Уже несколько лет в нашей стране идет процесс усиления контроля за сохранностью персональных данных. Любой интернет-проект, принимающий оплаты за свои услуги или товары на сайте, становится оператором персональных данных и подпадает под действия законов и нормативных актов, регулирующих работу с ними. 7 июля 2017 года Министерство связи и массовых коммуникаций Российской Федерации выпустило письмо № П11-15054-ОГ , посвященное разъяснению положений 152-ФЗ "О персональных данных" и 126-ФЗ "О связи" в свете принятых поправок в ФЗ-54 («Закон об on-line кассах»). Согласно этому письму получая от клиента адрес электронной почты или номер телефона для отправки ему фискального документа в электронном виде, интернет-магазин становится «оператором персональных данных» и в случае нарушений правил работы с ними может быть привлечен к ответственности по статье 13.11 КоАП. Санкций по этой статье много и для юридических лиц сумма штрафа может достигать 290 тыс. рублей. Давайте рассмотрим, что необходимо сделать интернет-магазину для того, чтобы не нарушать требования регулятора.
Первое, что нужно сделать интернет-магазину перед тем, как начать принимать оплаты на своем сайте, это зарегистрироваться в Роскомнадзоре. Сделать это можно по ссылке, уведомив регулятора о том, что вы намереваетесь осуществлять обработку таких данных. Форма уведомления очень не простая и содержит множество полей, в которых вы указываете, какие именно данные и каким образом планируете обрабатывать. Мы искренне рекомендуем при работе с любыми данными своих клиентов руководствоваться принципом – «меньше знаешь, лучше спишь» и стараться минимизировать любую информацию, которую вы от них получаете.
Обработка персональных данных это процессы, правильность работы которых регулятор будет проверять именно по должностным инструкциям и внутренним приказам, которые вы будете обязаны предоставить им при проверке. Таких внутренних документов множество и в зависимости от размера вашей компании и вида деятельности их может быть до 40 видов. Поэтому подготовьте их заранее. Существуют бесплатные сервисы, которые помогут вам в этом, на пример такой. Кроме того, множество форм и шаблонов таких внутренних нормативных документов можно найти в сети.
Подготовленные документы не нужно нигде публиковать, но они должны быть напечатаны и подписаны, а лучше еще и отсканированы, чтобы в случае необходимости вы могли их оперативно отправить проверяющим в ответ на их запросы.
Текст «Политики конфиденциальности» должен содержать описание того, как ваша компания собирает, хранит, а главное – защищает те данные, которые она получает от своих клиентов. Мы также рекомендуем не тратить свое время на «изобретение велосипеда» а найти этот текст в интернете и адаптировать под свою компанию. Примеры можно подсмотреть у коллег по отрасли, воспользоваться рекомендациями Роскомнадзора, или сделать как у нас.
Форма «согласия на обработку персональных данных» должна быть размещена под каждым блоком, в котором посетитель сайта заполняет какую-то информацию о себе и должна содержать примерно вот такой текст: «Даю согласие на обработку персональных данных в соответствии с „Политикой конфиденциальности“», со ссылкой на страницу, где размещен этот документ. Все дальнейшие действия по отправке данных в форме должны быть не активны до тех пор, пока пользователь не дал согласие на обработку своих данных по вашим условиям (политике конфиденциальности).
Важно помнить, что существуют особенности в работе с персональными данными, которые требуют обязательного оформления письменного согласия клиента, а значит не подходят для интернет-магазинов:
1. Обработка специальных персональных данных, к которым относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, судимости, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
2. Обработка биометрической информации, которая характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Вопрос, является ли запись голоса или фотография человека биометрическими данными остается открытым, потому что современные системы идентификации на основании этой информации могут с высокой вероятностью идентифицировать человека. Поэтому если у вас на сайте используются сервисы «заказать обратный звонок» с функцией записи разговора, то вам следует особенно тщательно подготовится к обоснованию того, что вы не используете эти записи для установления личности собеседника.
3. Передача данных на территорию государства, не обеспечивающего адекватную защиту персональных данных. Роскомнадзор регулярно обновляет список таких государств в специальном перечне иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Помимо экзотических стран, с которыми интернет-магазин вряд ли может столкнуться в работе, в этот перечень входит Казахстан и Израиль. Это означает, что если вы хостите свой сайт на территории этих государств или используете сервисы анализа или обработки данных, которые это делают на этих территориях, то вы обязаны получать от своих клиентов письменное согласие на обработку их данных. Обычной «галочки» для этого будет уже недостаточно.
С технической точки зрения выполнить все требования и правила работы с персональными данными несложно. В целом это скорее бюрократическая, чем техническая задача. Однако если вы этого не сделаете, то выявить на вашем сайте факт нарушения будет очень просто, а Роскомнадзор проводит регулярные проверки с целью выявления таких нарушений. Только в 2014 году Роскомнадзор получил 20 000 жалоб на нарушение закона от физических лиц и проверил 2500 компаний. Вы же не хотите пополнить этот список?
