Обработка персональных данных для мелкого интернет-магазина

Знакомые впечатлились новым штрафом в КоАП в миллион рублей:
Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
8. Невыполнение оператором при сборе персональных данных… обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения… или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, — … на юридических лиц (и ИП) — от одного миллиона до шести миллионов рублей.
Сервер, на котором сидит их магазин, за границей. Интересуются, что делать, надо ли сильно напрягаться. Сразу оговорюсь, что магазин на самописной системе управления, в которую заложены вещи для соответствия 152-ФЗ «О персональных данных». Из моего текста будет понятно, что придется править другим.

Сразу начну с миллионных штрафов. Заявляйте Роскомнадзору, что хотя сайт и расположен за границей, обработка производится в России. Пользователь при оформлении заказа вводит свои персональные данные, которые сразу пересылаются для обработки в Россию. Персональные данные столько сколько желает пользователь хранятся на его устройстве в кукисах. Сервер за границей – простое передаточное звено. При его отключении все полученные заказы будут исполнены. Старайтесь ограничиться при общении этим. Прав требовать что-то большее у Роскомнадзора практически нет.

Все, что я пишу – это ни в коем случае не истина в последней инстанции. Я обозначаю только позицию, которой необходимо придерживаться в общении с Роскомнадзором и при плохом стечении обстоятельств в суде.

Определяя политику обработки персональных данных, прочитайте полностью статью 13.11. из КоАП. Все, что не упоминается в этой статье, сразу забудьте. Не штрафуют и ладно.

Опубликованная на сайте «Политика по обработке персональных данных» должна быть минимальной и содержать что-то типа такого: «Обработка персональных данных производится для исполнения договора-оферты, а также для заключения договора по инициативе субъекта персональных данных. Оператор реализует необходимые меры по защите персональных данных». По факту — это краткое изложение пп.5 п.1 ст.6 152-ФЗ и п. 3 ст. 13.11 КоАП. Не забудьте только поставить ссылку на файл с таким содержимым хотя бы с главной страницы сайта под названием «Политика конфиденциальности».

С такой политикой вы сразу снимаете с себя необходимость регистрации в реестре операторов персональных данных, вам не надо ломать голову, как оформлять документы для почты и курьерских служб. Вам не требуется брать согласие с пользователя на обработку персональных данных.

В течение месяца после исполнения заказа все персональные данные клиента необходимо удалить, либо обезличить.

Сразу встает вопрос, как поступать с невыкупщиками, которые не оплатили стоимость доставки. Их персональные данные вы имеете право хранить, пока они не закрыли свой долг. По закону клиент обязан компенсировать затраты на доставку невыкупленного качественного товара даже в том случае, если доставка на сайте условно «бесплатная». В оферте это лучше прописать. Хотя это положение федерального закона действует вне зависимости от желаний продавца или покупателя, для обработки персональных данных при такой записи сразу отпадают претензии кого-либо, что договор еще находится в процессе исполнения.

Очевидно, что нормальные продавцы таким клиентам напоминания не шлют, там геморроя больше, чем реальных денег можно получить, но в тот момент, когда невыкупщик сделал новый заказ, ему сразу напоминают, о том, что сначала надо погасить долг от предыдущего заказа. И пусть с ним теперь конкуренты страдают.

Не собирайте контакты, чтобы срать «пользователям» спамом. Это само по себе грех, а сделать это законно очень сложно. Я понимаю, что маркетологи меня закидают тухлыми яйцами, но если хотите спокойно спать, этим заниматься не надо.

Если же невтерпеж заниматься продажами через подписки, то позаимствуйте документы с сайта эльдорадо. При подготовке статьи я открыл список интернет-магазинов, чтобы примеры приводить. И был удивлен, когда оказалось, что в эльдорадо смогли красиво все оформить.

А вот большинство других магазинов просто просят внимания проверяющих.

