Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данныхСервер, на котором сидит их магазин, за границей. Интересуются, что делать, надо ли сильно напрягаться. Сразу оговорюсь, что магазин на самописной системе управления, в которую заложены вещи для соответствия 152-ФЗ «О персональных данных». Из моего текста будет понятно, что придется править другим.
8. Невыполнение оператором при сборе персональных данных… обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения… или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, — … на юридических лиц (и ИП) — от одного миллиона до шести миллионов рублей.
Сразу начну с миллионных штрафов. Заявляйте Роскомнадзору, что хотя сайт и расположен за границей, обработка производится в России. Пользователь при оформлении заказа вводит свои персональные данные, которые сразу пересылаются для обработки в Россию. Персональные данные столько сколько желает пользователь хранятся на его устройстве в кукисах. Сервер за границей – простое передаточное звено. При его отключении все полученные заказы будут исполнены. Старайтесь ограничиться при общении этим. Прав требовать что-то большее у Роскомнадзора практически нет.
Все, что я пишу – это ни в коем случае не истина в последней инстанции. Я обозначаю только позицию, которой необходимо придерживаться в общении с Роскомнадзором и при плохом стечении обстоятельств в суде.
Определяя политику обработки персональных данных, прочитайте полностью статью 13.11. из КоАП. Все, что не упоминается в этой статье, сразу забудьте. Не штрафуют и ладно.
Опубликованная на сайте «Политика по обработке персональных данных» должна быть минимальной и содержать что-то типа такого: «Обработка персональных данных производится для исполнения договора-оферты, а также для заключения договора по инициативе субъекта персональных данных. Оператор реализует необходимые меры по защите персональных данных». По факту — это краткое изложение пп.5 п.1 ст.6 152-ФЗ и п. 3 ст. 13.11 КоАП. Не забудьте только поставить ссылку на файл с таким содержимым хотя бы с главной страницы сайта под названием «Политика конфиденциальности».
С такой политикой вы сразу снимаете с себя необходимость регистрации в реестре операторов персональных данных, вам не надо ломать голову, как оформлять документы для почты и курьерских служб. Вам не требуется брать согласие с пользователя на обработку персональных данных.
В течение месяца после исполнения заказа все персональные данные клиента необходимо удалить, либо обезличить.
Сразу встает вопрос, как поступать с невыкупщиками, которые не оплатили стоимость доставки. Их персональные данные вы имеете право хранить, пока они не закрыли свой долг. По закону клиент обязан компенсировать затраты на доставку невыкупленного качественного товара даже в том случае, если доставка на сайте условно «бесплатная». В оферте это лучше прописать. Хотя это положение федерального закона действует вне зависимости от желаний продавца или покупателя, для обработки персональных данных при такой записи сразу отпадают претензии кого-либо, что договор еще находится в процессе исполнения.
Очевидно, что нормальные продавцы таким клиентам напоминания не шлют, там геморроя больше, чем реальных денег можно получить, но в тот момент, когда невыкупщик сделал новый заказ, ему сразу напоминают, о том, что сначала надо погасить долг от предыдущего заказа. И пусть с ним теперь конкуренты страдают.
Не собирайте контакты, чтобы срать «пользователям» спамом. Это само по себе грех, а сделать это законно очень сложно. Я понимаю, что маркетологи меня закидают тухлыми яйцами, но если хотите спокойно спать, этим заниматься не надо.
Если же невтерпеж заниматься продажами через подписки, то позаимствуйте документы с сайта эльдорадо. При подготовке статьи я открыл список интернет-магазинов, чтобы примеры приводить. И был удивлен, когда оказалось, что в эльдорадо смогли красиво все оформить.
А вот большинство других магазинов просто просят внимания проверяющих.
Основные ошибки:
- Нет ссылки на политику по обработке персональных данных (п.3 статьи 13.11. из КоАП от 5 до 30 тыс. руб. для ИП и юрлиц).
- Дают пользователю поставить галку на согласие на обработку персональных данных, а ссылку дают на политику по обработке персональных данных. Фактически политика не может считаться согласием. Это разные документы.
- Предлагают единое согласие на все, где хотят неограниченно долго обрабатывать персональные данные и дальше идет огромный список целей.
Остановлюсь на последнем. «Умники»-маркетологи считают, что при продаже товара надо пользователю подсунуть согласие на обработку персональных данных, в котором указать помимо прочего еще и возможность дальнейших контактов с клиентом неограниченно долго по инициативе магазина. И в их мечтах это законно.
На самом же деле внимательно читаем 152-ФЗ:
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.Отсюда может получиться ситуация: субъект персональных данных купил товар, поставив галку на согласие по обработке персональных данных. Многие магазины просто не дают оформить заказ без этой галки. Получив очередную рассылку, которая ему даром не нужна, пишется заявление в Роскомнадзор, что он не давал согласия на обработку персональных данных в рекламных целях. В своем интересе он соглашался на обработку персональных данных в целях получения товара, все остальные цели ему были навязаны.
Соответственно письменное согласие, не соответствует требованиям закона и обработка персональных данных, требующая согласия, фактически произведена без его законного получения. Роскомнадзор обязан открыть административное дело по п. 2 статьи 13.11 КоАП (от 10 до 75 тыс. руб. для ИП и юрлиц).
Для тех, кто не сталкивался с государственной машиной, сразу могу сказать, что первая встреча без поддержки хорошего юриста будет не в вашу пользу. Если в комментариях будет проявлен интерес по разбору граблей, на которые я наступал, то могу во второй части рассказать, как я с помощью представителя Роскомнадзора не смог доказать в суде, что адрес моего проживания является моими персональными данными!
P.S.: Очень рекомендую всем прочитать акты, относящиеся к средствам защиты персональных данных и внедрить хотя бы то, что не требует вложений. Например, проводя вовремя удаление персональных данных, можно обезопасить себя от сотрудников, которые в новогодние праздники решили стать вашими конкурентами, прихватив базу тех, кто когда-то раньше были вашими клиентами.
andToxa
Newm Автор
Суд по персональным данным у меня был не относящимся к интернет-магазинам.
Общение по интернет-магазину знакомых состояло в переписке:
Роскомнадзор: «Почему не зарегистрированы как операторы ПД?»
Ответ: «Потому что не должны.»
Ну, естественно и они и мы ссылались на 152-ФЗ.
И разбор имеющейся судебной практики по регионам, где Роскомнадзор свирепствовал. Вот там сразу становится понятным, что Роскомнадзор просто пользовался тем, что когда у тебя просто форма обратной связи, а тебе вменяют незаконную обработку ПД, ты впадаешь в шок. Там люди, судя по судебным решениям, абсолютно неправильно строили свою защиту. Впрочем это не удивительно, именно поэтому и говорю, что первые столкновения производить с приличными юристами, хотя это и дороговато.