Популярное
Свежее
Моя лента
Обзор
Сообщения
Курсы
Темы
Крипто
Маркетинг
Деньги
Сервисы
Личный опыт
Путешествия
Карьера
Техника
Маркетплейсы
Мнения
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
ПД Мастер

Как интернет-магазинам работать с персональными данными и не попасть на штраф

Команда в «ПД Мастер» решила поделиться опытом и рассказать, как привести деятельность интернет-магазинов в соответствие с законом «О защите персональных данных».

Обработка ПД интернет-магазинами
Обработка ПД интернет-магазинами

Ужесточение санкций в отношении нарушителей закона «О персональных данных» заставило владельцев интернет-магазинов проверить свои правовые отношения с клиентами. Практика нашей компании показывает, что во избежание таких ошибок надо уделить внимание некоторым аспектам.

Проверяйте шаблоны – иногда они «рвутся»

Большинство интернет-магазинов (ИМ) использует в работе стандартную документацию. В наше время все просто – зашел на профильный ресурс, скачал необходимые файлы, вставил реквизиты фирмы и выложил на сайт, не проводя соответствующую экспертизу.Подробнее об уведомлении об обработке персональных данных и о подготовке документов по персональным данным мы уже рассматривали в статьях.

Такой подход понять можно. Образцы выкладываются бесплатно, а кто в наше время откажется от экономии средств? Однако такой подход порой приводит к проблемам. В шаблоне, предлагаемом специализированным ресурсом для скачивания, могут находиться ошибки. В этом случае они будут дублироваться и кочевать по интернету.

Уповать на то, что подавляющее большинство клиентов, не читая предложенный текст, жмут на кнопку «заказ», тоже не стоит. Не сомневайтесь, найдется дотошный буквоед, который все проверит и найдет.

Уполномоченные органы тоже проверяют интернет-магазины. План проверок утверждается на год и публикуется на официальном портале Роскомнадзора (РКН). Впрочем, в случае поступления жалобы проверка проводится внепланово.

В итоге, если «благодаря» скаченному и не проверенному шаблону магазин получает штрафные санкции, винить в этом можно только себя, надо было проверять заранее. Ресурсу, разместившему материалы для скачивания, претензии не предъявишь. Полная ответственность лежит на подписавшем.

Прежде чем подписывать любой документ, необходимо проанализировать его с юридической точки зрения. Если в организации нет штатного, квалифицированного в этой области сотрудника, для проверки следует обратиться в фирму, специализирующуюся в данном законодательном секторе.

Обязательно ли уведомлять Роскомнадзор

Опасения владельцев интернет-магазинов понять можно. Уведомление влечет за собой регистрацию в соответствующем реестре, что будет привлекать больше внимания со стороны надзорных органов.

Поэтому многие, не разобравшись, извещают РКН в профилактических целях. А потом оказывается, что делать это было необязательно. Процесс уведомления РКН состоит из двух этапов. Сначала заполняется специальная форма на портале ведомства. После отправки данных в электронном виде документ распечатывается, подписывается уполномоченным лицом и отправляется в территориальное управление РКН по месту регистрации.

Процесс заполнения зачастую вызывает затруднения. Для правильного заполнения заявления владельцам ИМ приходится обращаться к юридическим фирмам. Получается, что тем, кому не надо было регистрироваться в качестве оператора, делают это, еще и деньги платят.

На основании п.1 ст. 22 закона «О персональных данных» (N 152-ФЗ) оператор обязан оповестить надзорный орган о намерении обрабатывать ПД до начала самого процесса.

Однако в п.2 ст.22 говорится о том, что оператор вправе работать без уведомления «если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных».

Давайте рассмотрим на простом примере, что может получится, если ИМ не уведомит РКН.

При оформлении заказа заполняется специальная форма, где зачастую указывается телефонный номер покупателя. Однако, для целей исполнения договора телефон не нужен. Следовательно, даже подписав соглашение, заказчик не дает добро на использование телефонного номера и передачу его третьим лицам.

В этом случае:

· ПД обрабатываются без разрешения;

· отсутствует уведомление РКН, т.к. отсутствие утвердительного ответа нарушает п.2.2 ст.22 N 152-ФЗ, а значит интернет-магазин не подпадает под законодательное исключение.