Основные ошибки:

  1. Нет ссылки на политику по обработке персональных данных (п.3 статьи 13.11. из КоАП от 5 до 30 тыс. руб. для ИП и юрлиц).
  2. Дают пользователю поставить галку на согласие на обработку персональных данных, а ссылку дают на политику по обработке персональных данных. Фактически политика не может считаться согласием. Это разные документы.
  3. Предлагают единое согласие на все, где хотят неограниченно долго обрабатывать персональные данные и дальше идет огромный список целей.

Остановлюсь на последнем. «Умники»-маркетологи считают, что при продаже товара надо пользователю подсунуть согласие на обработку персональных данных, в котором указать помимо прочего еще и возможность дальнейших контактов с клиентом неограниченно долго по инициативе магазина. И в их мечтах это законно.

На самом же деле внимательно читаем 152-ФЗ:
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Отсюда может получиться ситуация: субъект персональных данных купил товар, поставив галку на согласие по обработке персональных данных. Многие магазины просто не дают оформить заказ без этой галки. Получив очередную рассылку, которая ему даром не нужна, пишется заявление в Роскомнадзор, что он не давал согласия на обработку персональных данных в рекламных целях. В своем интересе он соглашался на обработку персональных данных в целях получения товара, все остальные цели ему были навязаны.

Соответственно письменное согласие, не соответствует требованиям закона и обработка персональных данных, требующая согласия, фактически произведена без его законного получения. Роскомнадзор обязан открыть административное дело по п. 2 статьи 13.11 КоАП (от 10 до 75 тыс. руб. для ИП и юрлиц).

Для тех, кто не сталкивался с государственной машиной, сразу могу сказать, что первая встреча без поддержки хорошего юриста будет не в вашу пользу. Если в комментариях будет проявлен интерес по разбору граблей, на которые я наступал, то могу во второй части рассказать, как я с помощью представителя Роскомнадзора не смог доказать в суде, что адрес моего проживания является моими персональными данными!

P.S.: Очень рекомендую всем прочитать акты, относящиеся к средствам защиты персональных данных и внедрить хотя бы то, что не требует вложений. Например, проводя вовремя удаление персональных данных, можно обезопасить себя от сотрудников, которые в новогодние праздники решили стать вашими конкурентами, прихватив базу тех, кто когда-то раньше были вашими клиентами.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 34

    0
    Я обозначаю только позицию, которой необходимо придерживаться в общении с Роскомнадзором и при плохом стечении обстоятельств в суде.
    эта позиция основана на реальном опыте или это просто рассуждения о гипотетической ситуации?
      0
      Суд по персональным данным у меня был не относящимся к интернет-магазинам.

      Общение по интернет-магазину знакомых состояло в переписке:
      Роскомнадзор: «Почему не зарегистрированы как операторы ПД?»
      Ответ: «Потому что не должны.»
      Ну, естественно и они и мы ссылались на 152-ФЗ.

