Закон про персональні дані: як збирати базу клієнтів легально


Закон про персональні дані №152-ФЗ був прийнятий ще в 2006 році. У 2015 р законом ФЗ-242 операторів персональних даних росіян зобов'язали обробляти і зберігати цю інформацію, використовуючи бази даних, розташовані на території РФ.

На початку поточного року Держдума посилила штрафи за порушення закону №152-ФЗ. Замість максимального штрафу до 10 000 руб для юридичних осіб вводяться покарання у вигляді попередження або штрафу на суму до 50 000 руб, а за відсутності згоди громадянина на обробку персональних даних - до 75 000 руб. Зміни вступлять в силу з 1 липня 2017 р

Ми попросили юристів iConGroup Кайзер Оксану і Казакову Олександру пояснити, як інтернет-магазинам та іншим комерційним ресурсів взаємодіяти з користувачами в рамках мінливих реалій.

Оксана Кайзер

Незалежний радник з правових питань iConGroup, адвокат, член Адвокатської палати Московської області.

Олександра Казакова

У 2010 році закінчила Російський новий університет за спеціальністю «Юриспруденція». З 2017 року працює юристом в компанії iConText.

Питання. Що вважати персональними даними? Чи відносяться до них ПІБ, вік і стать користувача?

Відповідь. Майже будь-яка інформація, зазначена користувачем про себе в інтернет-магазині, підпадає під дію ФЗ №152-ФЗ. Як правило, це не тільки ПІБ, вік і стать людини, його номер телефону або адресу для доставки товару, а й реквізити пластикових карт і інша інформація. Інтернет-магазин зобов'язаний забезпечувати захист цих відомостей від зловмисників і не надавати їх третім особам.

Якщо ж при взаємодії з продавцем користувач вказує тільки своє ім'я або nick-name ( «нік»), дані відносини закон про персональні дані регулювати не буде.

Питання. Як компанії зареєструватися в якості оператора персональних даних?

Відповідь. Можна скористатися сайтом Роскомнадзора, заповнивши спеціальну форму даного повідомлення. За ненадання відомостей передбачений штраф від 3 000 до 5 000 руб. Однак не слід забувати, що закон покладає на оператора обов'язок організувати також внутрішній контроль в сфері обробки персональних даних: призначити відповідальну особу, привести у відповідність локальні акти і документи.

Питання. Які акти і документи потрібно розробити?

Відповідь. Конкретні вимоги законом не встановлені. В цілому складність процедури тільки в великому обсязі «паперової роботи». Мінімум документів, які повинен розробити і прийняти інтернет-магазин, виглядає так:

  1. Загальний документ, який визначає політику фірми щодо обробки персональних даних (положення про персональні дані).
  2. Список осіб, які обробляють персональні дані.
  3. Наказ про призначення працівника, відповідального за організацію обробки персональних даних.
  4. Положення про правові, організаційні та технічні заходи захисту персональних даних від неправомірного або випадкового доступу до них, їх знищення, перекручення, блокування, копіювання, надання, поширення, а також від інших неправомірних дій у відношенні персональних даних.
  5. Локальний акт, який регулює процедури, спрямовані на запобігання та виявлення порушень законодавства у сфері захисту персональних даних, усунення наслідків таких порушень.

Питання. Продавець зареєструвався як оператор персональних даних, розробив всі вищезазначені документи і правила всередині компанії. Які подальші дії? Що потрібно обов'язково розмістити на сайті інтернет-магазину, щоб Роскомнадзор не заблокований ресурс і продавцеві не загрожували штрафи?

Відповідь. Необхідний мінімум дій:

  • Використовувати сервер, розташований в Росії. Переконатися, що бази даних також збираються і обробляються на території РФ.
  • Розмістити угоду користувача у відкритому доступі на сайті. На сайті Tutu.ru створений цілий розділ «Правова інформація», де викладені необхідні документи:
  • Будь-які спливаюче вікно, банер або форма зворотного зв'язку повинні супроводжуватися дисклеймер про необхідність прийняття угоди користувача і місцем для галочки, яку може поставити користувач (або кнопкою «так / ні» для вибору варіанту).
  • Створити розділ «Політика конфіденційності», в якому наведені всі визначення і трактування дій користувача на сайті, умови його використання та інші аспекти. На Tutu.ru цей розділ виглядає так .
  • Розмістити на сайті дисклеймер, що повідомляє користувача про те, що його персональні дані обробляються на сайті в цілях функціонування ресурсу, і, якщо користувач не згоден на це, він повинен покинути сайт. В іншому випадку користування ресурсом є згодою на обробку його персональних даних.
Що вважати персональними даними?
Чи відносяться до них ПІБ, вік і стать користувача?
Як компанії зареєструватися в якості оператора персональних даних?
Які акти і документи потрібно розробити?
Які подальші дії?
Що потрібно обов'язково розмістити на сайті інтернет-магазину, щоб Роскомнадзор не заблокований ресурс і продавцеві не загрожували штрафи?
Навигация сайта
Новости
Реклама
Панель управления
Информация
Экономика стран www.muzruk.if.ua © 1995-2016
При копировании материала, ссылка на сайт обязательна.