Аналогичная ситуация с п.2.5 ст.22, в котором необязательность уведомления регламентирована для операторов, при работе требующих только ФИО. Интернет-магазин должен держать обратную связь, совершать финансовые операции и т.д. Следовательно, используется не только ФИО. Так что под этот пункт онлайн-магазины не подходят.

Решать извещать РКН или нет следует после тщательной проверки документации. Необходимо учесть все нюансы и разглядеть «подводные камни», в т.ч. при заполнении уведомления об обработке данных. С полным гайдом о заполнении уведомления вы можете ознакомиться здесь.

Пользовательское соглашение: проблемы очередности

Используя конфиденциальные сведения, ИМ автоматически обретает статус «оператора». А в соответствии с существующими нормами ПД обрабатываются только после получения утвердительного ответа обладателя. Как правило, этот вопрос решается посредством заключения договора, который подписывается клиентом при регистрации.

Принятие публичной оферты сокращает процесс оформления заказа
Принятие публичной оферты сокращает процесс оформления заказа

Сегодня торговые онлайн-площадки в стремлении минимизировать количество кликов на пути к сделке не требуют регистрации. Заказчик, не регистрируясь, заключает ПО на дистанционную продажу. Специалисты магазинов стараются вместить в оферту все условия взаимоотношений с покупателем:

· Разрешение на обработку;

· Политику конфиденциальности (ПК);

· Правила оформления заказа;

· Методику оплаты;

· Способы доставки продукции;

· Возврат платежей и товаров;

· Ограничение ответственности;

· Способ внесения изменений.

Действующими нормами это не запрещено, но что происходит с правовой точки зрения, когда при онлайн-заказе регистрация не нужна, а все условия сосредоточены в публичной оферте?

Не беда, если оплата производится сразу, но если оформлен заказ на получение товара в сетевой торговой точке или высылке наложенным платежом?

Происходит следующее: изделие доставляется в магазин, указанный клиентом. Там и только там заключается договор купли-продажи. Факт дистанционной продажи отсутствует. Информация о заказчике обрабатывается без полученного разрешения, что является нарушением. По новым правилам КоАП, за такое деяние размер штрафа для юрлиц может достигать 6 млн. рублей. Аналогичная ситуация возникает при отправке товара наложенным платежом.

Проблема решается просто, достаточно прописать правовые условия в разных документах. Практика команды «ПД Мастер» показывает, что трех документов достаточно:

· Пользовательское соглашение (ПС), где регламентируется разрешение на обработку ПД; регулирование правил работы сайта;

· Публичная Оферта (ПО) – с описанием правил и процесса заключения договора купли-продажи;

· ПК – в документе прописывается порядок действий, гарантирующий соблюдение установленных требований.

Если покупатель первым делом заключает ПС, правовых проблем в этой части не будет.

Отсутствие в оферте обязательных сведений о продавце и продукции

Включая в ПО различные условия, руководители интернет-магазинов порой забывают о позициях, которые должны указываться в обязательном порядке.

Продавец обязан предоставить покупателю полную, достоверную и доступную информацию, которая включает:

· Полную характеристику реализуемого товара;

· Фирменное название организации-продавца;

· Адрес и фактическое местонахождение продавца;

· Указание места изготовления продукции;

· Стоимость продукта, порядок его оплаты;

· Перечень способов доставки;

· Информацию о гарантийном сроке, сроке годности и времени действия предложения, ремонте товара или его употреблении.

Неисполнение требований ничем не грозит хозяину магазина, осуществляющего онлайн-торговлю, ввиду того, что он не является продавцом. Наказаны могут быть юрлицо или конкретный продавец.

Доступ к политике конфиденциальности

Дистанционный продавец принимает на себя ряд обязательств. Одно из них - обеспечение неограниченного доступа к политике конфиденциальности (ПК).

Оператор обязан ознакомить клиента с политикой в явном порядке до начала процесса. Интернет-магазины включают политику конфиденциальности в ПО. По сути, повторяя ошибку, описанную выше, – они приступают к обработке, не ознакомив покупателя с ПК.

Проверяя сайты ИМ, представители уполномоченных органов обычно не тратят время на регистрацию. Фиксируют лишь процесс оформления заказа. Порой фиксируется факт того, что при заполнении специальной формы указываются требуемые сведения, а соглашение еще не подписано. Как следствие, наступает временная «вилка» между началом обработки и ознакомлением заказчика с ПК.

