Интернет-магазин: как не попасть в ловушку закона «О персональных данных»

С принятием закона о персональных данных вокруг него в сети ходит много страшилок. Мы не будем устраивать подробный разбор закона и гипотетических рисков с ним связанных, а попытаемся разобраться на реальных примерах, кого и за что штрафует Роскомнадзор и как этих штрафов избежать.

Для начала отмечу, что реальный шанс попасть в поле зрения Роскомнадзора на сегодняшний момент невелик. Тем не менее сам Роскомнадзор планирует наращивать количество возбужденных дел, связанных с нарушениями в области персональных данных, и предпринимает ряд мер, с этим связанных.

А значит, в скором времени Роскомнадзор возможно обратит свое внимание именно на нас.

В первую очередь давайте выясним какой размер штрафов нам грозит на настоящий момент, при обнаружении в деятельности фирмы нарушений, связанных с персональными данными.


Кодекс об административных правонарушениях говорит о том, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Поскольку мы говорим о деятельности фирмы, очевидно, что речь идет о штрафе от пяти тысяч до десяти тысяч рублей. Не стоит забывать о том, что соответствующие госорганы регулярно настаивают на законодательном увеличении штрафа, и такая перспектива вполне вероятна.

Теперь перейдем к примерам из жизни, из которых станет понятно, каких именно угроз, связанных с персональными данными должен опасаться владелец интернет-магазина.

Ситуация № 1:

Летом прошлого года в свободном доступе обнаружились сведения о покупателях 80 интернет-магазинов, среди которых оказались Eleciga.ru, Sexyz.ru, Bagboom.com.ua и другие. В прокуратуру были переданы сведения в отношении 15 магазинов, а дела об административном правонарушении возбуждены в отношении владельцев 6 сайтов.

Как этого избежать:

Необходимо правильно настроить параметры индексации страниц поисковыми системами.

Как стало известно, описанная мной ситуация произошла из-за некорректно настроенного файла robots.txt, в котором записываются специальные инструкции для поисковых роботов. Эти инструкции должны запрещать к индексации страницы на сайте, содержащие сведения о покупателях.

Есть специальные сервисы, например, у Яндекса, которые помогут проверить правильно ли настроен файл robots.txt.

Ситуация № 2:

Из первого примера логично вытекает вопрос о ситуации, когда меры защиты информации о покупателях были правильными, но в результате преднамеренного хищения данных посредством взлома сведения были выложены в сеть, как это произошло, например, с одним секс-шопом и известным сотовым оператором.

Как этого избежать:

Я считаю эту проблему можно решить присвоением покупателю уникального номера, при этом храня сами данные на оффлайновом носителе, доступ к которому обеспечивается сотрудникам, работающим с такими данными на основании подписанного ими положения о персональных данных (конечно, это усложняет процесс обработки, но страхует от проблем с госорганами в будущем). И! Не забываем о том, что в соответствии с п. 7 ст.5 закона “О персональных данных” по достижению целей обработки (выполнения заказа) информация о покупателе должна быть уничтожена. Если мы хотим сохранить такие данные для улучшения качества обслуживания клиентов — этот момент должен быть указан в согласии покупателя на обработку персональных данных.

Ситуация № 3:

У организации, в чью сферу деятельности входила обработка персональных данных граждан, в типовой форме согласия на обработку данных отсутствовало общее описание используемых способов обработки персональных данных. Организация была привлечена к административной ответственности и оштрафована.

Как этого избежать:
Для начала рассмотрим вопрос, должны ли мы вообще брать согласие пользователей на обработку данных. Из закона “О персональных данных” следует, что если обработка персональных данных необходима для исполнения договора, то дополнительного согласия сторон не требуется. В предыдущей статье “Пишем пользовательское соглашение”, мы указали, что Пользовательское соглашение с большой вероятностью признают договором присоединения. А поскольку это договор, то казалось бы, и согласия для его исполнения не нужно. Но во-первых, эта позиция пока не подтверждена официально в законе, а во-вторых мы можем использовать данные клиента и после выполнения заказа, например, для присвоения ему статуса “любимого покупателя”, начисления бонусов и т.п. В связи с этим считаю необходимым разработать Пользовательское соглашение, разделом которого будет согласие пользователя на обработку его персональных данных.

В Пользовательском соглашении указываем:

  • способы обработки персональных данных покупателей,
  • условия, перечисленные в ч.4 ст.9 Закона о персональных данных (таковых много, мы не будем переписывать, поскольку их легко найти),

а также:

  • об обязанности администрации интернет-ресурса обеспечить требования конфиденциальности и безопасности персональных данных при обработке данных пользователя;
  • о возможность удаления персональных данных по требованию лица, которому они принадлежат;
  • об ответственности пользователя за предоставление персональных данных иного лица.

Ко всему прочему в Пользовательском соглашении должно быть указано, что принятие Пользовательского соглашения путем проставления соответствующей отметки является согласием пользователя на обработку персональных данных.

Ситуация № 4:

При проверке организации, в чью деятельность входило работа с персональными данными физических лиц, было установлено отсутствие у неё документов, утверждающих перечень лиц, осуществляющих обработку персональных данных.

По результатам прокурорской проверки в отношении юридического лица возбуждено дело об административном правонарушении.

Как этого избежать:

В Положении о персональных данных указываем лицо, ответственное за организацию обработки персональных данных, а также перечень лиц, непосредственно работающих с персональными данными, либо имеющих к ним доступ.

Ситуация № 5:

В этом примере мы поговорим о конфликтах с покупателями. Нередко клиенты предъявляют претензии к владельцам электронных магазинов в том, что их электронные адреса были использованы сторонними организациями для рекламных рассылок.

Как этого избежать:

Решение задачи будет кратким: Если предоставленные клиентами электронные адреса вы хотите использовать для своих рассылок или собираетесь предоставить эти данные третьим лицам — вы должны для этого получить предварительное согласие адресатов.

Если Вы пользуетесь для рассылок услугами сторонней организации, имеющую свою базу, убедитесь, что согласие адресатов такой организацией получено.

Если производить рассылки вы не собираетесь — соблюдение требований закона “О персональных данных” лучшая защита от любых нападок потребителей и госорганов. По статистики Роскомнадзора жалобы граждан в отношении обсуждаемого вопроса подтвердились лишь в 27% случаев.

В этой статье мы рассмотрели несколько примеров, когда интернет-магазин может попасть в поле зрения Роскомнадзора и, возможно, оштрафован. Надеюсь, описанные выше ситуации и способы их предупреждения помогут встретить любые проверки во всеоружии.

Статья по теме: Как создать интернет магазин

06.02.2013

Интернет-магазин: как не попасть в ловушку закона «О персональных данных»
5 (100%) 4 votes

Статья недели

5 способов изучить спрос на товар до открытия интернет-магазина.

Перед тем, как открыть интернет-магазин, важно выяснить, есть ли на ваш товар достаточный спрос. Я настоятельно рекомендую вам не ...

© 2011-2016

Права на экспертные публикации принадлежат авторам.

Права на комментарии и статьи редакции принадлежат eMagnat.

Реклама на сайте