Согласие на использование данных в интернете. Защита персональных данных в интернет-магазинах

Которая вызвала живой интерес у пользователей. Сейчас хочется остановиться на проблеме, которую мы не стали затрагивать в предыдущем материале. Это проблема внедоговорного использования персональных данных пользователей интернет-магазина.

Сразу отметим, что имеется простое решение данной проблемы: для этого достаточно заключить с пользователем договор на использование сервиса интернет-магазина до приобретения в нем товара. Самым простым способом это сделать является принятие Пользовательского соглашения . Однако большинство интернет-магазинов используют стандартную форму оферты , условия которой принимаются после предоставления персональных данных. Т.е. до принятия оферты ПДн используются незаконно.

К сожалению, владельцы интернет-магазинов об этом не задумываются. Оферта на дистанционную продажу товаров включает все правовые условия использования магазина и кажется достаточной. Но так ли это? Давайте разберемся.

Какие условия обычно включает публичная оферта среднестатистического интернет-магазина? Перечень условий достаточно стандартный:

• Правила регистрации и использования
• Порядок заказа товара
• Порядок оплаты
• Доставка товара
• Возврат товара и платежа
• Ограничение ответственности
• Условия обработки персональных данных
• Порядок внесения изменений.

Вроде бы, это все условия, которые необходимы по законодательству для дистанционной продажи товаров через интернет-магазин. Однако распространенная практика объединения необходимых условий в одном документе имеет существенный порок. В чем он заключается?

Для продажи и доставки товара интернет-магазин получает персональные данные покупателя или лица, которому вручается товар (выгодоприобретателя). В связи с этим владелец интернет-магазина считается оператором по обработке персональных данных и должен соблюдать соответствующие требования.

По закону «О персональных данных», не требуется согласие субъекта персональных данных на их обработку в случае, когда обработка персональных данных необходима для заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 п.1 ст.6 ФЗ «О персональных данных»)

Помимо этого оператор вправе без уведомления Роскомнадзора осуществлять обработку персональных данных, полученных в связи с заключением договора, стороной которого является субъект персональных данных (пп.2 п.2 ст.22 ФЗ «О персональных данных»).

Следовательно, для применения данных норм необходимо, чтобы обработке ПДн предшествовало заключение договора или начало его оформления.

Когда происходит заключение договора по оферте? Обычно договор заключается при оплате товара. Когда пользователь знакомится с публичной офертой? В лучшем случае пользователь знакомится с публичной офертой:
1) перед регистрацией на сайте интернет-магазина;
2) перед отправкой оформленного заказа на сайте интернет-магазина.
При этом условия оферты не дифференцируются на те, что применяются до заключения договора купли-продажи товара и после.

Соответственно, нельзя сказать, что а) с момента регистрации на сайте интернет-магазина, пользователь заключил некий договор на его использование, и б) после оформления и (если требуется) оплаты товара отношения между пользователем и владельцем магазина дополнительно регулируются договором купли-продажи такого товара.

Помимо этого в последнее время интернет-магазины стараются сократить количество действий в процессе покупки. Поэтому для оформления заказа не требуется предварительная регистрация, а при оформлении заказа - ознакомление с условиями продажи товара.

Особенно это видно на примере интернет-магазинов розничных сетей. В таком случае товар доставляется со склада в указанный покупателем магазин и там же оплачивается. Таким образом, дистанционная продажа отсутствует, т.к. договор купли-продажи заключается в стационарной точке.

Данную практику копируют и другие интернет-магазины, не имеющие собственных пунктов выдачи. Здесь товар доставляется наложенным платежом.

Однако во всех рассмотренных случаях продавцы забывают о том, что при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные. В результате, такие персональные данные обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владелец магазина не может ссылаться на положения закона, которые его освобождают от:
а) получения согласия субъекта персональных данных на их обработку;
б) уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн.

