Как изменения в законе О персональных данных повлияют на e-commerce и не только
1 июля 2017 года вступили в силу поправки в Кодекс об административных правонарушениях РФ, которые касаются сбора, хранения и обработки персональных данных. Многие об этом уже написали, но мы хотим остановиться на нескольких моментах: разобраться, что же все-таки является персональными данными, посоветовать, как интернет-магазинам избежать проблем с проверяющими органами, и поделиться собственным опытом.
Содержание:
- Что изменилось?
- Сколько теперь придется заплатить за нарушения закона?
- Что может послужить основанием для проверки сайта
- Что считается персональными данными и кто является оператором ПД
- Кейс Retail Rocket, или почему сервис-провайдер может не быть оператором персональных данных?
- Обработка персональных данных третьей стороной
-
Что делать, если вы все-таки являетесь оператором персональных данных
- 1. Получите согласие пользователя на обработку его персональных данных.
- 2. Используйте информацию только для оговоренных целей.
- 3. Разместите на сайте «Политику обработки персональных данных».
- 4. Направьте уведомление об обработке в Роскомнадзор.
- 5. Отвечать на официальные запросы от пользователей или государственных органов.
- 6. Удалять или изменять персональные данные по запросу.
- Советы в заключение
Федеральный закон от 07.02.2017 N 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях” вызвал нешуточный ажиотаж (и иногда даже панику) среди всех, кто так или иначе собирает и хранит персональные данные. Но первое, что хочется сразу отметить, это факт, что поправки предусматривают только смену проверяющего органа, увеличение штрафов и детализацию нарушений, в то время как сам порядок обработки и защиты персональных данных не изменился.
Т.е. если раньше у вас было все в порядке, и вы не боялись проверок, скорее всего, можете выдохнуть спокойно. А если беспокоитесь – воспользуйтесь нашим чек-листом в конце статьи.
С другой стороны, если до этого вы могли относиться к персональным данным спустя рукава из-за небольших штрафов (до 10 тыс. руб.) и долгого процесса рассмотрения дел (ими занималась исключительно прокуратура), то теперь этого делать не получится – Роскомнадзор будет разбираться гораздо быстрее, а штрафы доходят до 75 тысяч рублей для юридических лиц.
Что изменилось?
Ранее статья 13.11 КоАП РФ практически не работала сразу по трем причинам:
- отсутствовала четкая детализация нарушения;
- штраф для для юридических лиц составлял всего 10 000 рублей, а для физических лиц – 500 рублей;
- протоколы об административном нарушении составляла прокуратура, у которой существуют более важные и приоритетные дела.
Сейчас ситуация кардинально изменилась и кроме детализации нарушений и резкого увеличения штрафов, возможность составления протоколов предоставили Роскомнадзору. Последний весьма активен в «прочесывании» интернета, поэтому высока вероятность, что своим правом организация воспользуется при первой же возможности. Поэтому тем компаниям (и интернет-магазинам в частности) которые являются операторами персональных данных, стоит проверить соответствие своих сайтов текущим нормам законодательства.
Сколько теперь придется заплатить за нарушения закона?
Увеличение штрафных санкций за нарушение правил обработки персональных данных становится заметным не только для небольших сайтов, но и для крупных магазинов, оперирующих большими оборотами. Сейчас в законе предусмотрены следующие штрафы для юридических лиц:
- неправомерная обработка персональных данных (например, продажа сведений третьим лицам) – от 30 до 50 тысяч рублей;
- обработка без письменного согласия пользования или с нарушением требований, установленных ФЗ №152, – от 15 до 75 тысяч рублей;
- отсутствие действующей политики в области обработки персональных данных – от 15 до 30 тысяч рублей;
- Невыполнение запросов, касающихся уточнения типов запрашиваемых персональных данных и целей их сбора, – от 20 до 40 тысяч рублей;
- Невыполнение требования пользователя, касающегося удаления его данных, – от 25 до 45 тысяч рублей;
- утечка данных в результате нарушений действующих правил обработки или недостаточной защиты – от 25 до 50 тысяч рублей;
- несвоевременное выполнение предписаний со стороны государственных контролирующих органов – от 3 до 6 тысяч рублей (для должностных лиц).
Что может послужить основанием для проверки сайта
Существуют два ключевых основания: жалоба и проведение плановых проверок (если вы являетесь оператором персональных данных). По данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Не забывайте о том, что никто не застрахован от жалобы со стороны конкурентов. Кроме того, количество проводимых проверок также растет: с 743 в 2013 году до 2053 в 2016.
Что считается персональными данными и кто является оператором ПД
Больше всего вопросов вызывает само понятие персональных данных. Четкого перечня нет ни в Кодексе, ни в новых поправках к нему, но в п.п. 1 п. 1 ст. 3 ФЗ «О персональных данных» № 152-ФЗ от 27.07.2006 г. установлено, что персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Несмотря на то, что многие считают персональными данными ФИО, физический адрес проживания или регистрации, адрес электронной почты, номер мобильного или стационарного телефона, дату (место) рождения, профессию, уровень образования и т.д., большинство из этих данных, по крайней мере в отдельности друг от друга, не являются персональными.
