Предоставление паспортных данных для работы через интернет в бизнес компании

Услуга «ОБЛАКО ФЗ-152»: Выполнение требований по защите персональных данных | ИТ-Град

Предоставление паспортных данных для работы через интернет в бизнес компании

«ИТ-ГРАД» предлагает услугу «Облако ФЗ-152» в рамках модели IaaS для аренды инфраструктуры с полным набором необходимых сертифицированных Средств Защиты Информации (далее СЗИ), технических и административных мер защиты информации задействованных для выполнения требований Федерального закона “О персональных данных” от 27.07.2006 N 152-ФЗ.

Мы предлагаем три варианта реализации услуги «Облако ФЗ-152»:

  • аренда серверной инфраструктуры в дата-центре с соблюдением ФЗ-152;
  • аренда полной инфраструктуры для развертывания Информационных Систем Персональных Данных (далее ИСПДн), включая средства защиты для АРМ пользователей;
  • полный набор услуг, включая виртуальную серверную инфраструктуру, необходимый комплект документов и работ по проектированию Вашей собственной ИСПДн с соблюдением требований 152-ФЗ, персональных данных, 242-ФЗ, ПП-1119 и других требований законодательства РФ в части защиты, хранения и обработки персональных данных.

Полная готовность к любой проверке!

Также, компания «ИТ-ГРАД» оказывает необходимые консалтинговые услуги по выбору уровня защищенности вашей ИСПДн, приведению вашей информационной системы и процессов, связанных с обработкой персональных данных, в соответствие с требованиями законодательства РФ, а так же помогает с проведением оценки эффективности и прохождением аттестации, что существенно уменьшит срок реализации проекта от возникновения необходимости обработки персональных данных до введения полностью соответствующей законам РФ ИСПДн в эксплуатацию.

Компания «ИТ-ГРАД» обладает опытом по проектированию и строительству ИСПДн, а также является оператором ИСПДн полностью соответствующим требованиям безопасности, предъявляемым к ИС, в которых обеспечен II уровень защищенности персональных данных, что подтверждается аттестатом соответствия. Мы сотрудничаем с компаниями, авторизованными ФСБ и ФСТЭК, на проведение работ по аудиту, аттестации и проведению оценки соответствия, что позволяет нам оказывать полный спектр услуг по соответствию ФЗ-152.

Особенности услуги «ОБЛАКО ФЗ 152» компании «ИТ-ГРАД»

  • Персональные данные размещены в отдельном защищенном сертифицированными средствами защиты информации облаке, спроектированном и построенном специально по Вашему заказу. С помощью организационных и технических мер другие клиенты и персонал лишены возможности влиять на работу вашего персонального облака.
  • Защищена и резервирована вся архитектура виртуализации: гипервизор, платформа виртуализации, аппаратная платформа и СХД, виртуальные сети, система управления;
  • Доступ к облаку предоставляется с использованием сертифицированных средств криптографической защиты;
  • Услуга полностью освобождает клиента от затрат на создание и владение какой-либо дополнительной локальной защищенной инфраструктурой.
  • Легкое масштабирование – производительность ИСПДн может быть быстро увеличена в несколько раз, добавлены новые серверы и рабочие места. Для разработки и тестирования существует возможность создать дополнительную ИСПДн.
  • Предоставляются дополнительные услуги, такие как администрирование компонентов ИСПДн клиента (включая прикладное программное обеспечение), СЗИ, СКЗИ, аудит систем безопасности предприятия.
  • Возможна реализация катастрофоустойчивой ИСПДн размещенной на двух независимых защищенных площадках в рамках территориально распределенного облака (Active-Active, Active-Passive, или резервное копирование на удаленную площадку виртуальных машин клиента).
  • Проектирование ИСПДн любого уровня защищенности, в том числе ГИС, с выполнением требований Приказа ФСТЭК России от 11 февраля 2013 г. N 17.
  • Компания «ИТ-ГРАД» – подрядчик по обработке ПДн в полном соответствии с законодательством РФ.
  • Аутсорсинг/аутстаффинг квалифицированных специалистов для развертывания информационной системы с выполнением требований ФЗ-152.