Исключить данные риски позволяет простое разделение публичной оферты на 3 документа:

1) Пользовательское соглашение , которое регулирует условия регистрации на сайте интернет-магазина и бесплатного использования его функционала;
2) Оферта на дистанционную продажу товаров , в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин;
3) Политика конфиденциальности , которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по Пользовательскому соглашению и б) договора купли-продажи по оферте.

Как видите все просто и логично: под каждое действие пользователя свой договор и условия обработки его ПДн. С учетом этого мы разработали

До настоящего времени в соответствии с положениями статьи 13.11 КоАП РФ (в ред. Федерального закона от 22 июня 2007 г. № 116-ФЗ) за нарушения, допущенные при сборе, хранении, использовании или распространении персональных данных, государство наказывало виновных предупреждением или наложением административного штрафа. Для граждан сумма санкций имела размер до 500 рублей; должностным лицам грозил штраф до 1000 рублей; для юридических лиц сумма штрафа не превышала 10 000 рублей.

Такой незначительный размер наказаний породил безответственное отношение владельцев онлайн-магазинов к соблюдению закона и к защите персональных данных покупателей, что в свою очередь вызвало обратную реакцию со стороны государства. Таким образом, был принят новый Федеральный закон № 13-ФЗ, который многократно повысил штрафы. С 1 июля 2017 года для тех, кто собирает и обрабатывает персональные данные с нарушениями, любые «огрехи» обойдутся значительно дороже. Федеральный закон от 7 февраля 2017 года № 13-ФЗ включает семь нарушений в работе с персональными данными.

Первое нарушение: обработку персональных данных владелец проводит, когда у него нет на это полномочий, либо обработка персональных данных проводится с целями, которые несовместимы с их сбором.

Страховщики и банки наиболее часто допускают такое нарушение. Их деятельность определена законом, и задачи, связанные со сбором персональных данных, ограничены.

Арбитражный суд рассмотрел дело в отношении банка и признал его деятельность по обработке персональных данных неправомерной (Постановление Седьмого арбитражного апелляционного суда от 27 июня 2012 г. № 07АП-4482/12). Банк в анкете-заявлении определил цель обработки персональных данных, на реализацию которой выражал свое согласие будущий клиент банка: получение и дальнейшее использование банковской карты. В дальнейшем банк заключил агентский договор для взыскания с заемщиков просроченной задолженности по кредитным договорам и передал персональные данные заемщиков третьему лицу, тем самым превысив заранее определенные и законные цели обработки персональных данных. Такое нарушение обернется предупреждением или наложением административного штрафа: для граждан – от 1000 до 3000 рублей, для должностных лиц – от 5000 до 10 000 рублей и для юридических – от 30 000 до 50 000 рублей.

Второе нарушение: обработка персональных данных без письменного согласия на это россиян. Штраф за «невнимательность» предусмотрен следующий: для граждан – от 3000 до 5000 рублей, для должностных лиц – от 10 000 до 20 000 рублей и для юридических – от 15 000 до 75 000 рублей.

Третье нарушение: фактическое отсутствие у оператора документа, который определяет правила по работе с персональными данными пользователей. Обычно этот документ называется «Политика конфиденциальности» и должен быть доступен всем на любой странице

За такой вид нарушения предусмотрены предупреждение или наложение административного штрафа в размере: для граждан – от 700 до 1500 рублей, для должностных лиц – от 3000 до 6000 рублей, для ИП – от 5000 до 10 000 рублей и для юридических лиц – от 15 000 до 30 000 рублей.

Четвертое нарушение: ситуации, когда онлайн-магазин не информирует покупателя о том, что будет обрабатывать его персональные данные.

В частности, это могут быть сведения о лицах, которые имеют доступ к персональным данным; сроки обработки в том числе сроки их хранения; наименование или Ф. И. О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу. Отмечу, что суды в таких случаях встают на сторону именно субъекта персональных данных и обязывают оператора предоставить запрашиваемую информацию (Апелляционное определение Новосибирского областного суда от 22 ноября 2016 г. по делу № 33-11437/2016).