      И разбор имеющейся судебной практики по регионам, где Роскомнадзор свирепствовал. Вот там сразу становится понятным, что Роскомнадзор просто пользовался тем, что когда у тебя просто форма обратной связи, а тебе вменяют незаконную обработку ПД, ты впадаешь в шок. Там люди, судя по судебным решениям, абсолютно неправильно строили свою защиту. Впрочем это не удивительно, именно поэтому и говорю, что первые столкновения производить с приличными юристами, хотя это и дороговато.
      0
      Вот интересно вообще на все происходящее с персональными данными и законами посвященным им, некоторые ресурсы заблокированы потому что серверы с персональными данными не на территории РФ, какие-то данные оказались в открытом доступе потому что сервер взломали, при различных движения гражданина подписывается согласие на обработку, которые потом в помойках изредка находят… раньше только в новостях об очередной облаве с какими-то продавцами иногда даже устаревшими базами… а сейчас столько работы но для чего не понятно… допустим приезжал на предприятие в командировку для оформления пропуска-допуска и прочих движений подписывается согласие на обработку иногда даже на излишне долгие пять лет, но я больше там не появлюсь и у меня возникает желание отозвать свое согласие и я пишу заявление со всеми своими персональными данными об отзыве разрешения на обработку персональных данных и теперь вопрос: мое заявление и все упоминания должны сколлапсировать сами и/или быть уничтоженными в шредере или все просто остается подшитыми в папки с моей надеждой что действительно мои данные в целости и сохранности и насколько законным тогда становиться наличие моих данных на предприятии. а еще бывает что организация очень серьезная и требуется оформление допусков, вот там требуется указать еще и данные родственников, а у меня нет их разрешения на указание их данных это первая заковыка, а вторая организацию могут не устроить результаты проверки при оформлении допуска и мне отказать как тогда отозвать разрешение об обработке персональных данных (в случае госслужб и т.п. вопросы излишни а вот в случае часников иногда актуально)
        0
        При получении заявления на прекращение обработки ПД, которые обрабатывались в связи с «добровольным» предоставлением согласия, предприятие должно физически уничтожить эти ПД.

        По поводу предоставления данных по родственникам вообще с трудом представляю, как это законно делается. Для госслужбы конечно есть некоторый перечень ПД, определенный в федеральных законах, а вот по частникам скорее всего такое незаконно.

        Вопрос весь с том, хорошо ли будет в будущем работаться, если пару раз наехать с помощью Роскомнадзора на такие организации?
          0
          Заявляйте Роскомнадзору, что хотя сайт и расположен за границей, обработка производится в России. Пользователь при оформлении заказа вводит свои персональные данные, которые сразу пересылаются для обработки в Россию. Персональные данные столько сколько желает пользователь хранятся на его устройстве в кукисах. Сервер за границей – простое передаточное звено.

          Боюсь, что РКН этим не удовлетворится.
          Позиция такая, что работа «передаточным звеном», это тоже обработка. Т.е., если данные пришли и ушли, то над ними была проведена работа по передаче. Т.е. они были подвергнуты обработке.
            –1
            Это неправильное понимание. Вот определение из закона:
            3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;


            А с учетом того, что в сети интернет мы не можем быть уверены с маршрутизацией трафика и трафик между российским пользователем и сервером в России легко может пойти через заграничные маршрутизаторы, то очевидно, что промежуточное звено за рубежом не может считаться обработкой ПД. Хотя для суда придется привлекать экспертов, которые это в суде скажут.
              +2
              Раскрою страшную тайну… Дело только в том, что канал передача ПД от клиента до оконечного сервера без использования СКЗИ (сертифициронных ФСТЭК и ФСБ) является нарушением 152-ФЗ и приравнивается к их разглашению. Например, канал должен быть закрыт при помощи ViPNet КС1/КС2/КС3. А про шифрование SSL/TLS ничего не говорится.
              А теперь, внимание, вопрос!!! Установлены ли на забугорном сервере сертифицированные ФСТЭК/ФСБ СКЗИ?

              Так что, этот канал передачи ПД не соответствует требованиям. Точно так же не допускается собирать ПД с использованием электронной почты через публичные почтовые серверы.
                –1
                В самом 152-ФЗ нет такого прямого запрета. РКН будет довольно сложно разъяснять судье такие тонкости подзаконных актов. Да еще доказывать, что владелец мелкого интернет-магазина в котором работает 2-3 человека, должен вникать во все эти тонкости.

                Я по крайней мере не видел судебной практики по этому вопросу именно по отношению к мелочи.
                  –1
                  Тогда ключевое слово — «мелочь».

                  Если у оператора менее 100000 субъектов ПД, то это, скорее всего, требует уровень защищенности не выше 3-го. А для УЗ-3 сертификация ФСТЭК/ФСБ оборудования и ПО не нужна.

                  Но к забугорному серверу все равно придраться могут. Ибо на время пересылки данные на нем хранятся. А потом еще могут сохраняться в кэше и быть извлечены злоумышленником.

