Вопросы юристу

Обработка персональных данных в интернете

Под персональными данными (ПДн) подразумеваются все сведения, имеющие отношение к конкретному физическому лицу, которое принято считать субъектом персональных данных. Интернетом в настоящее время пользуется большинство населения России. Граждане активно совершают покупки, оформляют сделки, пересылают по Сети большие объемы различной информации.

Поэтому всем, кто заботится о сохранности ПДн и стремится к их максимальной конфиденциальности, важно знать, каким образом и в каких случаях нужно соглашаться на обработку такой информации.

А владельцам интернет-магазинов и других веб-ресурсов необходимо соблюдать требования закона № 152 «О защите персональных данных» и знать, как избежать ответственности в процессе ведения деятельности в Интернете.

Какие сведения являются персональными?

Все данные о любом физическом лице разделяются на три основные категории:

  • Общие – сведения, позволяющие идентифицировать человека. К ним относятся ФИО, дата рождения, а также пол и др.
  • Специальные, позволяющие определить расовую принадлежность, национальность, вероисповедание и др.
  • Биометрические – рост, вес, отпечатки пальцев, состояние здоровья и др.

В Интернете необходимо предоставлять согласие на возможность обработки общих ПДн. Какие именно сведения могут понадобиться, зависит от конкретного ресурса. Обычно операторы запрашивают у физлиц следующую информацию:

  • ФИО; 
  • прописка/место фактического проживания;
  • информация из паспорта;
  • дата рождения;
  • телефонный номер;
  • образование;
  • профессия или занимаемая должность и др.

Когда предоставляется согласие на обработку ПДн

Предоставлять в Интернете согласие на обработку ПДн нужно с целью выполнения договорных условий между сервисом, которым пользуется клиент, и самим клиентом.

Интернет-магазин, являющийся сервисом, обязывается доставить приобретенный пользователем товар и выполнить операцию оплаты (безналичным расчетом или наличными – во время вручения клиенту его товара).

Используются персональные данные физлица также при рассылке рекламы, любой другой информации, если на это клиент предоставил свое согласие.

Нужно учитывать, что такое понятие, как «обработка данных», состоит из различных операций, включающих в себя много разноплановых действий: по их сбору, систематизации, хранению, накоплению, использованию, изменению, передаче, удалению и др.

В связи с этим интернет-ресурс, не являющийся муниципальным, не принадлежащий госучреждению, обязан получить согласие пользователя на выполнение любых действий с его ПДн. Передача сведений третьим лицам возможна, если ситуации, при которых это нужно и можно делать, прописаны в Федеральном законодательстве.

Основным документом, который регулирует все возможные операции с ПДн, является ФЗ № 152.

Обработка персональных данных в Интернете

Соглашение на обработку ПДн в Интернете

Обычно в Интернете применяются похожие пользовательские соглашения с включенным в них пунктом о предоставлении согласия клиента на обработку его ПДн.

Но есть различия в формулировках, обозначениях, количестве статей и др. Это зависит от ресурса, заключающего такое соглашение.

Данное разрешение обычно нужно предоставлять при регистрации на сайте или непосредственно во время заключения договора о предоставлении какой-либо услуги.

Клиенту, прежде чем пройти на следующую страницу после регистрации, к примеру, в интернет-магазине, нужно прочесть пользовательское соглашение и поставить «галочку» в соответствующем поле, что подтверждает его согласие на обработку ПДн.

Соблюдение интернет-ресурсами требований законодательства  

Чтобы не нарушать законодательство о персональных данных, владелец интернет-магазина, другого ресурса должен:

  • выполнять принципы обработки ПДн (не требовать от пользователя лишних данных, не являющихся необходимыми для целей, в отношении которых они запрашиваются);
  • брать согласие у клиента на обработку его ПДн;
  • опубликовать на своем ресурсе политику по обработке персональной информации;
  • предоставить доступ к ПДн их носителям, если от них поступает соответствующий запрос;
  • уточнять, блокировать, удалять или уничтожать ПДн, если их владелец предъявляет такое требование;
  • обезопасить персональные сведения во время их обработки, чтобы третьи лица не имели к ним доступ, нельзя было их скопировать и пр.

Кто является в Интернете оператором ПДн?

  • Статус операторов каждый владелец интернет-ресурса должен определить для себя самостоятельно, исходя из конкретных условий, настроек интернет-магазина, сайта, установленных программ, технических мощностей, задействованных в работе ресурса.
  • Собственник интернет-ресурса не является оператором ПДн, если он не получает, не хранит, не обрабатывает персональную информацию клиентов в любых ее вариациях.
  • Операторами ПДн в Интернете являются владельцы ресурсов, на которых осуществляются:
  • сбор сведений о пользователе-физлице;
  • размещение формы для контактов с администрацией сайта, для регистрации и подписки;
  • заполнение гражданами на сайте предложенных анкет;
  • регистрация пользователя в личном кабинете;
  • размещение различных объявлений;
  • связь с сотрудниками ресурса с помощью кнопки для обратного звонка.

Выполнение оператором ПДн в Интернете требований законодательства

В части 1 пункта 5 статьи 6 ФЗ № 152 указано, что возможна обработка ПДн, если не получено согласие на эти действия от их субъекта, если эта информация используется для:

  • выполнения договорных условий, одна из сторон которых – субъект ПДн;
  • подписания договоров, если инициаторами их подписания выступают субъекты персональной информации;
  • подписания договора, в соответствии с которым физлицо, чьи персональные сведения применяются, выступает в роли поручителя или выгодоприобретателя.

Оператор может не уведомлять Роспотребнадзор об обработке ПДн, полученных при подписании соглашений, если одной из сторон выступает субъект персональной информации. Эта норма прописана в статье 22 закона о персональных данных.

Практическое применение этой нормы закона возможно, если перед обработкой персональных сведений подписывается договор с пользователем ресурса.

На практике во время регистрации, формирования заказов покупателю нужно предоставить свои личные сведения (ФИО, номер телефона, e-mail).

Выходит, что такая информация проходит процесс обработки интернет-магазином до принятия клиентом решения о подписании договора. 

В таком случае собственнику ресурса можно ссылаться на нормы закона, которые освобождают его от:

  • необходимости запрашивать согласие у субъекта ПДн на возможность обработки этой информации;
  • отправки уведомлений надзорному органу – Роскомнадзору – с просьбой о включении в спецреестр операторов ПДн по причине начала их обрабатывания.

С этой целью будет уместно разбить публичную оферту на три документа:

1.Пользовательское соглашение, содержащее основные условия пользования ресурсом, ответственность, возлагаемую на собственника сайта, способы защиты прав непосредственно на ресурс и его контент, возможность использовать рассылки для уведомления клиентов о различных событиях, разрешение спорных моментов.

Данный документ призван выполнить регулирование возможных конфликтов, касающихся объемов услуг, порядка их предоставления клиенту заранее. Такой способ актуален, если физлица размещают на ресурсе компании или ИП определенные сведения от собственного имени.

Владелец магазина, благодаря наличию пользовательского соглашения, может подвергать модерации эти сведения.

2.Публичная оферта, позволяющая продавать продукцию дистанционным способом. В ней описываются условия подписания договора на приобретение чего-либо с помощью интернет-магазина. Он также размещается на данном ресурсе.