За такое сокрытие информации законодательством предусмотрено наказание в виде предупреждения или наложения административного штрафа: для граждан – от 1000 до 2000 рублей, для должностных лиц – от 4000 до 6000 рублей, для ИП – от 10 000 до 15 000 рублей и для юридических лиц – от 20 000 до 40 000 рублей.

Пятое нарушение: законодатели предусмотрели невыполнение оператором в установленные законом сроки требования субъекта персональных данных либо уполномоченного органа уточнить, заблокировать или уничтожить данные в случае, если информация является неполной, устаревшей или незаконно полученной и так далее.

Каждый сталкивался с ситуацией получения смс-сообщений от магазинов, предлагающих определенные товары со скидкой, оказание услуг по выгодной цене или сообщающих: «Вы выиграли автомобиль!» Как правило, сразу становится понятно, что покупатель не оставлял свой номер телефона этому интернет-магазину. Такая ситуация возникает в случае незаконного получения операторами персональных данных для продвижения своих товаров и услуг. После обращения к соответствующему оператору данные субъекта должны быть удалены, однако зачастую прекращается лишь на некоторое время, а затем возобновляется вновь, что, безусловно, является нарушением закона (Апелляционное определение Омского областного суда от 17 сентября 2014 г. по делу № 33-5967/2014).

За такие действия грозят предупреждение или наложение административного штрафа: для граждан – от 1000 до 2000 рублей, для должностных лиц – от 4000 до 10 000 рублей, для ИП – от 10 000 до 20 000 рублей и для юридических лиц – от 25 000 до 50 000 рублей.

Обратите внимание

Еще один важный момент: если интернет-магазин собирается передавать данные покупателя третьим лицам (например, службе доставки, монтажникам оборудования и др.), то это необходимо отдельно оговорить в пользовательском соглашении на сайте.

Шестое нарушение: невыполнение оператором обязанности по обеспечению сохранности персональных данных, если следствием этого стали, в частности, неправомерный доступ к информации, ее уничтожение, изменение, копирование, распространение. Так, например, если фирма опубликует у себя на сайте список победителей интернет-розыгрыша, который содержит их персональные данные, и при этом компания заранее не запросила у участников конкурса разрешения на распространение указанных сведений, то это является нарушением закона.

Предусмотрен административный штраф: для граждан – от 700 до 2000 рублей, для должностных лиц – от 4000 до 10 000 рублей, для ИП – от 10 000 до 20 000 рублей и для юридических лиц – от 25 000 до 50 000 рублей.

Седьмое нарушение: невыполнение оператором в лице государственного или муниципального органа обязанности по обезличиванию информации либо несоблюдение требований, методов по обезличиванию персональных данных. Чаще всего такого рода обязанность возникает у органов власти, когда на своих ресурсах в Интернете они размещают информацию об обращениях граждан; например, на сайтах судов при публикации судебных документов и т. д. Законодатель предусмотрел наказание в виде предупреждения или наложения административного штрафа на должностных лиц в размере от 3000 до 6000 рублей.

Политика конфиденциальности

Чтобы защитить себя от штрафов и предупреждений Роскомнадзора, владельцу интернет-магазина необходимо разместить на своем сайте политику конфиденциальности, в которой должен быть определен порядок обработки персональных данных покупателя.

Обратите внимание: с условиями использования персональных данных покупатель должен быть ознакомлен до начала их обработки. Перед отправкой заказа на оплату нужно предложить покупателю повторно подтвердить согласие с офертой.

Если интернет-магазин собирается передавать данные покупателя третьим лицам (например, службе доставки, монтажникам оборудования и др.), то это необходимо отдельно оговорить в пользовательском соглашении на сайте.

Является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:

• его фамилия, имя, отчество,
• год, месяц, дата и место рождения,
• адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
• другая информация.

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Закон предусматривает, что иски о защите прав субъекта персональных данных, в том числе о возмещении убытков или компенсации морального вреда, могут предъявляться в суд по месту жительства истца. Закон устанавливает обязательность согласия субъекта персональных данных на их дальнейшую обработку.