                  P.S. И, таки да… в самом 152-ФЗ нет прямых указаний на применяемые меры обеспечения защищенности. Это всё в подзаконных актах.
                    0
                    Я вынес «мелкого» в заголовок. 100 тыс. незакрытых заказов в интернет-магазине — это на самом деле много. Я очень сомневаюсь, что в рунете имеется даже тысяча таких магазинов. Я же писал для миллиона остальных, которые не могут себе позволить серьезных вложений в разбор вопросов по ПД.

                    По поводу «придраться»… В законе нет запрета на хранение копии данных на зарубежном сервере. А какой-то разницы с точки зрения безопасности при хранении за рубежом или у нас я не вижу.

                    И опять же замечу, что очень редкий мелкий магазин может себе позволить заниматься безопасностью. Именно поэтому я и дал в самом конце рекомендацию по минимизации ущерба при самом часто возникающем варианте проблем.
                      0
                      Запрета на хранение нет, но в таком случае это трансграничная обработка, и в этом случае требуется полноценное согласие в письменной форме, получение которого «мелкий» магазин обеспечить не сможет. Вы сами себя загоняете в угол.
                        0
                        Это непонимание терминов из закона. Трансгранично можно передать ПД только другому оператору ПД. Сервер по определению из закона не может являться оператором ПД. Поэтому где бы и какой бы сервер не находился, простое наличие на нем ПД не является передачей этих ПД кому-либо.
                          +1
                          В 152-ФЗ ничего не говориться про «другого оператора». Более того, сама возможность передачи ПД третьим сторонам регламентируется более поздними поправками (вот даже не в курсе, приняты ли они уже).

                          В самом же 152-ФЗ под трансграничной передачей понимается передача ПД на территорию другого государства. Т.е. даже в том случае, если оператор остается одним и тем же.
                            0
                            11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


                            Вот если бы между «территорией иностранного государства» и «органом власти» в этом определении стояла запятая, моя трактовка была бы неверная.

                            А т.к. сервер — это железка, а не лицо, то трансграничной передачи не происходит.

                              0
                              Железка, железка…

                              Только она принадлежит конкретному иностранному физическому или юридическому лицу.

                              Это как в случае открытия счета в банке. Деньги, положенные на этот счет — это уже деньги банка. А у Вас останутся только обязательства банка начислять проценты и вернуть средства при закрытии счета. Но не сами деньги.

                              Так и здесь — помещение ПД на сервер, принадлежащий иностранному лицу и находящийся на территории иностранного государства, может быть трактовано как трансграничная передача ПД.
                                0
                                Это можно трактовать как передача ПД лишь при условии, что в договоре между владельцем сайта и хостером есть пункт о доступе последнего к данным сайта. Да и то натянуто немного.

                                Если такого пункта нет, то при доступе хостера к данным сайта речь идет о противоправных действиях третьих лиц (хостера) и претензии к владельцу сайта могут быть только по факту утечки по причине плохой защиты (вроде бы нет явных наказаний), а не по факту трансграничной передачи ПД (от 1 млн. руб.).
                                  0
                                  Опять таки, боюсь, что проблемы возникнут не от того, что у хостера есть доступ, а от того, что нет документов, подтверждающих, что такого доступа у него нет, или от несоответствия этих документов требованиям наших законов и подзаконных актов.

                                  Что касается наказаний по причине плохой защиты, то это другой закон — О защите критической информационной инфраструктуры. Правда, он к Интернет-магазинам не относится.

                                  Но по любому могут вменить, что ПД хранятся, даже временно, на хосте, не соответствующем требованиям закону о ПД. В частности, не регламентируется в явном виде, что никто кроме оператора ПД не имеет физического доступа к нему. А этот документ обязателен даже организации защиты по УЗ-3.
                                    0
                                    В нашем случае можно нагло заявить, что на сервере ПД вообще отсутствуют. Прав на проверку у РКН нет:). Хотя на самом мы недолго храним с целью, чтобы пользователь мог по ссылке синхронизировать информацию кукисов на разных устройствах. Но вообще нам ничто не мешает вообще не хранить.