Для кого актуальна услуга «ОБЛАКО ФЗ 152»

  • Компании, бизнес-процессы которых подразумевают ввод в систему паспортных данных и иных персональных данных клиентов.
  • Интернет-магазины, собирающие и хранящие реквизиты потенциальных клиентов, такие как ФИО и мобильный телефон, а также запрашивающие другие сведения о клиентах или имеющие программу лояльности.
  • Системы отдела кадров, базы данных персонала и бухгалтерского учета на предприятии.
  • Компании, работающие с системами управления услугами, биллинга или маркетинговых коммуникаций, использующие ПДн клиентов для взаимодействия и предоставления услуг.
  • Другие организации, обрабатывающие персональные данные.
  • Интернет ресурсы, на которых установлены Yandex.Metrica или Google Analytics.

Преимущества услуги «ОБЛАКО ФЗ 152»

  • Отказоустойчивая облачная инфраструктура на базе платформы виртуализации VMware.
  • Типовое решение с гарантированной защитой персональных данных от IV до II уровня защищенности включительно.
  • Разработка индивидуального проекта для ИСПДн I уровня защищенности, а также Государственных Информационных Систем;
  • Качественное круглосуточное сопровождение ИТ-инфраструктуры высококвалифицированными специалистами.
  • Возможность бесшовной миграции информационных систем в «Облако ФЗ-152».
  • Возможность построения гибридных решений и оптимальную интеграцию «Облака ФЗ-152» в ИТ-окружение клиента.
  • Консультации и сопровождение на всех этапах внедрения и работы с продуктом.

Лицензии, дающие право предоставлять услугу «Облако ФЗ-152», и Аттестат соответствия

Лицензия ФСБ №1015Н

Лицензия на «Деятельность по технической защите конфиденциальной информации», № 2886, бессрочна

Аттестация соответствия объекта информатизации требованиям по безопасности информации №01/04/16 – ИГ/ИС

Схема организации услуги «ОБЛАКО ФЗ-152»

Источник: https://www.it-grad.ru/services/iaas/fz-152/

Ответственность за нарушение закона о персональных данных

Предоставление паспортных данных для работы через интернет в бизнес компании

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственностиНарушениеСанкцияНорма
АдминистративнаяНеправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информацииАдминистративный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.Статья 5.39 КоАП РФ
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.
Часть 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласиеАдминистративный штраф:
  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.
Часть 2 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данныхПредупреждение или административный штраф:
  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.
Часть 3 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.
Часть 4 ст. 13.11 КоАП РФ
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)Предупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.
Часть 5 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении нихАдминистративный штраф:
  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методовПредупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.Часть 7 ст. 13.11 КоАП РФ
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном видеАдминистративный штраф:
  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.
Статья 19.7 КоАП РФ
УголовнаяНезаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИШтраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)Статья 137 Уголовного кодекса
То же деяние, совершенное с использованием служебного положенияШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданийШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам гражданШтраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти летСтатья 140 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копированиеШтраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срокСтатья 272 УК РФ
Гражданско-правоваяПричинение лицу убытков в результате нарушения правил обработки его персональных данных.Под убытками при этом понимаются:
  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.
Возмещение убытковСтатья 15 Гражданского кодекса
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данныхКомпенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)Статья 24 закона о персональных данных, ст. 151 ГК РФ
ДисциплинарнаяРазглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностейУвольнениеПодпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса
Иные нарушения в области персональных данных при их обработкеЗамечание или выговорСтатья 90, ст. 192 ТК РФ

Источник: http://www.garant.ru/actual/persona/otvetstvennost/

При доставке онлайн-покупок в Россию стали требовать данные паспорта :: Бизнес :: РБК

Предоставление паспортных данных для работы через интернет в бизнес компании

Сразу несколько служб доставки товаров из зарубежных интернет-магазинов предупредили клиентов о необходимости предоставлять скан основных страниц паспорта для получения заказа

Lori

Cлужба доставки покупок из интернет-магазинов BoxBerry предупредила своих клиентов о необходимости предоставлять скан паспорта в сообщении от 5 января (сейчас сообщение удалено из архива новостей сайта). «С 01.01.