Стоимость персональных данных большинства интернет-пользователей не превышает одного доллара , пишет газета The Financial Times со ссылкой на имеющиеся в ее распоряжении данные о ценообразовании рынка.
Базовая информация об одном пользователе, включающая его возраст, пол и местоположение, стоит лишь 0,0005 доллара или 50 центов в расчете на тысячу человек. "Конкуренция между компаниями за сбор информации о потребителях усиливается. В результате цена на персональные данные снижается до долей цента", - пишет FT.
Несмотря на это, объем рынка персональных данных пользователей оценивается в миллиарды долларов. Причины тому - практически полное отсутствие государственного регулирования и возможность отследить информацию о человеке сразу по нескольким каналам - интернет-поиску, социальным сетям, истории покупок, публичным профайлам и так далее. Покупатели могут получить данные о болезнях, кредитной истории и даже сроке беременности.
Базовая информация об одном пользователе, включающая его возраст, пол и местоположение, стоит лишь 0,0005 доллара или 50 центов в расчете на тысячу человек. Наиболее дорогими являются данные о хронических заболеваниях человека - каждое из них повышает стоимость информации о нем примерно на 0,27 доллара. Данные о том, что человек собирается участвовать в программе по потере веса, добавляют еще 0,1 доллара. Если человек помолвлен, стоимость его данных может вырасти на 0,13 доллара, а брак или развод повышает цену всего на 1 цент. Существенно - на 0,1 доллара - увеличивает стоимость информация о том, что пользователь скоро станет отцом или матерью, чуть меньше покупатели предлагают за информацию о новоиспеченных родителях.
Данные о доме пользователя стоят около 0,1 доллара, а информация о том, что человек собирается переехать - 0,09 доллара. Примерно по 8 центов покупатели платят за данные о пользователях, владеющих самолетом или яхтой. Хобби - фитнес, круизы и другие путешествия - повышают стоимость данных на 3 цента каждый. Примечательно, что информация о потребительском поведении (посещении профильных веб-сайтов, планах купить продукт) стоит менее цента.

Развитие информационных технологий делает жизнь разнообразней и удобней, но одновременно увеличивает риск утечки персональных данных.
Информация, появляющаяся на различных ресурсах, частично проистекает и из различных ведомственных баз данных, однако изрядную ее часть приносят в копилку хакеров сами беспечные пользователи . Вряд ли кто-то отдаст первому встречному копию своего паспорта или сообщит данные о банковском счете, но при использовании компьютеров и общении в сети многие нередко забывают об осторожности. Следование приведенным ниже десяти несложным правилам безопасности позволит минимизировать риск утечки персональных данных.

1. Личные данные в социальных сетях. Свои персональные данные в социальной сети нужно защитить в настройках личного профиля. Без особой надобности не стоит указывать в подробностях место своего проживания, электронный адрес, телефон. Самое необходимое можно оставить открытым для друзей или даже для отдельных людей. Не сообщайте личную информацию случайным собеседникам. Нередко пользователи сообщают в социальных сетях о том, где они сейчас находятся: подумайте о том, действительно ли стоит делать эту информацию общедоступной.
2. Регистрация в онлайн-сервисах. При регистрации многие сайты нередко запрашивают избыточные данные, которые в действительности не нужны при получении от сервиса требуемых услуг - указывайте возможный минимум информации. Если интернет-сервис не связан с коммерческими услугами и доставкой товаров, должно насторожить требование указать при регистрации домашний адрес, телефон или данные банковской карты. В таких случаях можно попытаться найти другой сайт, менее требовательный к регистрационным данным.
3. Пароли для интернет-ресурсов. Привычка использовать одинаковый пароль для аутентификации во всех онлайн-сервисах сделает уязвимыми ваши данные. В любом случае необходимо иметь уникальный пароль для электронной почты, которая, как правило, используется для восстановления или смены пароля. Используйте уникальный и сложный пароль для банковских интернет-сервисов и служб, к которым привязана ваша банковская карта или счет электронной платежной системы. Общий пароль разумно использовать только для сервисов, не знающих о вас ничего существенного.
4. Онлайн-магазины. Онлайн-магазины при покупках по банковским картам запрашивают у пользователя данные карты, а потому выбирать места для покупок в сети стоит с осторожностью. Чтобы своевременно выявить мошенничество, пользуйтесь услугой SMS-информирования от банка: она позволит оперативно отслеживать операции с вашим банковским счетом и зачастую отменить платежи, которых вы не совершали. Для интернет-платежей разумно использовать отдельную карту с небольшой суммой на счете или одноразовые виртуальные карты.
5. Защитное программное обеспечение. Заражение персонального компьютера зловредными программами - одна из наиболее частых причин утечки личных данных. Речь идет как о хранящейся на диске информации, так и об интернет-сервисах, к которым осуществляется доступ с компьютера. Установите антивирус и сетевой защитный экран и следите за регулярностью их обновления. Можно воспользоваться бесплатными программами, только выбирайте известную компанию и загружайте программу с ее сайта, чтобы исключить возможность подмены (зловреды нередко маскируются под бесплатные антивирусы).
6. Обновление программного обеспечения. Если компьютер подключен к интернету, то установленные на нем программы необходимо периодически обновлять, устанавливая выпускаемые разработчиками исправления ошибок. Иначе даже простое посещение безобидной на первый взгляд веб-странички может обернуться заражением компьютера. Особенно это правило касается операционной системы, браузеров, интернет-месседжеров и прочих сетевых программ.

