Закон о персональных данных и интернет-магазины

19:54

Идея создать свой интернет-магазин появляется раньше мысли о том, что могут возникнуть проблемы с законом. Все кажется так просто: выбрал товар, сделал сайт, еще немного организационного волшебства – и вперед. Но на практике приходится сталкиваться с подводными камнями. Возможные проблемы с законом – один из самых неприятных и коварных.

В центре внимания федеральный закон №152 «О персональных данных». Он был принят еще в июле 2006 года, а последние наиболее нашумевшие поправки к нему вступили в силу 1 сентября 2015 года.

Проблема в том, что даже эксперты в области права и интернет-коммерции, а также люди давно и успешно работающие в интернет-торговле признают, что с этим законом много путаницы, т.к. мало практики в отношении его правоприменения. При этом трактовать его можно довольно широко – неопределенность возникает даже при ответе на вопрос, какие именно сведения должны считаться персональными данными.

Главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян в этой связи говорит о том, что «с одной стороны, это дает возможность использовать его избирательно против определенных компаний, с другой, в нем столько «дыр», что и сами операторы персональных данных могут использовать эти лазейки для его обхода».

Как говорится, нет худа без добра. Попробуем разобраться в законе.

Что такое «персональные данные»? 

Согласно положениям закона персональные данные – это любая информация о вашем пользователе (физическом лице). Любая! Без конкретизации.

Суть закона сводится к следующему:

  • Закон распространяется на физические и юридические лица, которые собирают, хранят, передают или иным образом обрабатывают персональные данные, т.е. фактически на всех владельцев интернет-магазинов.
  • Обработка персональных данных может осуществляться только с согласия субъекта персональных данных и в случаях, которые прямо зафиксированы в законе (например, при заключении договора требовать от пользователя согласие не нужно).  
  • Хранить данные российских пользователей необходимо на серверах, расположенных на территории России. Если вы являетесь резидентом другого государства и не имеете на территории России соответствующего представительства, то формально требования данного российского закона на вашу деятельность не распространяются, однако опять же – в отсутствие достаточной практики правоприменения обозначенных норм достоверно говорить о полном отсутствии рисков при хранении данных о пользователях за рубежом нельзя. 
  • Запрашивать необходимо только те данные, которые необходимы для исполнения договора. В основном это ФИО, адрес и телефон. Большое количество полей в форме заказа может обеспокоить щепетильного покупателя.
  • Использовать полученные от клиента данные можно только в целях, которые Вы обозначили, – чаще всего для исполнения договора.  
  • Оператор персональных данных обязан предпринимать ряд мер (правовых, организационных и технических), направленных на обеспечение безопасности персональных данных в процессе их обработки.

Когда требуется письменное согласие на обработку персональных данных?

  • Когда вы собираетесь использовать персональные данные за рамками заключенного с пользователем договора (как правило, в маркетинговых целях) или 
  • Когда данные обрабатываются третьими лицами по поручению оператора или 
  • Когда данные передаются трансгранично на территорию стран, которые «не обеспечивают адекватную защиту прав субъектов персональных данных». 

Если данные обрабатываются в целях исполнения договора, то получать согласие не нужно.

Что нужно для открытия и последующей работы интернет-магазина?

  • Самостоятельно оценить тип актуальных угроз для обрабатываемых данных и уровень их защищенности.
  • Выработать и проанализировать эффективность мер, необходимых для целей обеспечения безопасности данных о пользователях.
  • Оценить соответствие оборудования, используемого при обработке персональных данных требованиям законодательства. 
  • Разработать документацию, , определяющую политику в отношении обработки персональных данных Ваших пользователей, а также опубликовать на сайте интернет-магазина изданную политику конфиденциальности и сведения о реализуемых требованиях к защите персональных данных;
  • Обеспечить хранение персональных данных российских пользователей на серверах, расположенных в России.

Обращаем внимание, что если обработка персональных данных осуществляется в целях исполнения договора, заключенного с пользователем, то уведомлять до начала обработки персональных данных уполномоченный орган (Роскомнадзор) не надо. В иных случаях следует подробнее ознакомиться со статьей 22 закона «О персональных данных».

По классике жанра магазин должен начинаться с любви к клиенту. Интернет-магазин не исключение, поэтому позаботьтесь о персональных данных своих пользователей.