2017 года для таможенного оформления посылок физических лиц из-за границы необходимо предоставить скан-копию (фотографию) вашего паспорта: главной страницы и страницы с пропиской/документа регистрации», — говорилось в сообщении.

Фотографию нужно было загрузить в личный кабинет пользователя на сайте BoxBerry «так быстро, как это возможно». Связаться с представителем компании пока не удалось.

Среди крупных интернет-площадок BoxBerry сотрудничает с американским магазином iHerb, который торгует витаминами, добавками и другими товарами для здоровья.

При оформлении заказа на сайте iHerb появляется предупреждение, что в связи с новыми правилами оформления товаров для личного пользования, введенными Федеральной таможенной службой (ФТС) России с 1 января 2017 года «задержка в доставке заказов может составить дополнительные две-три недели».

«Из-за требований российского законодательства таможня или служба доставки может связаться с вами по телефону или электронной почте и запросить ваши паспортные данные», — говорится в предупреждении iHerb. Представитель ФТС не смог оперативно ответить на вопросы РБК.

Как сообщало ТАСС 6 января, китайская интернет-площадка AliExpress временно приостановила экспресс-доставку товаров в Россию по линии российской логистической компании SPSR из-за проблем с растаможиванием на границе.

Позже в тот же день агентство сообщило, что экспресс-доставку в Россию приостановил и английский мультибрендовый магазин одежды Asos. Как и AliExpress, он работает с SPSR. Последнюю в качестве основного партнера в России указывают и другие крупные интернет-площадки мира: Macys, Amazon, eBay и JD.com.

Представитель SPSR пока не ответил на вопросы РБК. Однако в сообщении на сайте компании говорится, что с 2 января 2017 года при выпуске с таможни зарубежных посылок «в индивидуальном порядке также запрашиваются копии паспортов получателей на бумажных носителях». Чтобы получить доставку в объявленные сроки, SPSR предлагает покупателям предоставить копию паспорта операторам своего контактного центра или ждать звонка специалистов компании.

Заместитель гендиректора оператора таможенных платежей «Мультисервисная платежная система» Андрей Чешко сообщил, что, по их данным, с 1 января действительно увеличился объем информации, которую ФТС запрашивает при таможенном оформлении экспресс-посылок.

Если раньше было достаточно скана первой страницы паспорта получателя посылки, то теперь требуются также страницы с пропиской. «Более жесткие требования к объему информации могут быть связаны с применением дополнительных профилей риска при таможенном оформлении, а не с изменением каких-то имеющихся правил, — рассуждает Чешко.

 — Экспресс-перевозчики вынуждены связываться с каждым получателем посылки и запрашивать дополнительные документы, что резко увеличивает время таможенного оформления посылок и их доставки». По его словам, компания наблюдает снижение объема экспресс-посылок, оформляемых через их систему.

«Но это может быть связано как с «затишьем» на период январских праздников, так и с наблюдающимся ужесточением в части таможенного оформления экспресс-посылок», — отметил представитель «Мультисервисной платежной системы».

В AliExpress не ответили на вопросы РБК. Представитель eBay отказался от комментариев. Связаться с другими крупными зарубежными интернет-магазинами не удалось. По словам Алексея Семкина, администрирующего несколько китайских магазинов на AliExpress, российская таможня начала задерживать посылки не с 1 января, а еще с двадцатых чисел декабря.

«Службой доставки SPSR отправлялись грузы большинству моих клиентов из России, которые заказывают товары весом более 2 кг. Покупатель не выбирает, чем отправлять, обычно для него «доставка бесплатная», поэтому способ выбирает продавец, как правило, ориентируясь на стоимость. У SPSR нет деления на экспресс- и стандартную доставку.

Сейчас китайцы дали инструкции отозвать посылки в пути и отправить другими способами, что мы и сделали», — рассказал Семкин. Он уточнил, что интернет-магазин на AliExpress требует от покупателя только ФИО и адрес, а личные данные запрашивает уже SPSR.