3.Политика конфиденциальности с описанием порядка обрабатывания персональной информации, который необходим для подписания договора по использованию интернет-ресурса, имеющего пользовательское соглашение, а также договоров купли-продажи с применением оферты.

Этот документ должен быть утвержден собственником сайта, размещен в его компании непосредственно в офисе (если он есть) в общедоступном месте, а также на сайте. Если используется мобильное приложение, оно также должно содержать этот документ.

Простой способ сделать этот документ доступным для посетителей – опубликовать ссылку на него в футере.

Обработка персональных данных в Интернете

Основные моменты Политики конфиденциальности

Политика является одним из наиболее важных юридических документов в вопросе обработки ПДн. Она обязана содержать:

  • список сведений, собирающихся и обрабатывающихся сайтом, – как ПДн, так и данные, которые собираются в автоматическом режиме: cookie, IP-адрес и пр.;
  • преследуемые цели сбора ПДн и их использования (проведение соцопросов, маркетингового исследования и др.);
  • нормы законодательства по защите персональной информации, включая возможные причины передачи ПДн третьим лицам;
  • возможность внесения изменений в личные сведения непосредственно субъектом;
  • внесение изменений в Политику. Обычно собственник сайта изменяет этот документ без заблаговременного уведомления пользователей. Поэтому им желательно периодически открывать Политику и читать ее, чтобы быть в курсе таких изменений.

Как еще собственнику сайта обезопасить себя?

Если персональные данные собираются еще до того, как будет заключен договор, или владелец сайта сомневается в отношении момента начала сбора персональных данных (это важно во время споров с Роскомнадзором), он может избежать админответственности, если выполнит следующую рекомендацию.

Читайте также:  Наказание за несвоевременную прописку

В мобильных приложениях, на сайтах под каждой формой, в которой предусмотрен ввод информации (регистрационная форма, заявка, форма обратной связи и т. п.

), нужно разместить текстовую информацию со следующим содержанием: «При нажатии кнопки «название кнопки» я соглашаюсь на обработку персональных данных». Слова «соглашаюсь на обработку…» нужно сделать в виде активной ссылки непосредственно на сам документ.

Это не позволит пользователю отправить свои данные, если он не дал на это согласие. В документ также нужно внести условия, установленные ч. 4 ст. 9 ФЗ № 152.

Хостинг и сайт интернет-магазина или другого ресурса должны располагаться в России. Эта норма уже выполняется, так как серверы InSales размещены в РФ.

Также необходимо указать на сайте электронный адрес, который будет использоваться физлицами для переписки с его администрацией по вопросам внесения изменений в ПДн, их удаления, уничтожения и др.

Пользователь сможет задать интересующие его вопросы по своим личным данным.

Рекомендуется создать для этих целей не общий почтовый ящик, а специальный адрес, на который будут поступать письма исключительно по теме персональных данных.

Это позволит снизить вероятность того, что такие обращения затеряются среди множества других писем, будут отправлены в спам. А ответы по ним можно будет легче отслеживать.

Согласие на обработку персональных данных в интернет-магазине: правила настройки + готовый шаблон

Если в вашем интернет-магазине не спрашивается согласие на обработку персональных данных и не прописана «Политика конфиденциальности», по закону 152-ФЗ «О персональных данных» вам грозит штраф.

Объясняем по порядку, о чём речь и что делать, чтобы всё было хорошо.

Что такое персональные данные и кто их собирает

Персональные данные — это все данные, которые посетитель сайта оставляет в формах сбора данных: обратной связи, подписки на рассылку, регистрации или в личном кабинете.

В законе написано, что это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Например:

  • Имя, фамилия и отчество
  • Адрес
  • Email
  • Номер телефона
  • Дата рождения
  • Фотография
  • Ссылки на профили в соцсетях

Причём некоторые данные считаются персональными не сами по себе, а в сочетании друг с другом. Например, по имени, фамилии и отчеству нельзя точно идентифицировать человека, а в сочетании с адресом — можно. Но, чтобы не разбираться в комбинациях, проще считать все эти данные персональными и работать с ними правильно.

Каждый интернет-магазин собирает персональные данные — при оформлении заказа покупатель оставляет свои контакты или адрес. Даже если человек ничего не купил, а просто подписался на рассылку, это тоже считается сбором персональных данных.

По закону просто так собирать персональные данные нельзя. Надо получить осознанное согласие пользователя (то есть потребовать от него какого-то действия, а не просто уведомить) и дать ему знать, как именно его данные будут использоваться. И, конечно, правильно хранить эти данные. Рассказываем, как это делать.

Как собирать персональные данные по закону

Чтобы не нарушать закон и не платить штраф:

  1. Пропишите на сайте «Политику конфиденциальности» — это документ, где вы говорите, какие данные собираете, как храните и используете. Его стоит разместить на отдельной странице.
  2. Во все формы сбора данных на сайте добавьте чекбокс со ссылкой на «Политику». Пользователь должен сам поставить галочку в чекбоксе, чтобы продолжить. Иначе оформить заказ или подписаться на рассылку (или совершить другое действие с предоставлением персональных данных) он не сможет.

Обработка персональных данных в Интернете

Пример формы с согласием на обработку персональных данных

  • В магазине на Эквиде можно быстро настроить согласие на обработку персональных данных по инструкции.
  • Для соблюдения формальностей закона этого будет достаточно.

Постарайтесь не брать у пользователей данные, необязательные для оформления заказа — дата рождения, пол и другие. Необходимость вводить много данных раздражает пользователя. Плюс по закону «обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки». Чтобы никто к вам не придрался, не собирайте лишнего.

Пример политики конфиденциальности (готовый шаблон)

Совместно с юристом мы подготовили шаблон «Политики конфиденциальности» для интернет-магазина:

  1. Скопируйте текст к себе (сам шаблон по ссылке нельзя редактировать, он для общего пользования).
  2. Заполните все пробелы информацией о своей компании (они отмечены красным цветом).
  3. Разместите готовый текст на сайте на отдельной странице.

Обработка персональных данных в Интернете

Скачайте шаблон «Политики конфиденциальности» и используйте в своём магазине

Все формулировки в шаблоне юридически выверены и подойдут большинству интернет-магазинов. Но мы всё равно рекомендуем вам проконсультироваться с юристом: возможно у вашей компании есть особенности и их стоит добавить в политику.

Как хранить данные клиентов

Мало просто добавить на сайт правильный документ и чекбоксы. Данные, которые вам доверил клиент, надо правильно хранить. И не просто потому, что того требует закон. Вряд ли кому-то из ваших клиентов захочется, чтобы их адрес, телефон или другие личные данные оказались в открытом доступе. И они вполне могут пожаловаться, если заподозрят, что утечка данных произошла у вас.

Вот минимальные меры предосторожности, которых стоит придерживаться:

  1. Придумайте надёжный пароль на вход в админку вашего сайта и подключите двухфакторную идентификацию по телефону для входа в почту.
  2. Не копируйте данные клиентов и заказов из админки магазина в документы на компьютере или в сети. Так за их сохранностью будет сложнее уследить.
  3. Предупредите своих сотрудников о том, как обращаться с данными клиентов и почему это важно.

Читайте подробнее, как обеспечить безопасность интернет-магазина и данных клиентов.

