Согласие на обработку песональных данных для магазина, нужно ли вставлять галочку и договором?

Question

[Toast]

В каком случае нужно вставлять "согласие на обработку персональных данных" в интернет магазине? Только при регистрации клиента? И откуда/какой шаблон брать для этих целей?

Answer 1

[Евгений]

Начнем с того, что упоминаемой @Kaaboeld лицензии на хранение и обработку ПДн у нас в стране нет ( и даже никаких близких понятий нет).
Дальше вам действительно стоит ознакомиться с ФЗ-152.
У вас в интернет-магазине скорей всего обрабатывается примерно такой набор:
1. ФИО
2. Адрес доставки
3. Контактный номер телефона
4. E-mail
5. ...
Пошли дальше по 152-ФЗ:
ваш случай для обработки персональных данных описан в п.1 5) Статьи 6

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

По поводу согласия написано в статье 9:

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Таким образом вы можете сделать как вам будет удобнее или внести в договор-оферту на сайте раздел про согласие субъекта или сделать отдельную галочку при регистрации.

Если вы не осуществляете никакой доставки, то вам можно упростить жизнь, описав что вы обрабатываете обезличенные данные (по которым невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных).
1. Логин (вместо ФИО)
2. e-mail

Вообще выполнение требований 152-ФЗ, это не только согласие, а ещё выполнение ряда технических и организационных мер описанных в первую очередь в самом 152-ФЗ, Постановлении правительства №1119, Приказе ФСТЭК №21.
Понимаю, что для обычного интернет-магазина все эти меры являются только дополнительными проблемами, и советую вам как минимум выполнить требование п.2 статьи 18.1 и опубликовать на сайте Политику в отношении обработки персональных данных. Образцы вы можете посмотреть в интернете.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Comments

[Toast]

Доставляем сами и транспортными компаниями, ну и к тому же товарные накладные и тд, там указываются данные покупателя, так что обезличенно не получается. Думаю сделаю договор-оферту ссылкой на ознакомление и галочку, как и делают магазины. Когда ФЗ-152 гуглил еще нашел https://kontur.ru/152 , уже подсуетились, но пока 6к отдавать не охото за аудит, да и вроде у нас пока с этим не так строго, хотя как знать.

[Евгений]

Пишите в договор-оферты общий раздел про согласие и сделайте отдельную политику в отношении обработки персональных данных(с которой тоже пользователь должен быть ознакомлен) где опишите подробнее:
• какие данные пользователя вы обрабатываете (перечень ПДн)
• с какой целью вы данные обрабатываете (выполнение условий договора, доставка, смс-оповещение? и т.д.)
• кому передаете (транспортным компаниям)
• сколько данные вы храните
• добавьте раздел, что вы принимает все необходимые меры для защиты персональных данных от неправомерного доступа, изменения, раскрытия или уничтожения
• и т.д.
Примеров таких политик в сети много. Формальных требований к её содержанию ней, главное чтобы она была у вас опубликована, и чтобы в случае вопроса пользователя, а как мои данные оказались у транспортной компании вы могли сказать что он вы он согласился с передачей приняв оферту и политику.
Роскомнадзор сейчас устроил новый вид проверок не выходя из офиса. Зашли на сайт, видят данные собирают, а политики нет. Получите предписание по невыполнению статье 18.1 152-фз.
По хорошему защита ПДн состоит из 2- частей "бумажная защита" и техническая.
Технику у нас проверяет ФСТЭК и к негосударственным конторам он без указания прокуратуры не ходит. Так что если сильно не накосячите, в целях экономии можно не тратиться на требуемую по закону техзащиту, но стоит хотя бы понимать, что в принципе от вас могут захотеть регуляторы.
А вот документы проверяет Роскомнадзор и их лучше действительно держать наготове. Пока штрафы небольшие (10к рублей), но на рассмотрении проект с максимальными штрафами в 500к. Вот тогда и начнется бум проверок.

Нужен будет аудит и консультации специалистов обращайтесь ко мне)

[Евгений]

И не забудьте в договоре с транспортной компанией(партнерами) указать, что после передачи им ПДн клиентов для осуществления доставки, они обязаны принимать все необходимые по закону меры для обеспечения их безопасности.

Answer 2

[Евгений Попов]

Если не мне изменяет память, то необходимо(в ряде случаев?) не только согласие, конечного клиента, но и лицензия на хранение и обработку персональных данных. То есть, если он согласился, а у вас нет "разрешения", то будет все равно нарушатся закон и в конфликтной ситуации свою невиновность компании будет доказать крайне проблематично.

Comments

[Евгений Попов]

Если вы еще не ознакомились с законодательством на данный счет, то стоит это сделать так как в 2014 году произошел ряд изменений и ужесточений:
Можно начать отсюда:
Статья 6. Условия обработки персональных данных
www.consultant.ru/document/cons_doc_LAW_163964/?frame=5

Продолжить здесь:
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
www.consultant.ru/document/cons_doc_LAW_163964/?frame=8

[StrangeAttractor]

А где там вообще определение "персональных данных"? Если сохраняешь имя, фамилию, контактный телефон и адрес для доставки и выставления счёта (никто не говорит, что это должен быть адрес места проживания или регистрации) - это уже считается? Если да, то что, все интернет-магазины побежали получать лицензии?

[Евгений Попов]

@StrangeAttractor определение что такое персональные данные
Федеральный закон РФ "О персональных данных" (152-ФЗ)
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Вы правильные вопросы задаете, но ответ один: "Строгость российских законов смягчается необязательностью их исполнения"

[StrangeAttractor]

@Kaaboeld Какое феерическое определение. Прямо или косвенно к определённому лицу относится практически любая информация вообще. В частности тот факт, что я поинтересовался этим законом и сам этот закон являются относящейся ко мне информацией, первое - прямо, второе - косвенно...