Закон про персональні дані як збирати базу клієнтів легально

Закон про персональні дані як збирати базу клієнтів легально

Ми попросили юристів iConGroup Кайзер Оксану і Казакову Олександру пояснити, як інтернет-магазинам та іншим комерційним ресурсів взаємодіяти з користувачами в рамках мінливих реалій.

Незалежний радник з правових питань iConGroup, адвокат, член Адвокатської палати Московської області.

Питання. Що вважати персональними даними? Чи відносяться до них ПІБ, вік і стать користувача?

Якщо ж при взаємодії з продавцем користувач вказує тільки своє ім'я або nick-name ( «нік»), дані відносини закон про персональні дані регулювати не буде.

Питання. Як компанії зареєструватися в якості оператора персональних даних?

Відповідь. Можна скористатися сайтом Роскомнадзора, заповнивши спеціальну форму даного повідомлення. За ненадання відомостей передбачений штраф від 3 000 до 5 000 руб. Однак не слід забувати, що закон покладає на оператора обов'язок організувати також внутрішній контроль в сфері обробки персональних даних: призначити відповідальну особу, привести у відповідність локальні акти і документи.

Питання. Які акти і документи потрібно розробити?

Відповідь. Конкретні вимоги законом не встановлені. В цілому складність процедури тільки в великому обсязі «паперової роботи». Мінімум документів, які повинен розробити і прийняти інтернет-магазин, виглядає так:

  1. Загальний документ, який визначає політику фірми щодо обробки персональних даних (положення про персональні дані).
  2. Список осіб, які обробляють персональні дані.
  3. Наказ про призначення працівника, відповідального за організацію обробки персональних даних.
  4. Положення про правові, організаційні та технічні заходи захисту персональних даних від неправомірного або випадкового доступу до них, їх знищення, перекручення, блокування, копіювання, надання, поширення, а також від інших неправомірних дій у відношенні персональних даних.
  5. Локальний акт, який регулює процедури, спрямовані на запобігання та виявлення порушень законодавства у сфері захисту персональних даних, усунення наслідків таких порушень.

Питання. Продавець зареєструвався як оператор персональних даних, розробив всі вищезазначені документи і правила всередині компанії. Які подальші дії? Що потрібно обов'язково розмістити на сайті інтернет-магазину, щоб Роскомнадзор не заблокований ресурс і продавцеві не загрожували штрафи?

Відповідь. Необхідний мінімум дій:

  • Використовувати сервер, розташований в Росії. Переконатися, що бази даних також збираються і обробляються на території РФ.
  • Розмістити угоду користувача у відкритому доступі на сайті. На сайті Tutu.ru створений цілий розділ «Правова інформація», де викладені необхідні документи:
Закон про персональні дані як збирати базу клієнтів легально
  • Будь-які спливаюче вікно, банер або форма зворотного зв'язку повинні супроводжуватися дисклеймер про необхідність прийняття угоди користувача і місцем для галочки, яку може поставити користувач (або кнопкою «так / ні» для вибору варіанту).
  • Створити розділ «Політика конфіденційності», в якому наведені всі визначення і трактування дій користувача на сайті, умови його використання та інші аспекти. На Tutu.ru цей розділ виглядає так.
  • Розмістити на сайті дисклеймер, що повідомляє користувача про те, що його персональні дані обробляються на сайті в цілях функціонування ресурсу, і, якщо користувач не згоден на це, він повинен покинути сайт. В іншому випадку користування ресурсом є згодою на обробку його персональних даних.

    • Питання. Що інтернет-магазин повинен написати в своєму призначеному для користувача угоді, щоб згоду користувача на передачу ПД вважалося зареєстрованим?

    Відповідь. У призначеному для користувача угоді необхідно відобразити способи вираження згоди на обробку персональних даних (дії, які повинен здійснити суб'єкт). Закон говорить: згода на обробку персональних даних може бути дано суб'єктом ПД в будь-якій формі, що дозволяє підтвердити факт його отримання. Таким згодою можна вважати реєстрацію користувача на сайті, заповнення їм будь-анкети з персональними відомостями. Все залежить від особливостей сайту інтернет-магазину.

    Ідеально - мати письмовий документ з підписом самого суб'єкта. У разі судових позовів даний документ буде безумовним доказом волевиявлення суб'єкта.

    Питання. Чи може користувач відкликати свою згоду на надання ПД і як це зробити?

    Відповідь. Користувач має право не тільки відкликати, а й заборонити обробку своїх персональних даних - причому в будь-який момент. Рішення суб'єкта про відкликання своєї згоди і заборону використовувати його ПД необхідно направити оператору персональних даних в письмовій формі.

    Питання. Яка відповідальність передбачена за недотримання вимог закону?

    Відповідь. Персональні дані кожного російського громадянина захищені чинною законодавчою базою РФ. До федеральним законам, що розкриває відповідальність за порушення у сфері захисту персональних даних, можна віднести:

    Відповідно, за порушення вимог законів у сфері захисту персональних даних передбачена адміністративна, цивільно-правова та кримінальна відповідальність.

    Схожі статті