7 опасных ошибок онлайн-магазинов при работе с персональными данными
Седа Антонян, консультант по защите персональных данных компании «Б-152», рассказала о самых распространенных ошибках сотрудников и собственников интернет-магазинов.
1 сентября 2022 года вступили в силу поправки в статью 16 Федерального закона «О защите прав потребителей», устанавливающие запрет на включение в договор условий, ущемляющих права потребителей, а также налагающие обязанности на продавца.
Положения статьи 16 Федерального закона «О защите прав потребителей» также коснулись и обработки персональных данных. Так, продавец не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.
Однако бизнесу непросто адаптироваться к новым требованиям.
Ошибка №1. Требовать у потребителя согласие на обработку ПДн для оказания услуги или продажи товаров
Потребитель имеет право не предоставлять свои персональные данные, которые не требуются для оказания услуг или продажи товаров. При этом продавец не имеет права отказать в заключении, исполнении, изменении, расторжении договора, если потребитель, например, отказывается подписывать согласие на обработку ПДн, в котором состав персональных данных не является строго необходимым для исполнения договора с потребителем либо не предусмотрен законом.
Соответственно, бизнесу необходимо обосновать, по какой причине они не смогут выполнить свои обязательства, если потребитель откажется подписывать согласие на обработку персональных данных и/или не предоставит запрашиваемые персональные данные.
Например, в случае самовывоза товара, если покупатель не заполнил поле с адресом доставки, нельзя отказать в исполнении договора, то есть не оформлять заказ без указанного поля с адресом, потому что для продажи товара путем самовывоза, продавцу не надо знать адрес доставки.
Важно понимать, что ч.1. ст. 6 ФЗ №152 «О персональных данных» содержит также иные основания обработки персональных данных кроме согласия на обработку персональных данных. Поэтому в случае заключения, исполнения, изменения, расторжения договора с потребителем, вашим правовым основанием для обработки персональных данных будет непосредственно договор (п. 5. ч.1. ст. 6 ФЗ №152 «О персональных данных»).
Ошибка №2. Не определить объем минимально необходимых персональных данных для исполнения договора с потребителем
Одним из основных принципов обработки персональных данных в соответствии с ФЗ №152 «О персональных данных» является запрет на сбор избыточных персональных данных по отношению к заявленной цели обработки.
Поэтому крайне важно до начала сбора персональных данных определить:
- цель обработки персональных данных, например, заключение, исполнение договора купли-продажи;
- минимальный состав персональных данных, который вам действительно прямо необходим для достижения цели обработки, то есть для заключения, исполнения договора с потребителем.
Можно провести проверку на критерий прямой необходимости: представьте, что вам потребитель представил ложные персональные данные, сможете ли вы в том случае заключить и исполнитель договор в надлежащей форме? Если да, то значит запрашиваемые персональные данные избыточны, а значит прямой необходимости в них нет.
Ошибка №3. Использовать шаблоны договоров
Учитывая, что правовым основанием обработки персональных данных при заключении, исполнении, изменении и расторжении договора с потребителем будет договор, важно в договоре понятным языком описать условия обработки персональных данных.
Чаще всего в шаблонных договорах, скаченных на просторах интернета, условия договора могут сильно отличаться от вашего реального бизнес-процесса, в том числе в части обработки персональных данных. Например, в скаченном шаблоне договора предусмотрен один состав персональных данных, а вы собираете совсем иной.
Ошибка №4. Не предоставлять потребителю информацию об условиях обработки ПДн
Продавцы обязаны разработать документ, определяющий их политику обработки персональных данных. Каждый субъект персональных данных должен иметь возможность при предоставлении своих персональных данных ознакомиться с текстом политики обработки персональных данных. Поэтому во всех местах сбора персональных данных необходимо размещать политику обработки персональных данных, а не оставлять ее исключительно в подвале сайта.
Кроме того, политика обработки персональных данных должна быть написана максимально понятным языком для субъекта персональных данных, а также должна содержать условия обработки персональных данных, касающихся непосредственно отношений потребителя и продавца.
Политика обработки персональных данных, которая будет соответствовать требованиям ст. 18.1. ФЗ №152 «О персональных данных» должна содержать следующую информацию:
- цели обработки персональных данных;
- категории и перечень обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- способы, сроки их обработки и хранения;
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Указанная выше информация должна непосредственно касаться ваших отношений с потребителем. То есть если вы на сайте продаете товары, а в политике обработки персональных данных вы указываете, например, только цель обработки – рекрутинг, но ничего не указываете про продажу товаров, то такая политика обработки персональных данных не будет содержать условий обработки персональных данных, непосредственно связанных с взаимодействием с потребителем на вашем сайте. Такая политика не будет соответствовать требованиям закона.
Ошибка №5. Игнорировать запросы пользователей, касающиеся работы с ПДн
В соответствии со ст. 16 ФЗ «О защите прав потребителей» потребитель имеет право запросить информацию о конкретных причинах и правовых основаниях отказа продавца в заключении, исполнении, изменении и расторжении договора в случае отказа покупателя от предоставления персональных данных.
Продавец обязан в течение 7 дней со дня предъявления покупателем требования предоставить потребителю в той форме, в которой было предъявлено требование об объяснении причин и правовых оснований, если иное не указано в требовании, предоставить такую информацию. Если требование было предоставлено в устной форме, то продавец обязан незамедлительно предоставить вышеуказанную информацию.
Чтобы соблюдать сроки и грамотно отвечать потребителям, важно провести в компании тренинги, составить четкие, подробные инструкции для работников.
Ошибка №6. Не проводить внутренний аудит работы с персональными данными
Важно систематически проверять, соответствуют ли процессы вашего бизнеса требованиям законодательства, а также не противоречат ли они сведениям, указанным в ваших локальных нормативных актах. Можете воспользоваться готовым чек-листом для внутреннего аудита.
· Регулярно проверять и обновлять локальные нормативные акты, регулирующие обработку персональных данных;
· Разработать реестр процессов обработки и регулярно обновлять сведения в этом реестре. В реестре необходимо иметь информацию о целях обработки персональных данных, о категориях и перечне обрабатываемых персональных данных; о категории субъектов, персональные данные которых обрабатываются; способах и, сроках их обработки и хранения; о порядке уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, о случаях передачи персональных данных третьим лицам; о случаях трансграничной передачи.
· Доводить правила работы с ПДн до всех работников, имеющих доступ к ним. Стараться это делать разными способами, и помимо формального ознакомлении с тяжёлыми для понимания политиками компании, составлять для работников более простые инструкции по работе с персональными данными;
· Применить необходимые технические и организационные меры для защиты персональных данных и предотвращения утечек.
Ошибка №7. Не систематизировать сведения об обработке персональных данных
Интернет-магазины имеют огромное количество бизнес-процессов, в которых происходит обработка персональных данных. Без правильной систематизации процессов, в которых происходит обработка персональных данных, в компании будет постоянный хаос из противоречивой информации, касающейся одного и того же процесса. Кроме того, невозможно будет в полной мере соблюдать все обязанности оператора, в том числе своевременно отвечать за запросы потребителей, на запросы уполномоченного органа по защите персональных данных.
Поддерживать структуру ваших процессов, связанных с обработкой персональных данных, помогают специализированные IT-продукты.