Пять ошибок интернет-магазинов при работе с персональными данными
С 1 сентября 2022 года продавцы могут быть оштрафованы за отказ продавать товары или услуги клиенту, если тот отказывается представить свои персональные данные. Речь идет о случаях, когда принуждение к передаче данных не предусмотрено законом. Поправки внесены в ст. 14.8 КоАП. И это еще один шаг на пути ужесточения требований к работе с личной информацией.
На сегодняшний день ни один интернет-магазин не обходится без сбора и хранения персональных данных (далее — ПД) покупателей. И это вполне объяснимо: чтобы оплатить товар на сайте и заказать доставку, покупатель должен оставить свои контакты: телефон или адрес электронной почты, адрес проживания. Кроме того, большинство магазинов в целях удержания клиентов делают информационные рассылки, внедряют программы лояльности и таким образом формируют базы клиентов.
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) интернет-магазин в данном случае является оператором ПД, а покупатель — их субъектом. И это накладывают на продавцов жесткие требования.
В этой статье остановимся на нескольких ошибках, которые могут привести к штрафам.
- Отсутствие на сайте политики в отношении обработки персональных данных
- Обработка персональных данных покупателей без их согласия
- Передача персональных данных третьим лицам без согласия на это
- Отсутствие предупреждения об использовании куки-файлов
- Неуведомление Роскомнадзора об обработке персональных данных
- Запрет на принудительный сбор персональных данных клиентов
Отсутствие на сайте политики в отношении обработки персональных данных
Если интернет-магазин занимается обработкой персональных данных покупателей, то он обязан опубликовать на своем сайте этот документ. Обычно политика состоит из шести разделов:
- общие цели политики;
- цели сбора ПД;
- правовые основания обработки ПД;
- объем и категории обрабатываемых данных, категории субъектов ПД;
- порядок и условия обработки ПД;
- актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к ПД.
Под обработку данных попадают различные операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
Политика размещается на сайте, чтобы посетитель сайта смог ознакомиться с ней, кликнув по ссылке.
Посмотрите пример оформления Политики в отношении обработки персональных данных в интернет-магазине Vprok.ru.
Некоторые продавцы включают политику в Пользовательское соглашение. Например, так делает магазин O’stin.
Обработка персональных данных покупателей без их согласия
Недостаточно просто предупредить покупателей о том, что онлайн-магазин обрабатывает ПД. Нужно еще заручиться их согласием на это (ст. 9 Закона о персональных данных).
На сайте Роскомнадзора приводится шаблон согласия. Можно также посмотреть, как оформляют согласие конкретные интернет-магазины.
Роскомнадзор рекомендует интернет-магазинам получать согласие, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты или в виде иных форм договорных отношений.
Как видно на примере выше, получить согласие на обработку ПД можно посредством проставления «галочки» в соответствующей веб-форме. Обратите внимание, что использовать предустановленную «галочку» нельзя. Важно, чтобы посетитель самостоятельно совершил действие.
Роскомнадзор обращает внимание на то, что в случае обработки биометрических и специальных категорий ПД (указаны в ст. 10 Закона о персональных данных) согласие должно быть оформлено в письменной форме.
Меры защиты персональных данных
С 1 марта 2023 года стал актуальным вопрос об удалении ПДн при достижении целей их обработки или при наступлении иных законных оснований. Федеральным законом от 14.07.2022 № 266-ФЗ внесены соответствующие изменения в ряд статей 152-ФЗ. Так, ст. 18.1 указывает на необходимость оператора принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Причем оператор самостоятельно определяет состав и перечень этих мер. К мерам, которые актуализированы с 1 марта 2023 года, относятся следующие:
- Издание оператором, являющимся юрлицом, документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам ПДн, определяющих для каждой цели обработки категории и перечень обрабатываемых данных, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством полномочия и обязанности.
- Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ. Перечень степеней оценки вреда определен Приказом Роскомнадзора от 27.10.2022 № 178 (период действия — с 1 марта 2023 года до 1 марта 2029 года).
Оценка вреда в результате нарушения 152-ФЗ
В случае оценки вреда речь идет о разграничении степеней вреда на высокую, среднюю и низкую. При этом нормативный акт подробно описывает, что к ним относится.
Высокая степень вреда
Так, к высокой степени вреда относится:
- обработка сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются оператором для установления личности субъекта ПДн;
- обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
- обработка ПДн несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ;
- обезличивание ПДн, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг и в других случаях.
Средняя степень вреда
Характеризуется следующими сценариями:
- обработкой и распространением ПДн на официальном сайте оператора, предоставление ПДн неограниченному кругу лиц;
- продвижением товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПДн, владельцем которых является иной оператор;
- получением согласия на обработку ПДн посредством функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
- осуществлением деятельности по обработке ПДн, предполагающей получение согласия на обработку, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкая степень вреда
Может охватывать ведение общедоступных источников ПДн, сформированных в соответствии со ст. 8 Закона о персональных данных или назначение в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
При наступлении последствий в виде разглашения указанных сведений результаты оценки вреда должны быть зафиксированы в акте. Допускается электронный формат такого документа, но в этом случае он должен быть подписан ЭП. Таким образом он будет равнозначен документу на бумажном носителе, подписанном собственноручно.
Требования к оператору персональных данных по устранению нарушений
Ст. 21 Закона о персональных данных устанавливает требования к оператору по устранению нарушений, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн. Так, в частности, согласно п. 3.1, в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн оператор обязан уведомить об этом Роскомнадзор. А именно:
- в течение 24 часов поставить в известность об инциденте и причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде и принятых мерах по устранению последствий произошедшего, а также предоставить сведения о лице, которое взаимодействует с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
- в течение 72 часов сообщить о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Ваш запрос относится к запрету на обработку персональных данных. Запрет на обработку персональных данных является одним из основных прав граждан, предоставленных им Закона Российской Федерации «О персональных данных».
Согласно этому Закону, граждане имеют право требовать запрещения обработки своих персональных данных, если обработка является незаконной или не соответствует целям сбора этих данных. После получения такого запроса, оператор персональных данных должен прекратить обработку этих данных или прекратить их использование в целях, не согласованных с гражданином или не предусмотренных законом.
Для запрета на обработку персональных данных вы можете обратиться к оператору персональных данных либо к специально уполномоченному органу, установленному Законом о персональных данных.
Если оператор персональных данных не исполняет обязанностей по прекращению обработки персональных данных, граждане имеют право обратиться в суд для защиты своих прав на неприкосновенность персональной жизни и охрану персональных данных.
Как сделать запрет на обработку персональных данных?
Для того чтобы подать заявление на отзыв своих персональных данных, у вас есть три способа:
- Подать заявление лично в письменном виде. В этом случае вам потребуются два экземпляра заявления. В одном из экземпляров представитель организации, к которой обращаетесь, должен расписаться в получении заявления.
- Подать заявление в электронном виде. Если у организации, к которой обращаетесь, есть соответствующая возможность на своем сайте или через мобильное приложение, вы можете воспользоваться этим способом. Просто следуйте инструкциям и заполните форму заявления.
- Отправить заявление почтой. В этом случае вам нужно отправить заказное письмо с уведомлением о вручении. В письме приложите ваше заявление и отправьте его по указанному адресу.
Что будет если отказаться от обработки персональных данных?
Какими-то временными мерами в отношении потребителей стали изменения в законе. В соответствующей статье 14.8 КоАП РФ добавили новую часть 7, которая гласит о том, что с 1 сентября 2022 года запрещено отказываться от заключения, исполнения, изменения или расторжения договора с потребителем из-за его отказа предоставить персональные данные. Если такое правонарушение будет выявлено, лицо, нарушившее это правило, будет подвергнуто штрафу. Таким образом, недобросовестные поставщики услуг или продавцы больше не смогут отказывать потребителям в заключении или исполнении договоров только из-за их отказа предоставить персональные данные. Это является важным шагом для защиты прав потребителей и обеспечения их конфиденциальности.
Как ограничить согласие на обработку персональных данных?
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», абонент имеет право отозвать свое согласие на обработку персональных данных. Для осуществления данного права необходимо написать письменное заявление и обратиться к оператору услуг связи, с которым был заключен договор. В данном случае, обратиться следует к оператору tele2.ru. Оператор обязан рассмотреть заявление и прекратить обработку персональных данных абонента, за исключением случаев, предусмотренных законом.
Как изменится работа с персональными данными с 1 марта 2023 года?
C 1 марта 2023 года, для подтверждения факта уничтожения персональных данных необходимо предоставить соответствующие документы, установленные приказом Роскомнадзора от 28.10.2022 № 179. Такими документами являются акт и выписка.
Для регистрации ликвидации бумажных и иных материальных носителей, содержащих персональные данные, следует заполнить акт. В данном акте должны быть указаны данные, предусмотренные пунктом 3 приложения к приказу № 179.
Как правильно отказаться от обработки персональных данных?
Согласно законодательству, каждый имеет право на защиту своих персональных данных. Если вы хотите отозвать свое согласие на обработку персональных данных, вам необходимо написать отзыв согласия в свободной форме. Пример такого отзыва можно найти на сайте Роскомнадзора.
В отзыве необходимо указать свои персональные данные и просьбу о прекращении обработки этих данных. После того, как вы составите отзыв, необходимо направить его оператору, то есть компании или лицу, которое обрабатывает ваши данные.
Роскомнадзор рекомендует отправлять отзыв о согласии тем же способом, каким оно было предоставлено. Например, если вы дали согласие по электронной почте, то и отзыв также можно отправить по электронной почте.