И, конечно вы обязаны удалять данные клиентов по их первому требованию.

Что сделать ещё, чтобы работать по закону

Кроме политики конфиденциальности на сайт магазина нужно добавить оферту, плюс можно показывать сообщение о сборе файлов cookie.

  • Оферта Это разновидность договора, где прописываются важные условия работы магазина: доставки, оплаты, возврата. Когда пользователь делает покупку в вашем магазине, он автоматически принимает условия оферты. Это в тексте тоже должно быть прописано. Оферту нужно разместить на отдельной странице сайта.Читайте подробнее, как составить оферту для интернет-магазина.
  • Файлы cookie (куки) Это небольшие фрагменты текста, передаваемые в браузер пользователя с сайта, который он посетил. Куки помогают сайту запомнить информацию о посетителях, например регион, из которого человек заходил на сайт, и собирать статистику. Хорошее объяснение для клиентов, зачем собирать куки, есть на сайте ASOS.Написать об использовании cookie можно в тексте «Политики конфиденциальности» (в нашем шаблоне подходящая формулировка уже есть). Но можно сообщить пользователям об этом отдельно, разместив на сайте всплывающий баннер. В Эквид-магазине для создания такого баннера подойдёт приложение Promo Bar.

Пять ошибок онлайн-магазинов: что нужно знать о сборе согласий на обработку персональных данных

Пандемия заставила многие компании перестроить бизнес-процессы. Если до ковида онлайн-продажи считались дополнением к обычным, то во время самоизоляции обычным каналом продаж стал именно онлайн. Количество интернет-магазинов выросло, оборот онлайн-торговли многократно увеличился, офлайн – резко упал. Но онлайн-торговля имеет дело с персональными данными покупателей.

Анализ информации с сайтов и из приложений интернет-магазинов свидетельствует: должного внимания правовым основаниям для обработки персональных данных онлайн-торговцы не уделяют. Вот пять распространенных ошибок.

Обычно для оформления заказа в интернет-магазине нужно создать учетную запись (личный кабинет): ввести фамилию, имя и отчество, дату рождения, номер мобильного телефона, электронный адрес и т. п. Такой набор личной информации однозначно относит запись к категории персональных данных, а значит, интернет-магазин становится их оператором.

Исполнение договора или просто намерение заключить договор с клиентом – субъектом персональных данных служит основанием для обработки его персональных данных, если клиент сам выступил инициатором договора. Проще говоря, если клиент регистрируется для заказа товара, оставляя персональные данные, необходимые для совершения покупки, их сбор возможен и без отдельного согласия клиента.

Но если интернет-магазин собирает дополнительные персональные данные без привязки к заказу, об их необходимости для исполнении договора говорить нельзя. Например, дата рождения клиента нужна, если у товара есть возрастные ограничения, если же их нет, интернет-компания обязана обозначить цель ее сбора и заручиться согласием клиента на обработку персональных данных.

Рекомендация: набор персональных данных должен соответствовать цели их сбора. Классический пример, когда без согласия не обойтись, – рекламная рассылка. Интернет-магазины регулярно используют персональные данные для прямого маркетинга: оповещают клиентов о товарах, услугах, акциях, скидках и т. п.

Но чтобы делать такую рассылку, интернет-магазин обязан заручиться прямым согласием клиента – общего согласия на обработку персональных данных мало. Интернет-магазины часто автоматически включают в договор согласие на рассылку – чтобы не получать ее, нужно поставить отметку.

Суды скорее одобряют такую практику, но считать согласием отсутствие отказа на получение рассылок все-таки нельзя. Очень важно, чтобы клиент, согласившийся на рассылку, имел возможность в любой момент отказаться от нее.

Рекомендация: на сайте интернет-магазина или в приложении должна быть отдельная веб-форма для согласия на рассылки – причем пользователь должен иметь возможность без промедления отказаться от рассылки в любой момент. Возможность заказать товар или услугу не может зависеть от такого согласия.

В работе сайта или приложения могут принимать участие третьи лица – аналитические сервисы, рекламные агентства и пр. Передача им персональных данных клиентов также может требовать согласия: как правило, третьи лица не участвуют напрямую в исполнении договора, у них иные функции – мониторинг активности, аналитика и т. д.

Читайте также:  Перевод в другое подразделение предприятия

Иногда для передачи третьим лицам персональных данных может потребоваться формальное письменное согласие – если, например, данные передаются на территорию государства, не обеспечивающего адекватную защиту прав субъектов персональных данных. А письменное согласие означает собственноручную подпись клиента или его усиленную электронную подпись.

Рекомендация: простой веб-формой тут не обойтись. Часто интернет-магазины помещают на сайте документы о персональных данных (политику конфиденциальности, пользовательское соглашение и т. п.

– закон обязывает оператора персональных данных обеспечить ознакомление клиента с такими документами) и веб-форму, через которую клиент соглашается с ними, – но не веб-форму для согласия на обработку персональных данных.

Такой подход не всегда корректен: если на обработку персональных данных нужно получить согласие субъекта персональных данных, он должен иметь возможность выразить согласие именно на обработку персональных данных. Пример корректных веб-форм: «Я принимаю условия Политики обработки персональных данных ООО «ХХХ» и настоящим соглашаюсь на обработку ООО «ХХХ» моих персональных данных на сайте ХХХ для цели ХХХ». Рекомендация: не использовать автоматические отметки – если с клиентом возникнет спор, он сможет сослаться на закон, по которому согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Роскомнадзор считает, что предустановленная «галочка» не выражает сознательную волю субъекта на ее проставление. Отсутствие на сайте или в приложении полного текста документов о персональных данных – грубое нарушение закона. Часто интернет-магазины публикуют такие документы только в отношении персональных данных, собираемых с использованием сайта или приложения, а это некорректно. Рекомендация: публиковать документ, описывающий все категории субъектов персональных данных, сведения о которых обрабатывает компания, в том числе о работниках и соискателях.

Возврат к списку

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Год

30000 рублей + НДС

Подписаться Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой E-mail: m.zavyazochnikova@pgplaw.ru Nел. +7 (495) 767 00 07

Юристы «Пепеляев Групп» успешно защитили интересы пациентки в суде по делу, связ…

Александр Кузнецов – автор монографии «Реорганизация хозяйственных обществ: граж…

«Пепеляев Групп» усиливает судебную практику в сфере корпоративных споров

«Пепеляев Групп» усиливает свои позиции в области энергетики

Рекомендации от ФПА РФ: как обезопасить себя от действий мошенников, прикрывающи…

Прецедентный проект «Пепеляев Групп»: Верховный Суд впервые рассмотрел дело о во…

В ведущий международный юридический рейтинг Best Lawyers™ 2022 в России вошли 46…

«Пепеляев Групп» присоединилась к международной ассоциации в области трудового п…

Защита персональных данных. Как защитить свои персональные данные? Ответы на вопросы. Расследование

 Аргументы НеделиАргументы Недели

Это происходит из-за утечки наших данных на «сторону» в грязные руки мошенников, которые наживаются за наш счет. Меня настораживает и волнует то, что сегодня в сети интернет можно легко найти предложения, позволяющие за небольшую сумму в рублях получить копию чужого паспорта или другого документа. Давайте разберемся, что делать, что бы обезопасить себя от мошенников, помня известную латинскую пословицу — Предупреждён, значит вооружен «Praemonitus, praemunitus»!

