Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 22 января 2018 г.
Интернет-магазины и обработка персональных данных
Сделайте «галочку»
Выполнить требование о получении согласия интернет-пользователя на обработку его ПДпп. 1, 3 ст. 3, подп. 1 п. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ) в большинстве случаев несложно. По мнению Роскомнадзора, для этого достаточно сделать обязательную к заполнению веб-форму. В ней покупатель будет проставлять галочку, подтверждающую его согласие на указанные действия. Такие разъяснения даны на сайте ведомствасайт Роскомнадзора —> Новости —> Новости Роскомнадзора —> 8 ноября 2017 г..
Рассказываем руководителю
Обработка ПД без согласия гражданина (когда оно необходимо) грозит компании штрафом от 30 000 до 50 000 руб., а если требуется письменная форма, то от 15 000 до 75 000 руб. Если же вы не разместите на сайте документ о политике в отношении обработки ПД, то штраф может составить от 15 000 до 30 000 руб.ч. 1—3 ст. 13.11 КоАП РФ
Также там сказано, что согласие не требуется, если отношения с пользователем «оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений». Но интернет-покупатель как раз и акцептует публичную оферту магазина. И договор с ним считается заключенным всегда, в том числе по факту выдачи документа об оплатеп. 2 ст. 437, п. 3 ст. 438, статьи 493, 494 ГК РФ. Возможно, ведомство имело в виду, что получение согласия нужно, только когда покупатель просто регистрируется на сайте, без оформления заказа? Учитывая неясность, лучше, на наш взгляд, сделать «галочку» о согласии на обработку ПД для всех покупателей/пользователей сайта.
В некоторые случаях, напоминает Роскомнадзор, согласие граждан должно быть оформлено строго в письменной форме:
•при обработке биометрических ПД (например, фото)ст. 11 Закона № 152-ФЗ;
•при обработке специальных категорий ПД (например, о национальной принадлежности или здоровье), кроме случаев, когда субъект сам сделал их общедоступнымип. 1, подп. 2 п. 2 ст. 10 Закона № 152-ФЗ;
•при передаче ПД на территорию государства, не обеспечивающего их адекватную защитуприложение № 1 к Приказу Роскомнадзора от 15.03.2013 № 274.
Составьте политику
Кроме того, все интернет-магазины обязаны:
•разместить на своем сайте документ, определяющий их политику в отношении обработки ПД. Рекомендации по его составлению можно посмотреть на сайте ведомствасайт Роскомнадзора —> Персональные данные —> Рекомендации по составлению документа, определяющего политику оператора...;
•обеспечить нахождение оборудования (сервера), на котором хранится база ПД российских покупателей, на территории РФп. 5 ст. 18 Закона № 152-ФЗ.
* * *
Формулировки Закона о защите ПД весьма расплывчаты, а штрафы за его нарушение только растут. Поэтому лучше перестраховаться, чем потом спорить с проверяющими о нюансах и отбиваться от санкций.