                                    Ну и замечу, что мои советы даны не для того, чтобы полностью избежать любых потенциальных проблем в будущем путем решения реальных немалых проблем прямо сейчас, а для того, чтобы выглядеть для РКН намного менее аппетитной целью, чем куча тех, кто мои советы не читал.
                            0
                            Вы видимо подзабыли борьбу РКН со всеми мессенджерами и соцсетями, в части локализации ПДн в РФ, где РКН обещал их заблокировать, если они не обеспечат хранение внутри страны. Тут очевидно нет передачи между организациями, и сервера принадлежат одному и тому же юр лицу.
                              0
                              Тут немного другое. Нужно обеспечить именно хранение с целью обеспечения беспрепятственного доступа к ним ФСБ.
                              При этом хранение копии за бугром этим законом не запрещается. Проблема как раз в законе о защите ПД. А это другой закон.

                              Т.е. один закон предписывает хранить ПД там где шаловливые ручки ФСБ могут до них дотянутся (внутри РФ), а другой не запрещает напрямую хранить при этом копии за бугром но весьма ограничивает (учитывается принятие этой строной Конвенции о защите данных ФЛ, согласие субъекта на трансграничную передачу, обеспечение уровней защищенности и многое другое).
                          0
                          100 тыс. незакрытых заказов в интернет-магазине — это на самом деле много.

                          А почему именно «незакрытых» заказов?

                          Я имел в виду хранение информации о постоянных клиентах, включенных в программу лояльности по скидочным и/или накопительным картам.
                          Активация таких карт может происходить через Инет и требует ввода ФИО и номера телефона.

                          Хотя, мелкие Инет-магазины программы лояльности как раз не заводят. Это фишка более крупных операторов — всяких аптечных сетей, сетевых магазинов электроники и быттехники вроде DNS, М-Видео и др.

                          И, таки да… в самом 152-ФЗ никаких запретов нет. Все меры по обеспечению защищенности перечислены в подзаконных актах. Например в Постановлении Правительства от 01.11.2012 №1119, Требованиях ФСТЭК по обеспечению уровней защищенности и пр.
                          Если требования по обеспечению УЗ-3 выполнить достаточно легко (нужно только подготовить кипу приказов и распоряжений по предприятию, регламентирующих порядок хранения и обработки ПД), то для УЗ-2 уже требуется сертификация рабочих мест и каналов передачи данных. А это влечет применение сертифицированного ПО и оборудования.
                    0
                    Это как раз таки правильное понимание закона и практики: происходит трансграничная передача данных и сбор персональных данных на иностранном сайте — это уже обработка ПДн сама по себе.
                      0
                      Вопрос по трансграничной передаче данных был рассмотрен вот в этом комментарии: habr.com/ru/post/484540/#comment_21160646

                      В общем, трансграничную передачу там можно усмотреть только если «жертва» сама согласится с РКН. Потому как для определения обязательно требуется кроме железки еще кто-то из этих действующих лиц:
                      органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
                        0
                        Вы всю ветку до конца прочтите, тогда все станет яснее.
                  0
                  В течение месяца после исполнения заказа все персональные данные клиента необходимо удалить, либо обезличить.

                  Вот тут у меня как у владельца магазина вопрос — а как тогда отличать постоянных клиентов от непостоянных, чтобы предоставить им скидку?
                    0
                    По номеру телефона, на который отсылается код подтверждения.
                      0
                      Любой магазин, ориентированный на постоянных клиентов, хранит не только номер телефона, но и всю историю заказов, адреса доставки, а некоторые даже (о, ужас!) данные банковской карты. Они все нарушают закон?
                        0
                        История заказов не является ПД. Адрес доставки (не прописки и не проживания) — тоже.