Мой первый совет человеку который делает ксерокопию документов, главное быть максимально бдительным и проявлять повышенную внимательность, и главное самому следить за всем процессом копирования! Если сотрудник фирмы говорит, я сделаю копию в другой комнате, то вам надо идти с ним, и следить что бы он не похитил ваши персональные данные.

Важно помнить, что источниками утечки вашей персональной информации могут стать даже самые проверенные фирмы и организации. Некоторые сотрудники фирм и государственных учреждений могут войти в сговор со сторонними, третьими лицами, выполняющими копирование документа, и похитить данные человека.

Кто именно, какие сотрудники и из каких учреждений чаще воруют персональные данные?

Мошенники могут совершать противозаконные действия, зная только номер вашего паспорта, ведь в некоторых случаях остальные данные гражданина не требуются. Кто ворует чаще всего персональные данные и зачем. Вот так называемый список риска утечки ваших персональных данных:

Сотрудники банка. когда человек открывал счет, он заполняет анкету (или же сотрудник банка сам заполнял ее за вас). Вы могли когда то давно, открывать депозит или брали кредит в каком то банке и уже забыли о нем, но данные все равно остались в базе банка.

Сотовый оператор, сотрудники компании сотового оператора, интернет — провайдера.

Сотрудники страховой компании, ведь по закону нельзя оформить полис без предъявления вашего паспорта.

Сотрудники частной медицинской клиники пи оформление договора.

Сотрудники почты. При получении посылки или заказного письма нужно было заполнять бланк получения.

Персонал гостиницы отдела размещения в отелях и хостелах. Заселяясь в отель, вы всегда предъявляете свои документы для оформления.

Работники отдела кадров вашей организации или компании. Довольно часто ваши паспортные данные попадают в руки мошенников во время увольнения, обиженный сотрудник, имеющий доступ к такой информации, может легко передать её (или продать) другому лицу.

Все это приводит к тому, что мошенники могут похищать персональные данные практически любого гражданина страны.

Где чаще всего мошенники применяют краденные персональные данные?

Как правило мошенники используют похищенные данные человека для того что бы делать следующие противоправные действия:

Оформлять микрозаймы и микрокредиты;

Совершать всевозможные операции с кредитными или телефонными картами;

Воспользоваться дубликатом похищенных документов для совершения различных сделок;

Забрать квартиру, продать или купить квартиру;

Оформить компанию или ИП. Важно помнить, что сканированные копии документов мошенники используют для оформления подставных фирм или переоформления фирм.

По закону для осуществления таких процедур, необходимо присутствие лично владельца с оригиналом документа паспорта.

Что бы обойти это, мошенники используют своего доверенного сотрудника банка или оператора сотовой связи, юриста или нотариуса.;

Взять кредит в одном из банков;

Участвовать в спортивных тотализаторах или онлайн — играх;

По подложным паспортным данным в РЭУ могут вписывать мертвых душ и получать за них зарплату;

Устроиться на работу по чужим документам , например в такси;

Выполнить свои махинации через сеть интернет и др.

Важно помнить, что мошенники хорошие психологи и их преступления рассчитаны на невнимательность человека, на его доверчивость и рассеянность при работе с документами, а также на халатность сотрудников учреждений при обращении с документами.

По статистике, самым частым способом противоправного использования персональных данных гражданина, а это как правило паспортные данные, является оформление банковских кредитов.

Есть ли закон о защите персональных данных?

Федеральный закон «О персональных данных» No152-ФЗ от 27.07.2006

Надо ли согласие человека на обработку его персональных данных?

Да, надо согласие человека на обработку его персональных данных!

Политика конфиденциальности

Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.  

Почему важно правильно работать с персональными данными

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

  • — Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
  • — Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
  • — Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
  • — Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
  • — Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
  • — Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.
Читайте также:  Получение разрешения на сторительство в зоне подтопления

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб.

/чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему.

На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

  1. Какие термины используют в законе
  2. Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
  3. Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

  1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
  2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
  3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

  • Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
  • Пример политики конфиденциальности
  • В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомите Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

  1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
  2. Пользователи отправляют только ФИО.
  3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России

Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам.

Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на 02.02.2021

Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора

Если предприниматель собирает информацию о клиентах или посетителях своего сайта, он становится оператором персональных данных. К ним относится практически любая информация: телефоны, ссылки на соцсети, адреса. Чтобы правильно обрабатывать данные, нужно выполнять требования Федерального закона № 152-ФЗ. В противном случае бизнес получит солидный штраф от Роскомнадзора.

В журнале Делобанка разобрались, какие данные считаются персональными и как правильно их собирать, чтобы не получить проблем для бизнеса.

Какие данные считаются персональными

Персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Закон не конкретизирует перечень, но обычно суды и Роскомнадзор причисляют к ним:

  • фамилию, имя и отчество человека;
  • дату рождения, паспортные данные;
  • адрес проживания или регистрации;
  • данные о местоположении и перемещениях;
  • номера телефонов, адреса электронной почты;
  • фотографии, видеозаписи с участием человека;
  • IP-адреса устройств, ссылки на учетные записи.

Персональными данными считаются и куки. Это небольшие текстовые файлы, которые хранятся в браузере и содержат информацию о посещённых сайтах: время и дату просмотра, тип устройства, просмотренные товары и страницы. Куки помогают сайтам запоминать пользователей, чтобы не авторизоваться каждый раз. Такие данные относятся к персональным как по отдельности, так и в составе куки-файла.

Как понять, что я оператор персональных данных

Вот простой пример. Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.

Максим недавно открыл барбершоп. До сентября 2020 года он просто давал рекламу и привлекал новых клиентов. Персональные данные Максим не обрабатывал. Когда появилась постоянная аудитория, барбершоп ввёл программу лояльности — скидочные карты. Чтобы их оформить, клиенты оставляют фамилию, имя и номер телефона. Так Максим стал оператором персональных данных.

Операторы персональных данных — это любые компании и ИП, которые собирают информацию о пользователе. Фактически это любой предприниматель, который размещает в интернете формы для:

  • регистрации на сайте;
  • авторизации через соцсети;
  • ответного звонка или сообщения;
  • заказа товара или услуги;
  • подписки на рассылку;
  • обратной связи.

Не имеет значения, как пользователь передает персональную информацию: по почте, на сайте, через соцсеть или в личном разговоре с менеджером. Каждый из случаев — это сбор персональных данных.

Не считаются операторами только:

  • Физические лица, которые собирают данные для личных или семейных нужд. Например, если человек записал номер телефона друга или спросил имейлы коллег, чтобы разослать приглашения на юбилей.
  • Компании, которые обязаны хранить архивные документы по закону «Об архивном деле». Это государственные организации, которые занимаются делами Архивного фонда РФ.
  • Компании, которые обрабатывают данные, отнесенные к гостайне указом Президента. Это органы власти и государственные организации.

Чтобы собирать и обрабатывать персональные данные, не обязательно работать в интернете. Если магазин оформляет дисконтную карту покупателю и спрашивает его номер телефона — это тоже сбор персональных данных.

