенные на территории РФ.

В начале текущего года Госдума ужесточила штрафы за нарушение закона №152-ФЗ. Вместо максимального штрафа до 10 000 руб для юридических лиц вводятся наказания в виде предупреждения или штрафа на сумму до 50 000 руб, а при отсутствии согласия гражданина на обработку персональных данных – до 75 000 руб. Изменения вступят в силу с 1 июля 2017 г.

Мы попросили юристов iConGroup Кайзер Оксану и Казакову Александру пояснить, как интернет-магазинам и другим коммерческим ресурсам взаимодействовать с пользователями в рамках меняющихся реалий.

Оксана Кайзер

Независимый советник по правовым вопросам iConGroup, адвокат, член Адвокатской палаты Московской области.

Александра Казакова

В 2010 году закончила Российский новый университет по специальности «Юриспруденция». С 2017 года работает юристом в компании iConText.

Вопрос. Что считать персональными данными? Относятся ли к ним ФИО, возраст и пол пользователя?

Ответ. Почти любая информация, указанная пользователем о себе в интернет-магазине, подпадает под действие ФЗ №152-ФЗ. Как правило, это не только ФИО, возраст и пол человека, его номер телефона или адрес для доставки товара, но и реквизиты пластиковых карт и другая информация. Интернет-магазин обязан обеспечивать защиту этих сведений от злоумышленников и не предоставлять их третьим лицам.

Если же при взаимодействии с продавцом пользователь указывает только свое имя или nick-name («ник»), данные отношения закон о персональных данных регулировать не будет.

Вопрос. Как компании зарегистрироваться в качестве оператора персональных данных?

Ответ. Можно воспользоваться сайтом Роскомнадзора, заполнив специальную форму данного уведомления. За непредоставление сведений предусмотрен штраф от 3 000 до 5 000 руб. Однако не следует забывать, что закон возлагает на оператора обязанность организовать также внутренний контроль в сфере обработки персональных данных: назначить ответственное лицо, привести в соответствие локальные акты и документы.

Вопрос. Какие акты и документы нужно разработать?

Ответ. Конкретные требования законом не установлены. В целом сложность процедуры только в большом объеме «бумажной работы». Минимум документов, которые должен разработать и принять интернет-магазин, выглядит так:

  1. Общий документ, определяющий политику фирмы в отношении обработки персональных данных (положение о персональных данных).
  2. Список лиц, обрабатывающих персональные данные.
  3. Приказ о назначении сотрудника, ответственного за организацию обработки персональных данных.
  4. Положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
  5. Локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Вопрос. Продавец зарегистрировался как оператор персональных данных, разработал все вышеуказанные документы и правила внутри компании. Каковы дальнейшие действия? Что нужно обязательно разместить на сайте интернет-магазина, чтобы Роскомнадзор не заблокировал ресурс и продавцу не грозили штрафы?

Ответ. Необходимый минимум действий:

  • Использовать сервер, расположенный в России. Убедиться, что базы данных также собираются и обрабатываются на территории РФ.
  • Разместить пользовательское соглашение в открытом доступе на сайте. На сайте Tutu.ru создан целый раздел «Правовая информация», где выложены необходимые документы:

    zpd2.png
  • Любые всплывающее окно, баннер или форма обратной связи должны сопровождаться дисклеймером о необходимости принятия пользовательского соглашения и местом для галочки, которую может поставить пользователь (либо кнопкой «да/нет» для выбора варианта).
  • Создать раздел «Политика конфиденциальности», в котором приведены все определения и трактовки действий пользователя на сайте, условия его использования и другие аспекты. На Tutu.ru этот раздел выглядит так.
  • Разместить на сайте дисклеймер, уведомляющий пользователя о том, что его персональные данные обрабатываются на сайте в целях функционирования ресурса, и, если пользователь не согласен на это, он должен покинуть сайт. В противном случае пользование ресурсом является согласием на обработку его персональных данных.

Вопрос. Что интернет-магазин должен написать в своем пользовательском соглашении, чтобы согласие пользователя на передачу ПД считалось зарегистрированным?

Ответ. В пользовательском соглашении необходимо отразить способы выражения согласия на обработку персональных данных (действия, которые должен произвести субъект). Закон говорит: согласие на обработку персональных данных может быть дано субъектом ПД в любой форме, позволяющей подтвердить факт его получения. Таким согласием можно считать регистрацию пользователя на сайте, заполнение им любой анкеты с персональными сведениями. Все зависит от особенностей сайта интернет-магазина.

Идеально – иметь письменный документ с подписью самого субъекта. В случае судебных тяжб данный документ будет безусловным доказательством волеизъявления субъекта.

Вопрос. Может ли пользователь отозвать свое согласие на предоставление ПД и как это сделать?

Ответ. Пользователь вправе не только отозвать, но и запретить обработку своих персональных данных – причем в любой момент. Решение субъекта об отзыве своего согласия и запрете использовать его ПД необходимо направить оператору персональных данных в письменной форме.

Вопрос. Какая ответственность предусмотрена за несоблюдение требований закона?

Ответ. Персональные данные каждого российского гражданина защищены действующей законодательной базой РФ. К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:

  1. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
  2. Федеральный закон от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
  3. Кодекс Российской Федерации об административных правонарушениях.
  4. Уголовный кодекс Российской Федерации.
  5. Трудовой кодекс РФ.
  6. Гражданский кодекс РФ.

Соответственно, за нарушение требований законов в сфере защиты персональных данных предусмотрена административная, гражданско-правовая и уголовная ответственность.

Комментариев нет
5/5 (100%) 6 голос(ов)
5 6
Просмотров: 1370
 

Оставить комментарий


Имя*
E-Mail (не публикуется)
Комментарий*