Вопрос решается просто – перед завершением сделки следует предложить заказчику продублировать свое согласие с ПО.

Не стоит забывать, что посетитель должен иметь свободный доступ к ПК. Документ следует размещать не только в публичной оферте.

Опубликуйте его на отдельной странице и дайте ссылку в подвале портала.

Рассказывайте о рекламодателях

В соответствии с ФЗ «О рекламе», при дистанционной торговле в обязательном порядке публикуются сведения о продавце:

· для юрлиц – наименование, номер в реестре и место реального расположения магазина;

· для индивидуальных предпринимателей – ФИО и номер в реестре.

Нарушения грозят санкциями в виде штрафа – 4-20 тыс. рублей для должностных лиц и 100-500 тыс. рублей для юрлиц.

Впрочем, не каждая размещенная информация о продукте квалифицируется как реклама. При удаленной продаже продавец до совершения сделки обязан предоставить полную и достоверную информацию:

· об ассортименте;

· стоимости и скидках;

· правилах покупки и возврата;

· акциях, проводимых конкретной фирмой.

А значит, это не может рассматриваться как нарушение положений ФЗ «О рекламе».

Не скрывайте применение cookies

Тема касается не только интернет-магазинов. Многие электронные площадки настраивают Сookies. Законодательство не дает четкого ответа на вопрос, относятся ли cookies к персональным данным или нет.

С одной стороны, инструменты аналитики не персонализируют зашедшего на портал, а значит, отсутствует субъект права, с другой – анонимные действия на ресурсе нельзя отнести к общественным.

Из мировой практики можно выделить прецедент в Испании. Авиаперевозчик был оштрафован на 30 тыс. за настройку необязательных аналитических инструментов без ведома пассажиров, приобретавших билеты на электронной площадке авиакомпании. В обвинительном заключении указано, что на онлайн-платформе авиакомпании не была указана возможность отказа от cookies.

Для перестраховки можно включить куки в перечень персональных данных, однако это негативно отразится на конверсии.

Оптимальный вариант – неформальное оповещение посетителей о cookies с разъяснением и мотивацией к добровольному одобрению применения куков. Большинство заходящих на сайты не имеют представления, что настройка аналитических инструментов позволяет сохранить необходимые сведения после ухода со страницы. Заполняя, к примеру, корзины для онлайн-покупки, посетитель должен понимать, насколько важны аналитические инструменты для удобства при работе с платформой.

Формальное оповещение без запроса на одобрение вряд ли будет полезным и может вызвать подозрения.

Доверяйте профессионалам

Наличие в организации штатного юриста не дает гарантий соблюдения безупречной настройки процесса отношений между продавцом и покупателем. Мы живем в стремительно меняющемся мире. Появляются целые отрасли экономики, которые еще 50 лет назад могли представить себе только авторы фантастических романов.

IT- индустрия – драйвер перемен: нейронные сети, биткоин, беспилотные автомобили и т.д. Все это несет нас в будущее, однако вместе с тем создает массу проблем для государства. Законодательство не поспевает за переменами. Качественное регулирование процессов требует тщательного изучения проблемы. Для этого необходимо время, которого катастрофически не хватает. Эта проблема не только российская. Во всем мире правительства и парламенты спорят о методах регуляции криптовалют или сканирования лиц в общественных местах для идентификации граждан. И таких дискуссионных тем великое множество. Принимается масса нормативных актов, но они «сырые», и на конкретизацию прописанных в них правил уйдут годы.

Сложно приходится и юристам. Помимо постоянно меняющегося законодательства в IT-индустрии, нет и устоявшейся судебной практики. Юрист, практикующий в IT-сфере, следит не только за изменениями в России, но и за мировой практикой. Интернет глобален и сотрудничество с зарубежными партнерами – обычная практика. Некоторые споры разрешаются в судах иностранных юрисдикций.

Штатный юрист не всегда имеет возможность посвящать все свое время только конкретной ИТ-отрасли. Интернет-магазин – это торговая точка, и проблемы могут быть разными.

По этой причине даже крупные онлайн-платформы обращаются в специализированные юридические фирмы, практикующие в IT-индустрии. Только такой подход в наше цифровое время обеспечивает уверенность в законности деятельности ИМ.

Начать дискуссию