Как правильно собирать и обрабатывать данные

Интересное

Обработка персональных данных в интернете

Под персональными данными (ПДн) подразумеваются все сведения, имеющие отношение к конкретному физическому лицу, которое принято считать субъектом персональных данных. Интернетом в настоящее время пользуется большинство населения России. Граждане активно совершают покупки, оформляют сделки, пересылают по Сети большие объемы различной информации.

Поэтому всем, кто заботится о сохранности ПДн и стремится к их максимальной конфиденциальности, важно знать, каким образом и в каких случаях нужно соглашаться на обработку такой информации.

А владельцам интернет-магазинов и других веб-ресурсов необходимо соблюдать требования закона № 152 «О защите персональных данных» и знать, как избежать ответственности в процессе ведения деятельности в Интернете.

Какие сведения являются персональными?

Все данные о любом физическом лице разделяются на три основные категории:

  • Общие – сведения, позволяющие идентифицировать человека. К ним относятся ФИО, дата рождения, а также пол и др.
  • Специальные, позволяющие определить расовую принадлежность, национальность, вероисповедание и др.
  • Биометрические – рост, вес, отпечатки пальцев, состояние здоровья и др.

В Интернете необходимо предоставлять согласие на возможность обработки общих ПДн. Какие именно сведения могут понадобиться, зависит от конкретного ресурса. Обычно операторы запрашивают у физлиц следующую информацию:

  • ФИО; 
  • прописка/место фактического проживания;
  • информация из паспорта;
  • дата рождения;
  • телефонный номер;
  • образование;
  • профессия или занимаемая должность и др.

Когда предоставляется согласие на обработку ПДн

Предоставлять в Интернете согласие на обработку ПДн нужно с целью выполнения договорных условий между сервисом, которым пользуется клиент, и самим клиентом.

Интернет-магазин, являющийся сервисом, обязывается доставить приобретенный пользователем товар и выполнить операцию оплаты (безналичным расчетом или наличными – во время вручения клиенту его товара).

Используются персональные данные физлица также при рассылке рекламы, любой другой информации, если на это клиент предоставил свое согласие.

Нужно учитывать, что такое понятие, как «обработка данных», состоит из различных операций, включающих в себя много разноплановых действий: по их сбору, систематизации, хранению, накоплению, использованию, изменению, передаче, удалению и др.

В связи с этим интернет-ресурс, не являющийся муниципальным, не принадлежащий госучреждению, обязан получить согласие пользователя на выполнение любых действий с его ПДн. Передача сведений третьим лицам возможна, если ситуации, при которых это нужно и можно делать, прописаны в Федеральном законодательстве.

Основным документом, который регулирует все возможные операции с ПДн, является ФЗ № 152.

Обработка персональных данных в Интернете

Соглашение на обработку ПДн в Интернете

Обычно в Интернете применяются похожие пользовательские соглашения с включенным в них пунктом о предоставлении согласия клиента на обработку его ПДн.

Но есть различия в формулировках, обозначениях, количестве статей и др. Это зависит от ресурса, заключающего такое соглашение.

Данное разрешение обычно нужно предоставлять при регистрации на сайте или непосредственно во время заключения договора о предоставлении какой-либо услуги.

Клиенту, прежде чем пройти на следующую страницу после регистрации, к примеру, в интернет-магазине, нужно прочесть пользовательское соглашение и поставить «галочку» в соответствующем поле, что подтверждает его согласие на обработку ПДн.

Соблюдение интернет-ресурсами требований законодательства  

Чтобы не нарушать законодательство о персональных данных, владелец интернет-магазина, другого ресурса должен:

  • выполнять принципы обработки ПДн (не требовать от пользователя лишних данных, не являющихся необходимыми для целей, в отношении которых они запрашиваются);
  • брать согласие у клиента на обработку его ПДн;
  • опубликовать на своем ресурсе политику по обработке персональной информации;
  • предоставить доступ к ПДн их носителям, если от них поступает соответствующий запрос;
  • уточнять, блокировать, удалять или уничтожать ПДн, если их владелец предъявляет такое требование;
  • обезопасить персональные сведения во время их обработки, чтобы третьи лица не имели к ним доступ, нельзя было их скопировать и пр.

Кто является в Интернете оператором ПДн?

  • Статус операторов каждый владелец интернет-ресурса должен определить для себя самостоятельно, исходя из конкретных условий, настроек интернет-магазина, сайта, установленных программ, технических мощностей, задействованных в работе ресурса.
  • Собственник интернет-ресурса не является оператором ПДн, если он не получает, не хранит, не обрабатывает персональную информацию клиентов в любых ее вариациях.
  • Операторами ПДн в Интернете являются владельцы ресурсов, на которых осуществляются:
  • сбор сведений о пользователе-физлице;
  • размещение формы для контактов с администрацией сайта, для регистрации и подписки;
  • заполнение гражданами на сайте предложенных анкет;
  • регистрация пользователя в личном кабинете;
  • размещение различных объявлений;
  • связь с сотрудниками ресурса с помощью кнопки для обратного звонка.

Выполнение оператором ПДн в Интернете требований законодательства

В части 1 пункта 5 статьи 6 ФЗ № 152 указано, что возможна обработка ПДн, если не получено согласие на эти действия от их субъекта, если эта информация используется для:

  • выполнения договорных условий, одна из сторон которых – субъект ПДн;
  • подписания договоров, если инициаторами их подписания выступают субъекты персональной информации;
  • подписания договора, в соответствии с которым физлицо, чьи персональные сведения применяются, выступает в роли поручителя или выгодоприобретателя.

Оператор может не уведомлять Роспотребнадзор об обработке ПДн, полученных при подписании соглашений, если одной из сторон выступает субъект персональной информации. Эта норма прописана в статье 22 закона о персональных данных.

Практическое применение этой нормы закона возможно, если перед обработкой персональных сведений подписывается договор с пользователем ресурса.

На практике во время регистрации, формирования заказов покупателю нужно предоставить свои личные сведения (ФИО, номер телефона, e-mail).

Выходит, что такая информация проходит процесс обработки интернет-магазином до принятия клиентом решения о подписании договора. 

В таком случае собственнику ресурса можно ссылаться на нормы закона, которые освобождают его от:

  • необходимости запрашивать согласие у субъекта ПДн на возможность обработки этой информации;
  • отправки уведомлений надзорному органу – Роскомнадзору – с просьбой о включении в спецреестр операторов ПДн по причине начала их обрабатывания.

С этой целью будет уместно разбить публичную оферту на три документа:

1.Пользовательское соглашение, содержащее основные условия пользования ресурсом, ответственность, возлагаемую на собственника сайта, способы защиты прав непосредственно на ресурс и его контент, возможность использовать рассылки для уведомления клиентов о различных событиях, разрешение спорных моментов.

Данный документ призван выполнить регулирование возможных конфликтов, касающихся объемов услуг, порядка их предоставления клиенту заранее. Такой способ актуален, если физлица размещают на ресурсе компании или ИП определенные сведения от собственного имени.

Владелец магазина, благодаря наличию пользовательского соглашения, может подвергать модерации эти сведения.

2.Публичная оферта, позволяющая продавать продукцию дистанционным способом. В ней описываются условия подписания договора на приобретение чего-либо с помощью интернет-магазина. Он также размещается на данном ресурсе.