Понятие персональных данных, установленное в законе, расшифровывается в научно-практическом комментарии вышеуказанного закона под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой:
«Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо».
Таким образом, если совокупности данных недостаточно, чтобы точно определить конкретного человека, эти данные не считаются персональными.
Приведем несколько примеров:
- e-mail и имя – не являются персональными данными
- e-mail и дата рождения – не являются персональными данными e-mail
- e-mail, имя и телефон – не являются персональными данными
- e-mail и Big Data (данные о поведенческих привычках пользователя) – не являются персональными данными.
Т.е. с одной стороны, владелец сайта, где имеются формы регистрации, подписки или обратной связи, собирающие перечень данных, достаточных для идентификации пользователя (например, одновременно e-mail, ФИО и дату рождения), такие данные будут считаться персональными, а владелец сайта попадает под понятие «оператор персональных данных». Однако с учетом п.2 ст.22 ФЗ «О персональных данных» не все должны направлять уведомление об обработке персональных данных в уполномоченный орган (подробнее об этом расскажем дальше).
С другой стороны, если вы собираете на своем сайте данные, которые не дают возможности четко идентифицировать пользователя (к примеру только адреса электронной почты, даже в совокупности с именем), то никаких уведомлений об обработке персональных данных направлять в уполномоченный орган не требуется. Но в любом случае лишним не будет разместить на сайте форму согласия пользователя с обработкой его ПД (чекбокс), а также Политику обработки ПД.
Также, вопреки расхожему мнению, к персональным данным не относится информация о поведении пользователя на сайте и все, что принято относить к Big Data, поскольку по этим данным невозможно идентифицировать пользователя.
Кейс Retail Rocket, или почему сервис-провайдер может не быть оператором персональных данных?
Казалось бы, платформа для мультиканальной персонализации должна также подпадать под действие закона – как можно давать пользователям персональные рекомендации, не используя персональные данные?
Но Retail Rocket получает с сайта интернет-магазина обезличенную информацию, по которой невозможно идентифицировать конкретное физическое лицо.
Схема взаимодействия между Retail Rocket и интернет-магазинами выглядит так:
- Пользователь предоставляет информацию о себе для исполнения заказа на сайте интернет-магазина
- Информация сохраняется на сервере интернет-магазина
- Размещенный на интернет-магазина трекинг-код формирует поведенческую статистику пользователя
- Методом выборки информации с сайта интернет-магазина у исполнителя на основании статистики поведения пользователя формируется база товарных рекомендаций
- Статистика поведения пользователя сохраняется на сервере исполнителя и содержит обезличенную информацию о пользователе и иных идентификаторах
Таким образом, для формирования товарных рекомендаций платформа не использует никаких персональных данных.
Что же касается платформы массовых рассылок, то как мы уже выяснили выше, адрес электронной почты, имя или дата рождения без других точных данных, позволяющих идентифицировать пользователя, не являются персональными данными.
По этому поводу у нас есть кейс-история. Наш юрист оставила свой адрес электронной почты на сайте одного из интернет-магазинов и этот адрес был передан третьим лицам, чья компания зарегистрирована за пределами Российской Федерации и соответственно данные хранит тоже за пределами страны, что должно считаться нарушением ФЗ-152 «О персональных данных».
По этому прецеденту была составлена жалоба в Роскомнадзор с изложением всех фактов и просьбой о внеплановой проверке этого интернет-магазина:
Согласно ответу Роспотребнадзора «адрес электронной почты является персональными данными при условии наличия дополнительной информации, позволяющей отнести его к конкретному физическому лицу (субъекту персональных данных)»:
Таким образом платформа Retail Rocket не является оператором персональных данных, вся информация хранится только на серверах самого интернет-магазина, а значит работа с сервисом не требует от клиентов никакого дополнительного согласия на обработку, помимо того, которое пользователь дает интернет-магазину.
Обработка персональных данных третьей стороной
Отдельно нужно отметить, что согласно ч.3 ст.6 ФЗ-152 «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона».
При этом в соответствии ч.4 ст.6 ФЗ-152 «Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных».
Таким образом, если оператор ПД, например, интернет-магазин, поручает третьему лицу, например, сервис-провайдеру, обработку персональных данных в целях, обозначенных в политике конфиденциальности (в нашем случае это e-mail рассылки и формирование товарных рекомендаций), сервис-провайдер не должен получать от пользователей дополнительное согласие.
Ответственность перед субъектом персональных данных при этом несет оператор ПД (интернет-магазин), а сервис-провайдер или иное третье лицо отвечает перед оператором.
Кроме того, еще акцентируем внимание на том, что если вы собираете данные, не достаточные для идентификации пользователя, вы не являетесь оператором ПД и не попадаете под действие закона. Расскажем на своем примере.
Что делать, если вы все-таки являетесь оператором персональных данных
Для соблюдения требований закона соблюдайте следующие правила:
1. Получите согласие пользователя на обработку его персональных данных.