«Не все покупатели реагируют на это требование SPSR, поэтому операторы обзванивают клиентов и уточняют данные», — отметил Семкин.

Источник: https://www.rbc.ru/business/08/01/2017/58720bf29a7947dc9b1b9f36

Персональные данные: информация для владельцев интернет-магазинов

Предоставление паспортных данных для работы через интернет в бизнес компании

Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:

  • какие данные считаются персональными;
  • относитесь ли вы к операторам персональных данных;
  • что меняется в законодательстве;
  • что делать интернет-магазину – оператору персональных данных, чтобы избежать проблем.

Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры.

Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется.

В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.

Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:

  1. соблюдать принципы обработки данных (не запрашивать излишнюю информацию и не в целях сбора данных);
  2. получить согласие лица на обработку его персональных данных (технически реализовать несложно);
  3. опубликовать политику владельца сайта в отношении обработки персональных данных (технически реализовать несложно);
  4. предоставить доступ к персональным данным их владельцам  (если поступит запрос от клиента);
  5. уточнить, блокировать или уничтожить персональные данные по требованию владельца  (если попросит об этом);
  6. обеспечить безопасность персональных данных при их обработке (защита от неправомерного доступа третьих лиц, копирования и т.п.).
  7. серверы должны находиться на территории РФ.

Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.

Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.

Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.

Какие данные считаются персональными?

Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»? 

Это – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов.

Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает.

И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

  • фамилия
  • имя
  • отчество
  • паспортные данные
  • год, месяц, дата рождения
  • место рождения
  • адрес
  • семейное положение
  • социальное положение
  • имущественное положение
  • образование
  • профессия
  • доходы

На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет – мнения специалистов в этой области расходятся.

Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными.

Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации).

Пока без ясного ответа остается вопрос – относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет. 

Относитесь ли вы к операторам персональных данных или нет?

Вы являетесь оператором персональных данных, если:

  • вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
  • у вас есть форма обратной связи, подписки, регистрации;
  • у вас есть личный кабинет;
  • клиент может заполнить анкету на сайте; 
  • на сайте возможно размещение объявления;
  • на сайте размещена кнопка обратного звонка.

Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.

Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании. 

Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?

Есть и хорошие новости: 1.

В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).

Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления.

В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило).

Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:

  • получения согласия субъекта персональных данных на их обработку;
  • уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн

желательно сделать следующее – разделить публичную оферту на 3 документа:

  1. Пользовательское соглашение, где прописаны: общие условия использования сайта, ответственность владельца сервиса,  как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров. Пользовательское соглашение – это договор присоединения, который принимается пользователем без оговорок в полном объеме. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
  2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин – мы уверены, что этот документ у вас давно есть на сайте и с ним нет никаких проблем;
  3. Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по пользовательскому соглашению и б) договора купли-продажи по оферте. Утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. 

Политика конфиденциальности должна включать следующие положения:

  • перечень информации, которую собирает и обрабатывает сайт: персональные данные, иные сведения (например, информация, собираемая в автоматическом режиме: IP, cookie и др.);
  • цель сбора персональных данных и для чего они будут использоваться (например, для маркетингового исследования и др.);
  • требования к защите ПДн, включая случаи, когда персональные данные могут быть переданы третьим лицам;
  • изменения персональных данных (пользователь должен иметь возможность редактировать свои данные);
  • изменение Политики (как правило, владелец вносит изменения без предварительного уведомления и одновременно для всех пользователей, поэтому последним следует периодически просматривать Политику).

То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн. 

Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.

) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку.

В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?

1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.

2. На сайте указать e-mail, по которому физическое лицо может написать – обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн.

Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п.

, а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним). 

Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами? 

По ссылкам ниже вы можете скачать образцы документов для сайта:

– пользовательское соглашение

– политика конфиденциальности

– договор-оферта

Источник: https://www.insales.ru/collection/doc-other/product/personalnye-dannye-informatsiya-dlya-vladeltsev-internet-magazinov

Адвокат-online
Добавить комментарий