3.Политика конфиденциальности с описанием порядка обрабатывания персональной информации, который необходим для подписания договора по использованию интернет-ресурса, имеющего пользовательское соглашение, а также договоров купли-продажи с применением оферты.

Этот документ должен быть утвержден собственником сайта, размещен в его компании непосредственно в офисе (если он есть) в общедоступном месте, а также на сайте. Если используется мобильное приложение, оно также должно содержать этот документ.

Простой способ сделать этот документ доступным для посетителей – опубликовать ссылку на него в футере.

Обработка персональных данных в Интернете

Основные моменты Политики конфиденциальности

Политика является одним из наиболее важных юридических документов в вопросе обработки ПДн. Она обязана содержать:

  • список сведений, собирающихся и обрабатывающихся сайтом, – как ПДн, так и данные, которые собираются в автоматическом режиме: cookie, IP-адрес и пр.;
  • преследуемые цели сбора ПДн и их использования (проведение соцопросов, маркетингового исследования и др.);
  • нормы законодательства по защите персональной информации, включая возможные причины передачи ПДн третьим лицам;
  • возможность внесения изменений в личные сведения непосредственно субъектом;
  • внесение изменений в Политику. Обычно собственник сайта изменяет этот документ без заблаговременного уведомления пользователей. Поэтому им желательно периодически открывать Политику и читать ее, чтобы быть в курсе таких изменений.

Как еще собственнику сайта обезопасить себя?

Если персональные данные собираются еще до того, как будет заключен договор, или владелец сайта сомневается в отношении момента начала сбора персональных данных (это важно во время споров с Роскомнадзором), он может избежать админответственности, если выполнит следующую рекомендацию.

Читайте также:  Получение разрешения на сторительство в зоне подтопления

В мобильных приложениях, на сайтах под каждой формой, в которой предусмотрен ввод информации (регистрационная форма, заявка, форма обратной связи и т. п.

), нужно разместить текстовую информацию со следующим содержанием: «При нажатии кнопки «название кнопки» я соглашаюсь на обработку персональных данных». Слова «соглашаюсь на обработку…» нужно сделать в виде активной ссылки непосредственно на сам документ.

Это не позволит пользователю отправить свои данные, если он не дал на это согласие. В документ также нужно внести условия, установленные ч. 4 ст. 9 ФЗ № 152.

Хостинг и сайт интернет-магазина или другого ресурса должны располагаться в России. Эта норма уже выполняется, так как серверы InSales размещены в РФ.

Также необходимо указать на сайте электронный адрес, который будет использоваться физлицами для переписки с его администрацией по вопросам внесения изменений в ПДн, их удаления, уничтожения и др.

Пользователь сможет задать интересующие его вопросы по своим личным данным.

Рекомендуется создать для этих целей не общий почтовый ящик, а специальный адрес, на который будут поступать письма исключительно по теме персональных данных.

Это позволит снизить вероятность того, что такие обращения затеряются среди множества других писем, будут отправлены в спам. А ответы по ним можно будет легче отслеживать.

Согласие на обработку персональных данных в интернет-магазине: правила настройки + готовый шаблон

Если в вашем интернет-магазине не спрашивается согласие на обработку персональных данных и не прописана «Политика конфиденциальности», по закону 152-ФЗ «О персональных данных» вам грозит штраф.

Объясняем по порядку, о чём речь и что делать, чтобы всё было хорошо.

Что такое персональные данные и кто их собирает

Персональные данные — это все данные, которые посетитель сайта оставляет в формах сбора данных: обратной связи, подписки на рассылку, регистрации или в личном кабинете.

В законе написано, что это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Например:

  • Имя, фамилия и отчество
  • Адрес
  • Email
  • Номер телефона
  • Дата рождения
  • Фотография
  • Ссылки на профили в соцсетях

Причём некоторые данные считаются персональными не сами по себе, а в сочетании друг с другом. Например, по имени, фамилии и отчеству нельзя точно идентифицировать человека, а в сочетании с адресом — можно. Но, чтобы не разбираться в комбинациях, проще считать все эти данные персональными и работать с ними правильно.

Каждый интернет-магазин собирает персональные данные — при оформлении заказа покупатель оставляет свои контакты или адрес. Даже если человек ничего не купил, а просто подписался на рассылку, это тоже считается сбором персональных данных.

По закону просто так собирать персональные данные нельзя. Надо получить осознанное согласие пользователя (то есть потребовать от него какого-то действия, а не просто уведомить) и дать ему знать, как именно его данные будут использоваться. И, конечно, правильно хранить эти данные. Рассказываем, как это делать.

Как собирать персональные данные по закону

Чтобы не нарушать закон и не платить штраф:

  1. Пропишите на сайте «Политику конфиденциальности» — это документ, где вы говорите, какие данные собираете, как храните и используете. Его стоит разместить на отдельной странице.
  2. Во все формы сбора данных на сайте добавьте чекбокс со ссылкой на «Политику». Пользователь должен сам поставить галочку в чекбоксе, чтобы продолжить. Иначе оформить заказ или подписаться на рассылку (или совершить другое действие с предоставлением персональных данных) он не сможет.

Обработка персональных данных в Интернете

Пример формы с согласием на обработку персональных данных

  • В магазине на Эквиде можно быстро настроить согласие на обработку персональных данных по инструкции.
  • Для соблюдения формальностей закона этого будет достаточно.

Постарайтесь не брать у пользователей данные, необязательные для оформления заказа — дата рождения, пол и другие. Необходимость вводить много данных раздражает пользователя. Плюс по закону «обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки». Чтобы никто к вам не придрался, не собирайте лишнего.

Пример политики конфиденциальности (готовый шаблон)

Совместно с юристом мы подготовили шаблон «Политики конфиденциальности» для интернет-магазина:

  1. Скопируйте текст к себе (сам шаблон по ссылке нельзя редактировать, он для общего пользования).
  2. Заполните все пробелы информацией о своей компании (они отмечены красным цветом).
  3. Разместите готовый текст на сайте на отдельной странице.

Обработка персональных данных в Интернете

Скачайте шаблон «Политики конфиденциальности» и используйте в своём магазине

Все формулировки в шаблоне юридически выверены и подойдут большинству интернет-магазинов. Но мы всё равно рекомендуем вам проконсультироваться с юристом: возможно у вашей компании есть особенности и их стоит добавить в политику.

Как хранить данные клиентов

Мало просто добавить на сайт правильный документ и чекбоксы. Данные, которые вам доверил клиент, надо правильно хранить. И не просто потому, что того требует закон. Вряд ли кому-то из ваших клиентов захочется, чтобы их адрес, телефон или другие личные данные оказались в открытом доступе. И они вполне могут пожаловаться, если заподозрят, что утечка данных произошла у вас.

Вот минимальные меры предосторожности, которых стоит придерживаться:

  1. Придумайте надёжный пароль на вход в админку вашего сайта и подключите двухфакторную идентификацию по телефону для входа в почту.
  2. Не копируйте данные клиентов и заказов из админки магазина в документы на компьютере или в сети. Так за их сохранностью будет сложнее уследить.
  3. Предупредите своих сотрудников о том, как обращаться с данными клиентов и почему это важно.

Читайте подробнее, как обеспечить безопасность интернет-магазина и данных клиентов.

