Персональные данные: информация для владельцев интернет-магазинов

Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:

• какие данные считаются персональными;
• относитесь ли вы к операторам персональных данных;
• что меняется в законодательстве;
• что делать интернет-магазину – оператору персональных данных, чтобы избежать проблем.

Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры. Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется. В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.

Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:

1. соблюдать принципы обработки данных (не запрашивать излишнюю информацию и не в целях сбора данных);
2. получить согласие лица на обработку его персональных данных (технически реализовать несложно);
3. опубликовать политику владельца сайта в отношении обработки персональных данных (технически реализовать несложно);
4. предоставить доступ к персональным данным их владельцам  (если поступит запрос от клиента);
5. уточнить, блокировать или уничтожить персональные данные по требованию владельца  (если попросит об этом);
6. обеспечить безопасность персональных данных при их обработке (защита от неправомерного доступа третьих лиц, копирования и т.п.).
7. серверы должны находиться на территории РФ.

Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.

Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.

Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.

Какие данные считаются персональными?

Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»? 

Это - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов. Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает. И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

• фамилия
• имя
• отчество
• паспортные данные
• год, месяц, дата рождения
• место рождения
• адрес
• семейное положение
• социальное положение
• имущественное положение
• образование
• профессия
• доходы

На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет - мнения специалистов в этой области расходятся. Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными. Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации). Пока без ясного ответа остается вопрос - относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет. 

Относитесь ли вы к операторам персональных данных или нет?

Вы являетесь оператором персональных данных, если:

• вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
• у вас есть форма обратной связи, подписки, регистрации;
• у вас есть личный кабинет;
• клиент может заполнить анкету на сайте; 
• на сайте возможно размещение объявления;
• на сайте размещена кнопка обратного звонка.

Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.

Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании. 

Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?

Есть и хорошие новости: 1. В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).

Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления. В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило). Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:

• получения согласия субъекта персональных данных на их обработку;
• уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн

желательно сделать следующее – разделить публичную оферту на 3 документа:

1. Пользовательское соглашение, где прописаны: общие условия использования сайта, ответственность владельца сервиса,  как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров. Пользовательское соглашение – это договор присоединения, который принимается пользователем без оговорок в полном объеме. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин – мы уверены, что этот документ у вас давно есть на сайте и с ним нет никаких проблем;
3. Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по пользовательскому соглашению и б) договора купли-продажи по оферте. Утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. 

Политика конфиденциальности должна включать следующие положения:

• перечень информации, которую собирает и обрабатывает сайт: персональные данные, иные сведения (например, информация, собираемая в автоматическом режиме: IP, cookie и др.);
• цель сбора персональных данных и для чего они будут использоваться (например, для маркетингового исследования и др.);
• требования к защите ПДн, включая случаи, когда персональные данные могут быть переданы третьим лицам;
• изменения персональных данных (пользователь должен иметь возможность редактировать свои данные);
• изменение Политики (как правило, владелец вносит изменения без предварительного уведомления и одновременно для всех пользователей, поэтому последним следует периодически просматривать Политику).

То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн. 

Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку. В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?

1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.

2. На сайте указать e-mail, по которому физическое лицо может написать - обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн. Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п., а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним). 

Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами? 

По ссылкам ниже вы можете скачать образцы документов для сайта:

- пользовательское соглашение

- политика конфиденциальности

- договор-оферта

Читайте также: Настройки сайта для соблюдения Закона "О персональных данных"

Что меняется в законодательстве? Ответственность и штрафы.

С 1 июля 2017 г. увеличиваются административные штрафы за нарушение порядка работы с персональными данными (регулирует этот порядок Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных», а Кодекс об административных правонарушениях содержит санкции за нарушение работы с данными). До 1 июля 2017г. статья 13.11 КоАП РФ состоит из одного общего состава и предусматривает ответственность для лица, которое с нарушением закона:

• собирает,
• хранит,
• использует,
• распространяет информацию о гражданах (персональных данных).

С 1 июля 2017 г. статья 13.11 КоАП РФ будет включать в себя семь составов правонарушения. Максимальный штраф – 75 тыс. рублей.

1) Если вы обрабатываете персональные данные в случаях, которые не предусмотрел Закон о персональных данных или происходит обработка этих данных, несовместимая с целями сбора персональных данных. К примеру, интернет-магазин запрашивает избыточную информацию о клиенте – требует скан-копию паспорта, водительских прав, свидетельства ИНН. Или гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает СПАМ.Ответственность – предупреждение или штраф:

• гражданам – от 1 тыс. до 3 тыс. рублей;
• должностному лицу и предпринимателю – от 5 тыс. до 10 тыс. рублей;
• юридическому лицу – от 30 тыс. до 50 тыс. рублей. 

