Как выполнить требования 152-ФЗ для e-commerce

Если вы владелец интернет-магазина, рекламного агентства или блога, то постоянно сталкиваетесь с обработкой персональных данных своих клиентов:

  • используете телефонные номера, чтобы рассказать о скидках и акциях;
  • собираете e-mail-адреса, чтобы организовать рассылку или отправить новости;
  • получаете данные для регистрации или оформления заказа.

Будьте осторожны при работе с такой информацией, потому что вы можете нарушить 152-ФЗ!

Требования закона к интернет-магазинам

152-ФЗ «О персональных данных» для e-commerce регулирует отношения между владельцами интернет-магазинов, информационных площадок, рекламных сайтов и посетителями этих ресурсов, если те оставляют информацию о себе. Закон защищает права и свободы человека.

Согласно закону, все владельцы сайтов должны:

  • обеспечить техническую защиту данных;
  • подготовить необходимую документацию;
  • разместить ссылку на политику компании в отношении закона;
  • хранить базы с персональной информацией в России.

Основанием для проверки соблюдения этих требований могут послужить жалоба или плановые мероприятия. Пожаловаться на вас могут «горячо любимые» конкуренты или недовольные клиенты, так что не расслабляйтесь!

За выполнением 152-ФЗ следит:

  • Роскомнадзор — главный контролирующий орган. 90% проверок проводит именно эта структура;
  • ФСТЭК — инстанция, которая отвечает за техническую защиту и экспортный контроль;
  • ФСБ — эту структуру может заинтересовать вопрос обработки персональных данных. Её представители вмешиваются в работу интернет-магазинов очень редко, но если вы попали в сферу интересов ФСБ, у вас реальные проблемы 🙂

Какие документы нужно иметь на сайте

Чтобы соблюдать 152-ФЗ, у владельцев сайтов должны быть:

  • Политика конфиденциальности — рассказывает, как и зачем происходит обработка персональной информации;
  • Оферта на продажу товаров через Интернет — показывает все нюансы совершения покупки онлайн;
  • Пользовательское соглашение — содержит информацию об особенностях регистрации на сайте и использовании его функционала;
  • Приказ о назначении ответственного за организацию обработки персональной информации посетителей сайта — выберите сотрудника, который будет заниматься решением этих вопросов;
  • Должностная инструкция для ответственного — содержит порядок обязанностей, которые назначенный сотрудник должен выполнять.

Храните такие документы в бумажном виде. Поставьте где необходимо печати с подписями, чтобы в случае чего быть во всеоружии.

Какие инструменты нужно иметь в интерфейсе

Установите checkbox везде, где пользователь оставляет персональную информацию о себе: форма регистрации, заявка на заказ, данные для подписки на рассылку и т. д.

Если при заполнении формы пользователь ставит галочку напротив этого предупреждения, значит, он дает свое согласие, а к вам не может быть никаких претензий.

Какие требования предъявляются к хранению персональных данных

Хостинг-провайдер вашего сайта обязательно должен размещаться на территории РФ. Если вы не знаете, где физически расположены ваши сервера, то можете использовать специальные сервисы, чтобы определить их местоположение. Например, такие: https://2ip.ru/geoip/, https://check-host.net

Просто введите в поисковую строку адрес домена или IP-адрес и получите всю необходимую информацию: местоположение, провайдер, данные о компании. Некоторые сервисы даже предоставляют информацию о системе управления сайтом и указывают часовой пояс.

Если ваш сервер находится за территорией РФ, вы должны:

  • Сообщить в Роскомнадзор о трансграничной передаче персональных данных. Обязательно укажите страну, в которой расположен ваш хостинг-провайдер.
  • Предупредить пользователей сайта, что ваш сервер находится за пределами РФ.
  • Указать во внутренних документах причины, по которым вы осуществляете трансграничную передачу персональной информации, опубликовать регламент обеспечения безопасного обмена данными, рассказать о мероприятиях и средствах защиты передаваемых данных.

Штрафные санкции

  • До 75 000 рублей — если вы не предоставили перечень лиц, которым могут передаваться полученные данные; если пользователь не согласился на обработку персональных данных, а вы все равно их собираете и храните; если вы проводите скоринг без согласия (для банков и МФО);
  • До 50 000 рублей — если вы невовремя ответили на обращение пользователей или вообще его проигнорировали; если вы использовали личную информацию не в тех целях (например, получили скан паспорта, чтобы оформить кредит, а сами рассылаете новости);
  • До 40 000 рублей — если посетитель сайта обратился с запросом по поводу обработки его персональных данных, а вы предоставили ему ложную информацию;
  • До 30 000 рублей — если у вас на сайте нет документа, в котором описано отношение владельцев сайта к обработке персональной информации.

Будьте внимательны — теперь Роскомнадзор не предупреждает о плановых проверках и может блокировать сайты без решения прокуратуры! Яркий пример — блокировка сайта LinkedIn за нарушение условий обработки персональных данных.

Позаботьтесь о решении этого вопроса как можно раньше, чтобы избежать возможных проблем. Кстати, когда мы проводим контент-аудит вашего сайта, то всегда в качестве бонуса отслеживаем полноту соблюдения 152-ФЗ и даем рекомендации. Поэтому заказывайте контент-аудит не реже одного раза в год. Это избавит вас от проблем, о наличии которых вы можете даже не подозревать!

Что делать, если вы — владелец интернет-магазина или оператор персональных данных

Не паникуйте и сделайте так, чтобы ваш ресурс соответствовал требованиям закона. Для этого:

  • Разместите соглашение для пользователей — посмотрите, как это сделано у конкурентов и используйте на своем ресурсе.
  • Разместите политику обработки данных — расскажите в ней о принципах обработки информации и о своем отношении к процедуре.
  • Перенесите сайт в РФ — если ваш хостер находится за рубежом, предоставьте информацию о трансграничной передаче данных.
  • Укажите контакты, по которым можно обратиться с просьбой удалить или заблокировать данные посетителей — можете использовать общий электронный адрес сайта, но внимательно читайте почту, чтобы случайно не пропустить обращение.
  • Сообщите Роскомнадзору — отправьте уведомление почтой или через Интернет. Удостоверьтесь, что оно дошло до адресата.
  • Отвечайте на обращения — не игнорируйте запросы, потому что это чревато штрафными санкциями.
  • Удаляйте или изменяйте данные по запросу — успейте сделать это за 7 дней.

Привести свой сайт в порядок можно собственными силами или — с помощью специалистов агентства копирайтинга contentBox. Главное — не пускайте все на самотек!

Оставить комментарий

contentBox в социальных сетях