И, конечно вы обязаны удалять данные клиентов по их первому требованию.

Что сделать ещё, чтобы работать по закону

Кроме политики конфиденциальности на сайт магазина нужно добавить оферту, плюс можно показывать сообщение о сборе файлов cookie.

  • Оферта Это разновидность договора, где прописываются важные условия работы магазина: доставки, оплаты, возврата. Когда пользователь делает покупку в вашем магазине, он автоматически принимает условия оферты. Это в тексте тоже должно быть прописано. Оферту нужно разместить на отдельной странице сайта.Читайте подробнее, как составить оферту для интернет-магазина.
  • Файлы cookie (куки) Это небольшие фрагменты текста, передаваемые в браузер пользователя с сайта, который он посетил. Куки помогают сайту запомнить информацию о посетителях, например регион, из которого человек заходил на сайт, и собирать статистику. Хорошее объяснение для клиентов, зачем собирать куки, есть на сайте ASOS.Написать об использовании cookie можно в тексте «Политики конфиденциальности» (в нашем шаблоне подходящая формулировка уже есть). Но можно сообщить пользователям об этом отдельно, разместив на сайте всплывающий баннер. В Эквид-магазине для создания такого баннера подойдёт приложение Promo Bar.

Пять ошибок онлайн-магазинов: что нужно знать о сборе согласий на обработку персональных данных

Пандемия заставила многие компании перестроить бизнес-процессы. Если до ковида онлайн-продажи считались дополнением к обычным, то во время самоизоляции обычным каналом продаж стал именно онлайн. Количество интернет-магазинов выросло, оборот онлайн-торговли многократно увеличился, офлайн – резко упал. Но онлайн-торговля имеет дело с персональными данными покупателей.

Анализ информации с сайтов и из приложений интернет-магазинов свидетельствует: должного внимания правовым основаниям для обработки персональных данных онлайн-торговцы не уделяют. Вот пять распространенных ошибок.

Обычно для оформления заказа в интернет-магазине нужно создать учетную запись (личный кабинет): ввести фамилию, имя и отчество, дату рождения, номер мобильного телефона, электронный адрес и т. п. Такой набор личной информации однозначно относит запись к категории персональных данных, а значит, интернет-магазин становится их оператором.

Исполнение договора или просто намерение заключить договор с клиентом – субъектом персональных данных служит основанием для обработки его персональных данных, если клиент сам выступил инициатором договора. Проще говоря, если клиент регистрируется для заказа товара, оставляя персональные данные, необходимые для совершения покупки, их сбор возможен и без отдельного согласия клиента.

Но если интернет-магазин собирает дополнительные персональные данные без привязки к заказу, об их необходимости для исполнении договора говорить нельзя. Например, дата рождения клиента нужна, если у товара есть возрастные ограничения, если же их нет, интернет-компания обязана обозначить цель ее сбора и заручиться согласием клиента на обработку персональных данных.

Рекомендация: набор персональных данных должен соответствовать цели их сбора. Классический пример, когда без согласия не обойтись, – рекламная рассылка. Интернет-магазины регулярно используют персональные данные для прямого маркетинга: оповещают клиентов о товарах, услугах, акциях, скидках и т. п.

Но чтобы делать такую рассылку, интернет-магазин обязан заручиться прямым согласием клиента – общего согласия на обработку персональных данных мало. Интернет-магазины часто автоматически включают в договор согласие на рассылку – чтобы не получать ее, нужно поставить отметку.

Суды скорее одобряют такую практику, но считать согласием отсутствие отказа на получение рассылок все-таки нельзя. Очень важно, чтобы клиент, согласившийся на рассылку, имел возможность в любой момент отказаться от нее.

Рекомендация: на сайте интернет-магазина или в приложении должна быть отдельная веб-форма для согласия на рассылки – причем пользователь должен иметь возможность без промедления отказаться от рассылки в любой момент. Возможность заказать товар или услугу не может зависеть от такого согласия.

В работе сайта или приложения могут принимать участие третьи лица – аналитические сервисы, рекламные агентства и пр. Передача им персональных данных клиентов также может требовать согласия: как правило, третьи лица не участвуют напрямую в исполнении договора, у них иные функции – мониторинг активности, аналитика и т. д.

Читайте также:  Возмещение ущерба, причиненного работником в результате дорожно-транспортного происшествия - статьи - консалтинговая группа "аюдар"

Иногда для передачи третьим лицам персональных данных может потребоваться формальное письменное согласие – если, например, данные передаются на территорию государства, не обеспечивающего адекватную защиту прав субъектов персональных данных. А письменное согласие означает собственноручную подпись клиента или его усиленную электронную подпись.

Рекомендация: простой веб-формой тут не обойтись. Часто интернет-магазины помещают на сайте документы о персональных данных (политику конфиденциальности, пользовательское соглашение и т. п.

– закон обязывает оператора персональных данных обеспечить ознакомление клиента с такими документами) и веб-форму, через которую клиент соглашается с ними, – но не веб-форму для согласия на обработку персональных данных.

Такой подход не всегда корректен: если на обработку персональных данных нужно получить согласие субъекта персональных данных, он должен иметь возможность выразить согласие именно на обработку персональных данных. Пример корректных веб-форм: «Я принимаю условия Политики обработки персональных данных ООО «ХХХ» и настоящим соглашаюсь на обработку ООО «ХХХ» моих персональных данных на сайте ХХХ для цели ХХХ». Рекомендация: не использовать автоматические отметки – если с клиентом возникнет спор, он сможет сослаться на закон, по которому согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Роскомнадзор считает, что предустановленная «галочка» не выражает сознательную волю субъекта на ее проставление. Отсутствие на сайте или в приложении полного текста документов о персональных данных – грубое нарушение закона. Часто интернет-магазины публикуют такие документы только в отношении персональных данных, собираемых с использованием сайта или приложения, а это некорректно. Рекомендация: публиковать документ, описывающий все категории субъектов персональных данных, сведения о которых обрабатывает компания, в том числе о работниках и соискателях.

Возврат к списку

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Год

30000 рублей + НДС

Подписаться Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой E-mail: m.zavyazochnikova@pgplaw.ru Nел. +7 (495) 767 00 07

Юристы «Пепеляев Групп» успешно защитили интересы пациентки в суде по делу, связ…

Александр Кузнецов – автор монографии «Реорганизация хозяйственных обществ: граж…

«Пепеляев Групп» усиливает судебную практику в сфере корпоративных споров

«Пепеляев Групп» усиливает свои позиции в области энергетики

Рекомендации от ФПА РФ: как обезопасить себя от действий мошенников, прикрывающи…

Прецедентный проект «Пепеляев Групп»: Верховный Суд впервые рассмотрел дело о во…

В ведущий международный юридический рейтинг Best Lawyers™ 2022 в России вошли 46…

«Пепеляев Групп» присоединилась к международной ассоциации в области трудового п…

Защита персональных данных. Как защитить свои персональные данные? Ответы на вопросы. Расследование

 Аргументы НеделиАргументы Недели

Это происходит из-за утечки наших данных на «сторону» в грязные руки мошенников, которые наживаются за наш счет. Меня настораживает и волнует то, что сегодня в сети интернет можно легко найти предложения, позволяющие за небольшую сумму в рублях получить копию чужого паспорта или другого документа. Давайте разберемся, что делать, что бы обезопасить себя от мошенников, помня известную латинскую пословицу — Предупреждён, значит вооружен «Praemonitus, praemunitus»!