                        Вот с данными карты сложнее. Оператор может хранить и обрабатывать минимальный набор ПД, необходимый для его деятельности. А так ли необходимы данные банковской карты? С другой стороны — это тоже не ПД. Вернее, обезличенные ПД.
                        А с третьей стороны — если это данные карты, с которой произведена оплата, то это тоже ни о чем — оплатить мог другой человек по своей карте. Вот если будет целенаправленный сбор данных о привязке номера телефона к банковской карте, то тогда уже другая история.
                          0
                          По тому, что я вижу написанным на сайтах по части обработки ПД, большинство нарушает закон.

                          Теперь конкретно по комментарию. Если магазин не обезличивает заказы, то он обязан взять у каждого своего покупателя согласие на совершение таких действий. Причем он не имеет право ВЫНУЖДАТЬ пользователя дать такое согласие не давая ему оформить заказ до тех пор, пока пользователь галку с согласием не заполнил. И очевидно, что все пользователи добровольно такое согласие не дадут. Соответственно хранить все данные на всех покупателей — это нарушение закона.
                            0
                            Вот какая мысль посетила голову (впрочем, не уверен, что верная)…

                            Эти данные, вполне вероятно, являются избыточными. И вот к этому могут придраться, несмотря на то, что они обезличены.

                            Но можно же разделить их!

                            Информация, относящаяся к клиенту — это одна БД. Там же номер телефона, число выполненных заказов, общая сумма выполненных заказов, число отказов, величина скидки и пр. А так же список закрытых и открытых заказов (номеров) на настоящий момент. Т.е. не та информация, по которой можно идентифицировать пользователя.

                            Другая БД — сами заказы. Для открытых — адрес доставки. Для закрытых — способ оплаты. Для отказов — причина отказа, вся остальная информация стирается.

                            И в этом случае, конечно, тоже можно придраться, мол если обе части попадут не в те руки, то можно их объединить. Но это (придраться) уже сложнее будет. Ибо в одной БД хранится обезличенный клиент, а в другой совсем даже не ПД, а информация о заказах — куда доставить, как расплатились. И храниться эти БД должны на разных серверах и, желательно, на разных планетах :)
                            И требования по УЗ таких БД гораздо ниже. То ли УЗ-4, то ли вообще не подпадают под уровни защищенности.
                          0
                          Вот тут у меня как у владельца магазина вопрос — а как тогда отличать постоянных клиентов от непостоянных, чтобы предоставить им скидку?

                          В рамках той концепции, что я описываю, мы рассматривали два варианта.

                          1) Скидка предоставляется только клиентам, оставившим отзыв о товаре. Для получения скидки клиент называет номер предыдущего заказа и тыкает, какой он оставлял отзыв. Т.е. хранение ПД для этого не требуется, очевидно, что обезличенные заказы магазин хранит.

                          2) Хорошо написать оферту, в которой прописать, что после получения и оплаты заказа магазин остается должен клиенту определенную сумму, которую клиент может потратить на следующий заказ. В принципе можно проявить фантазию и описать и про скидку на следующий заказ. Не думаю, что там есть очень большие проблемы. Суть в том, что в этом случае договор (оферта) не может считаться полностью исполненной. И ПД мы законно храним в соответствии с пп.5 п.1 ст.6 152-ФЗ.

                          PS Со временем я отвечу на все комментарии, я просто не могу комментировать свою статью чаще чем раз в час из-за кармы:).
                          0
                          Необходимо ли оставлять на сайте такого маленького интернет-магазина политику по искользованию cookie и google analytics/yandex analytics?
                            0
                            Если в планах нет выходить на Европу с их законами, то для России это не актуально. Конкретно магазин обработку ПД не производит. В общем, мы не заморачиваемся.
                              0
                              Спасибо! Просто на встрече 28 января РКН как раз заявил, что нужно разместить, видимо, это относится только к операторам.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое