Instrucțiuni pentru comercianții cu amănuntul online, care nu doresc să încalce legea privind datele personale
Shopolog: Ce măsuri ar trebui un magazin online pentru a respecta o nouă lege privind datele cu caracter personal?
Mikhail Yatsenko, Asociația Națională de vânzare la distanță: Pentru a procesa în mod legal date cu caracter personal, companiile trebuie să fie înregistrate ca operator de date cu caracter personal (cu excepția cazurilor stabilite de lege „privind protecția datelor personale“). Este simplu: site-ul Roskomnadzor vă completați formularul și trimite-l electronic la departamentul. Înregistrarea este considerat un avertisment. Problema se află în altă parte. Pentru a completa acest formular, trebuie să dețină o serie de activități în cadrul companiei. Alter reglementări, forma contractului de utilizator, atribuie responsabilități care va proteja datele personale. În total, aproximativ 15 documente, potrivit datelor noastre.
Acest lucru este valabil pentru orice date?
Ce ar trebui să magazin online pentru a scrie în acordul lor de utilizare, care este suficient pentru ca utilizatorul să controleze și consimțământul pentru transferul Poa sa înregistrat luate în considerare?
Firma de avocatura „Senechal Neumann“: În cazul în care magazinul online nu transmite date către părți terțe și să le folosească numai pentru executarea contractului cu clientul (vânzarea și cumpărarea de servicii conexe), opțiunile sunt multe: de exemplu, puteți scrie că, dacă un utilizator se conectează la site-ul și / sau completați o cerere, furnizarea de date personale - aceste acțiuni vor fi luate în considerare consimțământul utilizatorului la prelucrarea datelor sale cu caracter personal pentru executarea contractului de utilizator. De asemenea, este necesar să se specifice în metoda acord de utilizator pentru un acord de acceptare utilizator (plata în avans, înregistrarea pe site-ul, etc.).
In zilele noastre de lucru companii de pe piață care se adună baza de date cu privire la magazinele online la cerere. Cine este operatorul datelor cu caracter personal în acest caz și dacă magazinul online trebuie să se înregistreze ca un operator de PD?
Firma de avocatura „Senechal Neumann“: Operatorul - cel care oferă locuri de muncă la colectarea datelor cu caracter personal, definește scopul, metodele, gradul de utilizare a acestora. În cazul în care magazinul on-line a încheiat un contract cu o companie și-a dat instrucțiuni ei pentru a colecta anumite date, operatorul este un magazin online. Și el trebuie să se înregistreze ca un operator de PD. Dar, în cazul în care magazinul online colecteaza datele utilizatorul trebuie doar să efectueze contractul cu utilizatorul, legea permite să nu se înregistreze înainte de prelucrarea subiectului datelor cu caracter personal, că datele cu caracter personal nu se aplică și nu sunt disponibile pentru terți fără consimțământul utilizatorului (articolul 22 ore. 2 Act revendicarea 2).
Și în cazul în care magazinul online colectează datele de la sine, dar pe termen lung, nu exclude posibilitatea de a vinde bazei sale?
Mikhail Yatsenko, Asociația Națională de vânzare la distanță: În acest caz, responsabilitatea revine, de asemenea, cu magazinul. baze de Vanzare - este normal, în cazul în care există consimțământul utilizatorului să transfere date către terți. Acest articol ar trebui să fie înregistrate în acordul de utilizare. Firma de avocatura „Senechal Neumann“: Și nu numai pentru transfer, ci și pentru toate celelalte utilizări.
Se poate arata consimțământul? Este adevărat că „tic“ în fereastra pop-up-banner-ul nu este considerat?
Mikhail Yatsenko, Asociația Națională a vânzării la distanță: Nici un semn de selectare nu este considerat. Cum se dovedi atunci că el a pus această alochku? Reguli modul de a obține consimțământul, nu încă înregistrat. Legea spune doar că acordul trebuie să fie expresă. Aceasta este, utilizatorul trebuie să înțeleagă ceea ce el este de acord. În mod ideal, acordul este mai bine să se stabilească cu ajutorul înregistrării sau cere semnătura clientului pe suport de hârtie - de exemplu, pe cec sau pe formularul de comandă. Pentru a obține consimțământul pentru colectarea de date specifice vor necesita, de asemenea, detalii pașaport. Instanța decide, de asemenea, să ia în considerare acordul obținut de la client ca o condiție prealabilă pentru înregistrarea comenzii.
Firma de avocatura „Senechal Neumann“: Nu chiar. „Checkmark“ este considerat. Dar este mai ușor să conteste decât un document scris cu o semnătură. În general, acordul dat prin e-mail sau ca un „tick“ în interfața site-ului nu garantează că acesta le-a primit de la persoana ale cărei date cu caracter personal pe care doriți să le procesați. Și pentru a vă asigura că identitatea unei persoane, trebuie să verificați pașaportul. Aceasta este, fără contact personal este nici o garanție legalitatea colectării datelor cu caracter personal. În mod ideal, aveți nevoie de o notă personală, precum și prezentarea unui pașaport (o dată a apărut un om) încheie un contract privind utilizarea, difuzarea datelor cu caracter personal. În prezența unui astfel de operator de contract nu are nevoie să se afirme în Roskomnadzor (care este necesară în cazul unui acord scris al subiectului PD în absența operatorului contractului - Articolul 22 din Legea).
Și în cazul în care utilizatorul a fost de acord inițial, dar apoi a schimbat mintea lui, el ar trebui să spun așa?
Mikhail Yatsenko, Asociația Națională de vânzare la distanță: De asemenea, de preferință, în scris, nu prin elektronku. Cu toate acestea, dacă el nu vrea să primească de la tine scrisoarea și nu au fost de acord să vă dau dreptul de a prelucra datele lor, fie să o facă prin forță?
Firma de avocatura „Senechal Neumann“: Apropo, ține cont de faptul că subiectul PD, de exemplu, utilizatorul poate interzice în orice moment anterior le-a permis să tratamentul PD.
Care este responsabilitatea este prevăzută pentru nerespectarea legii?
Mikhail Yatsenko, Asociația Națională de vânzare la distanță: puteți veni la auditori - planificare sau ca urmare a unei plângeri. În cazul în care testul constată că societatea nu este înregistrată ca operator de date cu caracter personal, dar datele pe care le colectează, sau, de exemplu, că utilizatorul este rugat să-l elimine de la bază, și nu este eliminat - acesta prevede sancțiuni. Pedeapsa maximă - suspendarea companiei timp de 90 de zile. Dar suspendarea procedurii nu a fost încă precizat - și, în consecință, nu se aplică într-adevăr. Acesta este folosit, asa ca e bine. Astăzi, este o medie de 5 până la 10 mii de ruble. Cu toate acestea, modificările aduse Codului cu privire la contravențiile administrative și Codul penal deja pe drum. Parlamentarii Amenzi promit să crească la mai multe milioane. Și prevăd încălcarea repetată pedeapsa de până la 5 ani de închisoare.