Мой первый совет человеку который делает ксерокопию документов, главное быть максимально бдительным и проявлять повышенную внимательность, и главное самому следить за всем процессом копирования! Если сотрудник фирмы говорит, я сделаю копию в другой комнате, то вам надо идти с ним, и следить что бы он не похитил ваши персональные данные.

Важно помнить, что источниками утечки вашей персональной информации могут стать даже самые проверенные фирмы и организации. Некоторые сотрудники фирм и государственных учреждений могут войти в сговор со сторонними, третьими лицами, выполняющими копирование документа, и похитить данные человека.

Кто именно, какие сотрудники и из каких учреждений чаще воруют персональные данные?

Мошенники могут совершать противозаконные действия, зная только номер вашего паспорта, ведь в некоторых случаях остальные данные гражданина не требуются. Кто ворует чаще всего персональные данные и зачем. Вот так называемый список риска утечки ваших персональных данных:

Сотрудники банка. когда человек открывал счет, он заполняет анкету (или же сотрудник банка сам заполнял ее за вас). Вы могли когда то давно, открывать депозит или брали кредит в каком то банке и уже забыли о нем, но данные все равно остались в базе банка.

Сотовый оператор, сотрудники компании сотового оператора, интернет — провайдера.

Сотрудники страховой компании, ведь по закону нельзя оформить полис без предъявления вашего паспорта.

Сотрудники частной медицинской клиники пи оформление договора.

Сотрудники почты. При получении посылки или заказного письма нужно было заполнять бланк получения.

Персонал гостиницы отдела размещения в отелях и хостелах. Заселяясь в отель, вы всегда предъявляете свои документы для оформления.

Работники отдела кадров вашей организации или компании. Довольно часто ваши паспортные данные попадают в руки мошенников во время увольнения, обиженный сотрудник, имеющий доступ к такой информации, может легко передать её (или продать) другому лицу.

Все это приводит к тому, что мошенники могут похищать персональные данные практически любого гражданина страны.

Где чаще всего мошенники применяют краденные персональные данные?

Как правило мошенники используют похищенные данные человека для того что бы делать следующие противоправные действия:

Оформлять микрозаймы и микрокредиты;

Совершать всевозможные операции с кредитными или телефонными картами;

Воспользоваться дубликатом похищенных документов для совершения различных сделок;

Забрать квартиру, продать или купить квартиру;

Оформить компанию или ИП. Важно помнить, что сканированные копии документов мошенники используют для оформления подставных фирм или переоформления фирм.

По закону для осуществления таких процедур, необходимо присутствие лично владельца с оригиналом документа паспорта.

Что бы обойти это, мошенники используют своего доверенного сотрудника банка или оператора сотовой связи, юриста или нотариуса.;

Взять кредит в одном из банков;

Участвовать в спортивных тотализаторах или онлайн — играх;

По подложным паспортным данным в РЭУ могут вписывать мертвых душ и получать за них зарплату;

Устроиться на работу по чужим документам , например в такси;

Выполнить свои махинации через сеть интернет и др.

Важно помнить, что мошенники хорошие психологи и их преступления рассчитаны на невнимательность человека, на его доверчивость и рассеянность при работе с документами, а также на халатность сотрудников учреждений при обращении с документами.

По статистике, самым частым способом противоправного использования персональных данных гражданина, а это как правило паспортные данные, является оформление банковских кредитов.

Есть ли закон о защите персональных данных?

Федеральный закон «О персональных данных» No152-ФЗ от 27.07.2006

Надо ли согласие человека на обработку его персональных данных?

Да, надо согласие человека на обработку его персональных данных!

Политика конфиденциальности

Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.  

Почему важно правильно работать с персональными данными

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

  • — Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
  • — Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
  • — Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
  • — Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
  • — Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
  • — Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.
Читайте также:  Кредит после смерти заемщика — кто будет платить долги?

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб.

/чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему.

На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

  1. Какие термины используют в законе
  2. Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
  3. Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

  1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
  2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
  3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

  • Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
  • Пример политики конфиденциальности
  • В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомите Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

  1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
  2. Пользователи отправляют только ФИО.
  3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России

Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам.

Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на 02.02.2021

Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора

Если предприниматель собирает информацию о клиентах или посетителях своего сайта, он становится оператором персональных данных. К ним относится практически любая информация: телефоны, ссылки на соцсети, адреса. Чтобы правильно обрабатывать данные, нужно выполнять требования Федерального закона № 152-ФЗ. В противном случае бизнес получит солидный штраф от Роскомнадзора.

В журнале Делобанка разобрались, какие данные считаются персональными и как правильно их собирать, чтобы не получить проблем для бизнеса.

Какие данные считаются персональными

Персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Закон не конкретизирует перечень, но обычно суды и Роскомнадзор причисляют к ним:

  • фамилию, имя и отчество человека;
  • дату рождения, паспортные данные;
  • адрес проживания или регистрации;
  • данные о местоположении и перемещениях;
  • номера телефонов, адреса электронной почты;
  • фотографии, видеозаписи с участием человека;
  • IP-адреса устройств, ссылки на учетные записи.

Персональными данными считаются и куки. Это небольшие текстовые файлы, которые хранятся в браузере и содержат информацию о посещённых сайтах: время и дату просмотра, тип устройства, просмотренные товары и страницы. Куки помогают сайтам запоминать пользователей, чтобы не авторизоваться каждый раз. Такие данные относятся к персональным как по отдельности, так и в составе куки-файла.

Как понять, что я оператор персональных данных

Вот простой пример. Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.

Максим недавно открыл барбершоп. До сентября 2020 года он просто давал рекламу и привлекал новых клиентов. Персональные данные Максим не обрабатывал. Когда появилась постоянная аудитория, барбершоп ввёл программу лояльности — скидочные карты. Чтобы их оформить, клиенты оставляют фамилию, имя и номер телефона. Так Максим стал оператором персональных данных.

Операторы персональных данных — это любые компании и ИП, которые собирают информацию о пользователе. Фактически это любой предприниматель, который размещает в интернете формы для:

  • регистрации на сайте;
  • авторизации через соцсети;
  • ответного звонка или сообщения;
  • заказа товара или услуги;
  • подписки на рассылку;
  • обратной связи.

Не имеет значения, как пользователь передает персональную информацию: по почте, на сайте, через соцсеть или в личном разговоре с менеджером. Каждый из случаев — это сбор персональных данных.

Не считаются операторами только:

  • Физические лица, которые собирают данные для личных или семейных нужд. Например, если человек записал номер телефона друга или спросил имейлы коллег, чтобы разослать приглашения на юбилей.
  • Компании, которые обязаны хранить архивные документы по закону «Об архивном деле». Это государственные организации, которые занимаются делами Архивного фонда РФ.
  • Компании, которые обрабатывают данные, отнесенные к гостайне указом Президента. Это органы власти и государственные организации.

Чтобы собирать и обрабатывать персональные данные, не обязательно работать в интернете. Если магазин оформляет дисконтную карту покупателю и спрашивает его номер телефона — это тоже сбор персональных данных.

Как правильно собирать и обрабатывать данные