Закон о персональных данных: как собирать базу клиентов легально
Электронная почта: sales@iseo.ru

Закон о персональных данных №152-ФЗ был принят еще в 2006 году. В 2015 г. законом ФЗ-242 операторов персональных данных россиян обязали обрабатывать и хранить эту информацию, используя базы данных, расположенные на территории РФ.
В начале текущего года Госдума ужесточила штрафы за нарушение закона №152-ФЗ. Вместо максимального штрафа до 10 000 руб для юридических лиц вводятся наказания в виде предупреждения или штрафа на сумму до 50 000 руб, а при отсутствии согласия гражданина на обработку персональных данных – до 75 000 руб. Изменения вступят в силу с 1 июля 2017 г.
Мы попросили юристов iConText Group Кайзер Оксану и Казакову Александру пояснить, как интернет-магазинам и другим коммерческим ресурсам взаимодействовать с пользователями в рамках меняющихся реалий.
Оксана Кайзер
Независимый советник по правовым вопросам iConText Group, адвокат, член Адвокатской палаты Московской области.
Александра Казакова
В 2010 году закончила Российский новый университет по специальности «Юриспруденция». С 2017 года работает юристом в компании iConText.
Вопрос. Что считать персональными данными? Относятся ли к ним ФИО, возраст и пол пользователя?
Ответ. Почти любая информация, указанная пользователем о себе в интернет-магазине, подпадает под действие ФЗ №152-ФЗ. Как правило, это не только ФИО, возраст и пол человека, его номер телефона или адрес для доставки товара, но и реквизиты пластиковых карт и другая информация. Интернет-магазин обязан обеспечивать защиту этих сведений от злоумышленников и не предоставлять их третьим лицам.
Если же при взаимодействии с продавцом пользователь указывает только свое имя или nick-name («ник»), данные отношения закон о персональных данных регулировать не будет.
Вопрос. Как компании зарегистрироваться в качестве оператора персональных данных?
Ответ. Можно воспользоваться сайтом Роскомнадзора, заполнив специальную форму данного уведомления. За непредоставление сведений предусмотрен штраф от 3 000 до 5 000 руб. Однако не следует забывать, что закон возлагает на оператора обязанность организовать также внутренний контроль в сфере обработки персональных данных: назначить ответственное лицо, привести в соответствие локальные акты и документы.
Вопрос. Какие акты и документы нужно разработать?
Ответ. Конкретные требования законом не установлены. В целом сложность процедуры только в большом объеме «бумажной работы». Минимум документов, которые должен разработать и принять интернет-магазин, выглядит так:
- Общий документ, определяющий политику фирмы в отношении обработки персональных данных (положение о персональных данных).
- Список лиц, обрабатывающих персональные данные.
- Приказ о назначении сотрудника, ответственного за организацию обработки персональных данных.
- Положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
- Локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.
Вопрос. Продавец зарегистрировался как оператор персональных данных, разработал все вышеуказанные документы и правила внутри компании. Каковы дальнейшие действия? Что нужно обязательно разместить на сайте интернет-магазина, чтобы Роскомнадзор не заблокировал ресурс и продавцу не грозили штрафы?
Ответ. Необходимый минимум действий:
- Использовать сервер, расположенный в России. Убедиться, что базы данных также собираются и обрабатываются на территории РФ.
- Разместить пользовательское соглашение в открытом доступе на сайте. На сайте Tutu.ru создан целый раздел «Правовая информация», где выложены необходимые документы:
- Любые всплывающее окно, баннер или форма обратной связи должны сопровождаться дисклеймером о необходимости принятия пользовательского соглашения и местом для галочки, которую может поставить пользователь (либо кнопкой «да/нет» для выбора варианта).
- Создать раздел «Политика конфиденциальности», в котором приведены все определения и трактовки действий пользователя на сайте, условия его использования и другие аспекты. На Tutu.ru этот раздел выглядит так.
- Разместить на сайте дисклеймер, уведомляющий пользователя о том, что его персональные данные обрабатываются на сайте в целях функционирования ресурса, и, если пользователь не согласен на это, он должен покинуть сайт. В противном случае пользование ресурсом является согласием на обработку его персональных данных.
Вопрос. Что интернет-магазин должен написать в своем пользовательском соглашении, чтобы согласие пользователя на передачу ПД считалось зарегистрированным?
Ответ. В пользовательском соглашении необходимо отразить способы выражения согласия на обработку персональных данных (действия, которые должен произвести субъект). Закон говорит: согласие на обработку персональных данных может быть дано субъектом ПД в любой форме, позволяющей подтвердить факт его получения. Таким согласием можно считать регистрацию пользователя на сайте, заполнение им любой анкеты с персональными сведениями. Все зависит от особенностей сайта интернет-магазина.
Идеально – иметь письменный документ с подписью самого субъекта. В случае судебных тяжб данный документ будет безусловным доказательством волеизъявления субъекта.
Вопрос. Может ли пользователь отозвать свое согласие на предоставление ПД и как это сделать?
Ответ. Пользователь вправе не только отозвать, но и запретить обработку своих персональных данных – причем в любой момент. Решение субъекта об отзыве своего согласия и запрете использовать его ПД необходимо направить оператору персональных данных в письменной форме.
Вопрос. Какая ответственность предусмотрена за несоблюдение требований закона?
Ответ. Персональные данные каждого российского гражданина защищены действующей законодательной базой РФ. К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
- Федеральный закон от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
- Кодекс Российской Федерации об административных правонарушениях.
- Уголовный кодекс Российской Федерации.
- Трудовой кодекс РФ.
- Гражданский кодекс РФ.
Соответственно, за нарушение требований законов в сфере защиты персональных данных предусмотрена административная, гражданско-правовая и уголовная ответственность.
Получить консультацию по нашим продуктам

Подпишитесь на них.
Популярное в блоге
Поисковая оптимизация сайта
События
Google и Яндекс
SEO бюджет
Социальные сети
Интернет-магазин
Контекстная реклама
Контент-маркетинг
Повышение конверсии
Продвижение сайта
Интернет-маркетинг
Интервью
Полезные сервисы

Мы используем файлы «cookie» для улучшения пользования веб-сайтом, персонализации, а также в статистических и исследовательских целях. Если вы продолжите пользоваться нашим сайтом, то мы будем считать, что вы согласны с использование cookie-файлов. Подробнее - о нашей Политике по работе с персональными данными.
ПОИСКОВАЯ ОПТИМИЗАЦИЯ
САЙТОВ И SMM