7. Вложения в электронной почте и интернет-мессенджерах. Следует соблюдать осторожность с запуском файлов, присланных незнакомыми людьми по электронной почте или через интернет-мессенджеры. Иногда о возможной опасности в таких файлах предупредит защитное ПО, но полностью на него полагаться не стоит. Если сообщение пришло вроде бы от знакомого, но пишет он в какой-то странной манере, лучше переспросить, что это за странный файл от него пришел.
8. Переход по интернет-ссылкам. Вредоносный программный код, способный поставить под угрозу ваши личные данные на ПК и в интернете, нередко размещается злоумышленниками непосредственно на сайтах в сети, которые чаще всего представляют собой сайты «для взрослых», маскируются под библиотеки нелицензионного ПО, фильмов или музыки. Прежде чем открыть ссылку в письме или на сайте, посмотрите на ее сетевой адрес. Если, например, служба интернет-банкинга располагается на странном доменном имени - это уже серьезный повод для беспокойства.
9. Защита домашней Wi-Fi-сети. Если у вас дома установлена беспроводная точка доступа Wi-Fi, позаботьтесь о ее защите. Пароль и включенное в настройках Wi-Fi-роутера шифрование трафика предотвратит перехват данных в пределах зоны действия сети (иногда это больше сотни метров). А смена установленного производителем роутера пароля доступа к настройкам по умолчанию позволит избежать многих возможных бед.
10. Смартфоны. Этот источник утечки персональных данных пока не очень распространен, но нет никаких сомнений, что ситуация будет меняться в худшую сторону. К обычным "компьютерным" рискам утечки данных в случае смартфонов добавляется высокая вероятность физически потерять устройство, поэтому не стоит пренебрегать установкой пароля доступа и специализированных приложений для поиска аппарата и удаленного стирания данных (вроде фирменного приложения Apple "Найти iPhone"). Вредоносные программы, крадущие из смартфона данные адресной книги или SMS, уже встречаются даже в крупных специализированных магазинах ПО, вроде Google Android Market, поэтому стоит внимательнее относиться к установке малоизвестных приложений. А неиспользуемые беспроводные интерфейсы лучше отключать не только из соображений безопасности, но и для экономии заряда батареи.

 

Возможно, будет полезно почитать:

• Аббатство - это католический монастырь ;
• Самые распространенные расклады ;
• Быт и обычаи Обычаи и нравы 19 века ;
• К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
• Основные характеристики марса ;
• Должностная инструкция транспортного экспедитора ;
• Татаро-монгольское иго или история о том, как ложь стала правдой ;
• Журавль толкование сонника ;