Чек-лист, правовые и технические аспекты при обработки персональных данных для интернет-магазина
Мы не знаем какой у Вас бизнес, но, если он связан с большим количеством клиентов, стоит задуматься о безопасности данных. Политика обработки персональных данных для интернет-магазина требует детальной проработки и особого внимания, так как постоянно вводится большое количество конфиденциальной информации клиентов. Парадокс в том, что с каждым годом в мире появляется все больше нормативных документов, государства вводят и ужесточают ответственность за нарушения в этой сфере, однако персональные данные все еще относятся к категории уязвимых и часто являются объектом различных злоупотреблений. Российская Федерация достаточно поздно обратила свое внимание на эту проблему. Если в Европе ей уделяли внимание с начала 20 века, то в нашей стране развитие законодательной базы в этой сфере началось лишь в 1995 году. На сегодняшний день в РФ действует Федеральный закон от 27.07.2006 No152-ФЗ «О персональных данных», все положения которого Вам необходимо соблюдать при ведении бизнеса.
В случае нарушений, допущенных при работе с персональными данными, предусмотрена административная ответственность. Согласно ст. 13.11 КоАП, предусмотрены штрафные санкции, размер которых устанавливается в зависимости от статуса нарушителя (физическое либо должностное лицо, индивидуальный предприниматель, а также юридическое лицо), поэтому соблюдение закона О персональных данных является обязательным. Также размеры штрафа зависят от вида нарушения. К примеру, если на сайте не предусмотрена политика конфиденциальности, в таком случае размер штрафа для индивидуального предпринимателя будет установлен в сумме 10 тысяч рублей, а для юридического лица — 30 тысяч. В некоторых случаях суммы штрафов доходят до семидесяти пяти тысяч рублей. Кроме того, возможна также и криминальная ответственность, предусмотренная ст. 137 УК РФ.
Еще одни документ, на который стоит обратить свое внимание, является т.н. GDPR – Генеральный регламент ЕС для защиты персональных данных. Этот регламент был принят в Европейском Союзе, он должен распространяться не только на территории его стран-членов, юридическая сила GDPR экстерриториальна. После вступления закона в силу в 2018 году во время обработки данных пользователей, среди которых идентифицирован хотя бы один гражданин ЕС, обязательно должен быть соблюден этот регламент. Соблюдение GDPR заключается в том, что Вам необходимо обеспечить своим клиентам реализацию следующих прав:
- На доступ к своим конфиденциальным данным. Ваши клиенты должны в любой момент иметь доступ к своим данным, у них должна быть возможность получить дополнительную информацию об их обработке;
- На переносимость полученных личных данных;
- Быть проинформированным, если данные были взломаны. Для это компания и организация незамедлительно должна информировать пользователя о нарушении безопасности его данных.
- На удаление персональных данных и забвение. Если клиент более не желает, чтобы его данные обрабатывались и при этом нет никаких законных оснований для их дальнейшего сохранения (например, решение суда), такие данные подлежат удалению.
Чтобы избежать сложностей при работе с персональными данными клиентов, мы предлагаем Вам чек-лист того, что требуется сделать при запуске сайта компании.
Прежде чем начать...
- Определите, являетесь ли вы оператором персональных данных.
В том случае, если Вы обрабатываете какие-либо данные, позволяющие идентифицировать человека, вы являетесь оператором персональных данных.
Если Вы оператор персональных данных, в Ваши обязанности входит уведомление об этом Роскомнадзора с целью дальнейшего внесения Вас в государственный реестр операторов персональных данных.
Разрешается не подавать уведомление, если:
- Субъектом персональных данных личная информация опубликована самостоятельно.
- Обработке подлежат только данные сотрудников Вашей компании;
- Персональные данные получаются только для заключения договора с конкретным человеком, а дальнейшее использование данных в других целях исключено;
- сохраняются только Ф.И.О. клиента;
- Определите, распространяется ли на Вас действие GDPR
если Вы занимаетесь обработкой персональных данных хотя бы 1 пользователя, являющегося гражданином Европейского Союза, требуется обязательное соблюдение GDPR.
Если на вас, как на оператора, распространяется GDPR, нужно определить кем Вы являетесь: Контроллером, Процессором данных или Вы буде совмещать обе функции одновременно.
Контроллер данных обеспечивает взаимодействие с клиентом (обычно выступающим физическим лицом), а также осуществляет сбор его данных и передает их Оператору.
Процессор данных (Оператор) получает персональные данные клиента от контроллера, осуществляет хранение их или обработку. Работа с физическими лицами при этом не ведется. Выполняется исключительно обработка их данных, строго по поручению контроллера. Статус процессора можно потерять, если будет зафиксирована «самодеятельность» со стороны процессора вопреки указаниям контроллера.
Правовые аспекты
- Составлена и опубликована политика конфиденциальности для сайта.
- Категории собираемых личных данных
- Цели этого сбора
- Условия, при которых осуществляется сбор
- Сроки для обработки информации
- Методы обработки (Яндекс.Метрика, Google ads и т.д.)
- Уточнение прав и обязанностей сторон (Пользователя и Оператора)
- Особенности процедуры передачи информации третьим лицам
- Методы защиты конфиденциальных данных
- Использование cookies
- Внести контактные данные назначенного ответственного за обработку персональных данных лица
- Составить локальные акты, которые регламентируют нормы хранения и обработки персональных данных, а также ответственность сотрудников, имеющих к ним доступ.
- Уведомить Роскомнадзор о том, что Вы – оператор персональных данных, для внесения данных в реестр.
В том случае, если нормы и правила GDPR распространяются и на Вас:
- Организовать учет целей обработки; технических мер безопасности и категорий данных; информации о третьих сторонах, которым могут быть переданы персональные данные, а также правовое урегулирование норм таких переводов, периоде хранения данных; создании, удалении, а также изменении персональных данных физических лиц
Технические аспекты
- Разработать механизм защиты конфиденциальных данных
- Выбрать подходящую систему для осуществления сбора и хранения персональных данных
- Опубликовать официальную политику конфиденциальности на сайте таким образом, чтобы у пользователя был свободный к ней доступ.
- Организовать специальное охраняемое помещение с разграниченным доступом для обеспечения хранения персональных данных
- Проверить степень готовности и эффективности использования средств защиты информации
- Проверить физическую защищенность данных (e.g. от кражи)
Если требуется:
- Разместить Форму для Регистрации, где пользователь самостоятельно и осознанно может дать согласие на сбор и обработку персональных данных.
- Создать личный кабинет\профиль пользователя\и т.д., где пользователь сможет самостоятельно изменять свои персональные данные, а также удалять или блокировать свой профиль с данными.
Организационные аспекты (HR)
- Выбрать Data Protection Officer (DPO) – ответственный за обработку персональных данных.
- Ограничить число сотрудников с доступом к персональным данным
- Проинформировать сотрудников с правилами допуска к персональным данным и их обработки.
Общие советы
Проанализируйте и классифицируйте данные, которые Вы собираете.
Откажитесь от обработки данных «на всякий случай». Обрабатывайте только те данные, которые Вам действительно необходимы.
Обратитесь к специалистам, которые смогут помочь Вам создать необходимую инфраструктуру и нормативную базу для работы с персональными данными клиентов.