К ответственности по этому «легкому» пункту привлекут в случаях, когда действия не подпадают под часть 2 статьи 13.11 КоАП или не образуют состав уголовного преступления (ст.137 или ст.272 УК РФ). Чтобы избежать ответственности нужно:

• обрабатывать данные только в случаях, предусмотренных  ч.1 ст.6 Закона о персональных данных;
• обрабатывать данные только в целях, которые заявлялись. 

2) Если вы обрабатываете персональные данные без письменного согласия лица, когда такое согласие требует закон (к примеру, собирает и хранит специальные персональные данные – информацию о здоровье, политических взглядах, вероисповедании)или обрабатываете персональные данные с нарушением требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (как вариант - не указал третьих лиц, которым будут переданы персональные данные). Ответственность – штраф:

• гражданам – 3 тыс. до 5 тыс. рублей;
• должностному лицу и предпринимателю – от 10 тыс. до 20 тыс. рублей;
• юридическому лицу – от 15 тыс. до 75 тыс. рублей. 

Чтобы избежать ответственности нужно:

• получить согласие субъекта персональных данных на обработку его персональных данных;
• включить в согласие необходимые сведения.

3) Если у вас не опубликовано на сайте или по-другому не обеспечен неограниченный доступ:-к документу, который определяет политику оператора в отношении обработки персональных данных, или-к сведениям о реализуемых требованиях к защите персональных данных. Ответственность – предупреждение или штраф:

• гражданам - от 700 руб. до 1,5 тыс. рублей;
• должностному лицу - от 3 тыс. до 6 тыс. рублей;
• предпринимателю - 5 тыс. до 10 тыс. рублей; 
• юридическому лицу – от 15 тыс. до 30 тыс. рублей. 

Чтобы избежать ответственности нужно:опубликовать на сайте общедоступные ссылки:

• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных

4) Если вы не предоставляете субъекту персональных данных информацию, которая касается обработки его персональных данных. Ответственность – предупреждение или штраф:

• гражданам - от 1 тыс. руб. до 2 тыс. рублей;
• должностному лицу - от 4 тыс. до 6 тыс. рублей;
• предпринимателю - 10 тыс. до 15 тыс. рублей; 
• юридическому лицу – от 20 тыс. до 40 тыс. рублей. 

Чтобы избежать ответственности нужно:

• Предоставлять информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных). 

5) Если вы не выполнили в срок требования субъекта персональных данных или его представители либо уполномоченного органа по защите прав субъектов персональных данных:

• об уточнении персональных данных;
• о блокировании или уничтожении.

Оператор обязан это сделать, когда персональные данные:

• утратили актуальность, неполные, неточные, незаконно получены или
• не отвечают заявленной цели обработки персональных данных.

Ответственность – предупреждение или штраф:

• гражданам - от 1 тыс. руб. до 2 тыс. рублей;
• должностному лицу - от 4 тыс. до 10 тыс. рублей;
• предпринимателю - 10 тыс. до 20 тыс. рублей; 
• юридическому лицу – от 25 тыс. до 45 тыс. рублей. 

Чтобы избежать ответственности нужно:уточнить, блокировать или уничтожить персональные данные по требованию владельца в течение установленных Законом сроков. 

6) Если вы не обеспечили условия, которые необходимы, чтобы:

• сохранить персональные данные при хранении материальных носителей;
• исключить несанкционированный доступ к ним.

Состав этого правонарушения распространяется только на случаи, когда:

1. обрабатывают персональные данные без средств автоматизации;
2. отсутствует состав уголовного преступления;
3. произошел неправомерный или случайный доступ к персональным данным; или их уничтожили, изменили, блокировали, копировали, передали, распространили или совершили иные неправомерные действия.

Что это может быть? 

• оператор не оформил список лиц, допущенных к обработке информации;
• оператор не организовал раздельное хранение данных.

Ответственность – штраф:

• гражданам - от 700 руб. до 2 тыс. рублей;
• должностному лицу - от 4 тыс. до 10 тыс. рублей;
• предпринимателю - 10 тыс. до 20 тыс. рублей; 
• юридическому лицу – от 25 тыс. до 50 тыс. рублей. 

Чтобы избежать ответственности нужно:обеспечить безопасность персональных данных при обработке.

7) Этот состав распространяется только на государственные и муниципальные органы. Если эти организации в качестве оператора не выполнили: 

• обязанности по обезличиванию персональных данных;
• требования по обезличиванию персональных данных.

Ответственность – предупреждение или штраф:

• должностному лицу - от 3 тыс. до 6 тыс. рублей.

Чтобы избежать ответственности нужно выполнять Требования и методы по обезличиванию персональных данных, которые утвердил Роскомнадзор приказом от 5 сентября 2013 г. № 996.