Для этого разместите в виде отдельного документа пользовательское соглашение. В качестве основы можно взять аналоги на других сайтах, но обязательно перед размещением прочитайте и подкорректируйте их в соответствии с особенностями вашего ресурса. Закон явно запрещает сбор лишней информации, поэтому в соглашении и по факту у пользователя, например, для рассылки электронной почты не должен запрашиваться адрес его проживания.
Согласие пользователя должно фиксироваться и храниться в виде log-файла вне зависимости от способа подтверждения (галочка, код из SMS). Также обязательно подписание подобного документа до момента получения от пользователя персональных данных.
В качестве хороших примеров документов приведем следующие сайты:
- политика конфиденциальности как у интернет-магазина Ozon или re-store;
- официальное уведомление, как на сайте М-видео;
- правила продажи, например, как у Читай-города;
- пользовательское соглашение, как на сайте интернет-магазина Lamoda.
Вне зависимости от конкретного выбора примера итоговый вариант документа должен включать следующую информацию:
- информацию об операторе персональных данных;
- четкое указание целей сбора персональных данных;
- перечень данных, которые будут собираться;
- список действий, которые могут быть совершены с этими данными;
- способ отзыва согласия пользователя на хранение данных;
- срок хранения персональных данных;
- контактные данные для запроса информации пользователем о своих персональных данных.
2. Используйте информацию только для оговоренных целей.
Если вы предлагаете зарегистрированному пользователю дополнительные сервисы или услуги, требующие использования персональных данных, то необходимо повторное получение согласие по примеру предыдущего пункта. Если цель, для которой собирались сведения, была достигнута, то они должны быть уничтожены автоматически при условии, что в соглашении не оговорено иное.
3. Разместите на сайте «Политику обработки персональных данных».
Она должна находиться в открытом доступе и на видном для пользователя месте, описывать все принципы обработки данных пользователей.
4. Направьте уведомление об обработке в Роскомнадзор.
Сделать это можно в электронном или бумажном виде. В документе должна быть указана следующая информация:
- наименование оператора персональных данных;
- цель сбора и обработки информации;
- перечень видов собираемых данных;
- список субъектов, данные которых обрабатываются;
- основание обработки информации;
- список действий с полученной информацией;
- наличие и описание видов мер, направленных на защиту собираемой информации;
- ФИО и контактные данные лица, отвечающего за обработку персональных данных;
- дата начала обработки;
- информация о местонахождении базы, где содержатся данные;
- подтверждение соответствия нормативам требований обеспечения безопасности персональных данных.
Если не интернет-магазин осуществляет сбор ПД исключительно с целью надлежащего исполнения обязательтв перед пользователе/покупателем, он вправе не направлять в адрес Роскомнадзора уведомление о своем намерении обрабатывать ПД.
Согласно под. 2 п. 2 ст. 22 ФЗ “О персональных данных” Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Таким образом, если интернет-магазин обрабатывает персональные данные исключительно с целью надлежащего исполнения обязательств по размещенному на сайте договору оферты, к примеру, для исполнения обязательств по доставке товара покупателю, регистрация в Роскомнадзоре не требуется.
5. Отвечать на официальные запросы от пользователей или государственных органов.
После получения подобного запроса необходимо направить официальный ответ в течение 30 дней. Обратите внимание, что подобный документ может рассматриваться в качестве письменного доказательства при разбирательстве, поэтому отвечать необходимо по существу.
6. Удалять или изменять персональные данные по запросу.
На это владельцу сайта отводится 7 дней, по истечении которых в базе не должно о нем остаться никаких сведений.
Выполнение требований избавит вас от риска получить штраф за неправильное обращение с персональными данными. Соблюдение подобных пунктов требует, по большому счету, только затрат на первоначальном этапе, а вложенные инвестиции обернутся сторицей в виде спокойствия. Что касается обращений со стороны Роскомнадзора и отдельных пользователей, то их количество будет небольшим, поэтому ответы на них не отнимут много времени.
Советы в заключение
Если вы поняли, что являетесь оператором ПД, прежде всего проверьте Политику конфиденциальности (или срочно создайте, если по каким-то причинам у вас ее не было), чтобы она соответствовала всем требованиям закона о персональных данных.
Добавьте чек-бокс, в котором пользователь будет соглашаться на обработку персональных данных. Он должен быть в каждой форме на сайте и иметь содержание вида «Нажимая кнопку “Зарегистрироваться”, я принимаю условия Пользовательского соглашения и даю свое согласие на обработку персональных данных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ “О персональных данных” на условиях и для целей, определенных Политикой конфиденциальности.» со ссылкой на саму Политику конфиденциальности.
Сохраняйте доказательства получения согласия. Чтобы доказать законность сбора, хранения и обработки данных Роспотребнадзору, вам понадобятся свидетельства согласия от пользователей. Это может быть емейл, IP-адрес, с которого совершена подписка, дата подписки, sms-код и т.д.
А если вы поняли, что по собираемыми вами данным нельзя идентифицировать конкретного человека, можете выдохнуть спокойно и не реагировать на панику вокруг.