Помните, что отзыв согласия должен быть четким и однозначным, чтобы оператор мог прекратить обработку ваших персональных данных в установленные сроки.
Можно ли отказаться от обработки персональных данных?
Правила охраны персональных данных являются важным аспектом современной сферы трудовых отношений. В соответствии с Законом о персональных данных, работодатель обязан защищать персональные данные своих работников и предотвращать их неправомерное использование. Однако, в определенных случаях, работодатель может отказать в предоставлении этих данных третьим лицам даже при наличии письменного согласия работника, если такой отказ соответствует требованиям закона.
Статья 7 Закона о персональных данных устанавливает основные правила предоставления персональных данных работников третьим лицам. В силу данной статьи, работодатель может отказать в предоставлении персональных данных, если их предоставление не требуется федеральными законами. То есть, если существуют законные основания для требования предоставления данных, например для участия в уголовном расследовании или в административной процедуре, то работодатель обязан предоставить эти данные третьим лицам, даже без явного согласия работника.
Таким образом, работодатель имеет определенные права и обязанности в отношении персональных данных своих работников. Он должен защищать эти данные и предотвращать их неправомерное использование, но может отказать в их предоставлении третьим лицам, если такой отказ соответствует требованиям закона..
Источник: https://www.consultant.ru/document/cons_doc_LAW_61801/7894d72b3f41f2b4bfc96e109f5bcb609303bc18/
Что будет если не подписывать согласие на обработку персональных данных?
Если вы отказываетесь подписать согласие на обработку персональных данных, это не повлияет на исполнение условий трудового договора. Работодатель имеет право обрабатывать ваши данные без вашего согласия в рамках необходимости исполнения обязанностей по трудовому договору.
Чем опасно давать согласие на обработку персональных данных?
Статья 13.11 КоАП РФ предусматривает административную ответственность за нарушение правил обработки персональных данных. Операторы могут быть оштрафованы за обработку персональных данных в ситуациях, которые не предусмотрены законодательством, а также за обработку данных, несовместимую с целью их сбора. За такие нарушения операторам может быть наложен штраф в размере до 100 тысяч рублей.
Изменения в обработке персональных данных с 01 марта …
2. Субъект персональных данных вправе отозвать свое согласие на обработку своих персональных данных в любое время, если иное не предусмотрено законодательством Российской Федерации.
3. Запрещается обработка персональных данных без соблюдения условий обеспечения их защиты, включая недоступность третьим лицам без согласия субъекта персональных данных или законных оснований.
4. Обработка персональных данных, являющихся специальными категориями персональных данных (например, данные о расовой или национальной принадлежности, политических убеждениях, религии, здоровье, интимной жизни и др.), запрещается без явного согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.
5. Запрещается обработка персональных данных, осуществляемая с использованием информационных систем, которые находятся за пределами территории Российской Федерации, за исключением случаев, когда такая обработка осуществляется на территориях иностранных государств, обеспечивающих достаточную защиту прав субъектов персональных данных.
История, которую я расскажу, основана на реальных судебных делах, и имеет интригующие сюжетные повороты, связанные с запретом на обработку персональных данных.
В одном из дел компания "Альфа Банк" была обвинена в нарушении законодательства о персональных данных. Клиент банка, г-н Иванов, утверждал, что банк незаконно собирал и обрабатывал его персональные данные без его согласия.
Юристы "Альфа Банка" утверждали, что они имеют право собирать персональные данные клиентов для выполнения своих обязательств и обеспечения безопасности банковских операций. Они ссылались на статью 6 Общего регламента по защите данных (GDPR), которая предусматривает легальность обработки персональных данных, если обработка необходима для выполнения договора или если у обработки есть законные основания.
Однако, в ходе судебного процесса, стало ясно, что "Альфа Банк" собирал и обрабатывал персональные данные г-на Иванова без его явного согласия. Они не предоставили ему возможность отозвать свое согласие на обработку данных или управлять своими настройками конфиденциальности.
Возник вопрос о том, имеет ли "Альфа Банк" законные основания для обработки персональных данных г-на Иванова без его согласия. В ходе рассмотрения дела стало известно, что банк не обеспечил должную прозрачность и информирование клиента о целях сбора и обработки его персональных данных.
Суд пришел к выводу, что "Альфа Банк" нарушил запрет на обработку персональных данных г-на Иванова без его согласия. Банк был обязан возместить ущерб, причиненный клиенту, и принять меры для улучшения своих политик в области защиты персональных данных.
Этот случай стал прецедентом и привлек внимание других компаний к необходимости соблюдения правил обработки персональных данных и обеспечения прозрачности и согласия клиентов. Он также подчеркнул важность правильной интерпретации и применения законодательства о персональных данных для защиты прав и интересов граждан.