Защита персональных данных потребителя

Отсутствие интернет-магазина у ретейлера сегодня, скорее исключение, чем правило. За прошлый год российский рынок онлайн-торговли вырос на 500%! Разумеется, что подобные масштабы не могли остаться без внимания государственных структур: еще несколько лет назад был принят закон о защите персональных данных клиента. В этом году уже многим компаниям пришлось отчитаться перед Роскомнадзором о надежности своих систем.

Закон не нов, но вполне логично со стороны Роскомнадзора было дать ретейлерам определенное время на осмысление, подготовку технической базы и принятия мер для его соблюдения. Теперь, похоже настало время для тотальных проверок. Причем, поводом для визита законников в вашу компанию может стать любая жалоба клиента. Скажем, вы с завидной регулярностью сообщаете клиенту о скидках, распродажах и новых поступлениях, засыпая его смс-сообщениями и электронными письмами. Казалось бы, все законно – когда-то этот гражданин заказал у вас туфли в интернет-магазине и, разумеется, оставил на сайте всю свою контактную информацию. Однако заполненного и подписанного клиентом «соглашения на обработку персональных данных» у вас нет. Тогда как у гражданина есть… есть право заставить вас заплатить штраф за столь пренебрежительное отношение к столь секретной информации – как его контактный телефон и адрес почтового ящика.

Личный подход

Итак, что же согласно закону является персональными данными клиента (ПДн)? Точное определение таково: «Это любая (ФИО, адрес, телефон и т.д.) информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». В рамках этой формулировки приходиться жить и работать всем ретейлерам без исключения – идет разговор об онлайн- или офлайн-торговле», - комментирует Константин Коротнев, CISO компании «Эльдорадо».

Информация о клиенте может поступать к ретейлеру несколькими путями:

- через офлайн-магазины и программы лояльности;

- при оформлении доставки товара по адресу проживания;

- при онлайн-покупке;

- через сервисные центры и выездное обслуживание.

Прекрасно, если у вас есть офлайн-магазин и собственные системы лояльности – в этом случае, вы всегда можете попросить клиента заполнить анкету, то есть письменно подтвердить свое согласие на обработку ПДн. Но, при заказе товара по телефону или при покупке товара в онлайн-магазине, единственное на что вы можете рассчитывать, это электронная анкета. В этом случае, установить самостоятельно ли человек вносил данные или нет, невозможно. Коме, того нередко заказ формируется в интересах третьего лица, которому с использованием возможностей Интернета делается подарок или данные о нем включаются в заказ. Вы же можете заказать туфли или сумочку в подарок маме или подруге и оформить доставку по их адресу проживания или места работы. На этот счет в законе четко сказано: «Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами». Так что по сути, закон ограничивает, если не запрещает интернет-торговлю вовсе. Судите сами, согласно ФЗ-152 интернет-магазин является оператором персональных данных, а значит обязан по требованию Роскомнадзора предоставить доказательство получения согласия субъекта на обработку его персональных данных и обрабатывать ПДн только при условии предварительного согласия субъекта.

Отличная формулировка по сути налагающая на вас обязательства продавать товар только после письменного заверения клиента, что он не против сообщить вас свой телефон и адрес.

Откройте дверь!

Насколько реален шанс попасть в поле зрения Роскомнадзора? По мнению большинства игроков рынка для продавцов средней руки он не велик. Но уважаемые законники уже официально объявили о планах наращивания проверок и возбуждения дел, связанных с нарушениями в области персональных данных. На прошедшем летом семинаре «Новости онлайн-торговли», организованном компанией AFConference, Констрантин Коротнев поделился опытом компании «Эльдорадо» о прохождении подобной проверки. Федеральный орган запросил у ответчика 118 (!) правовых документов, подтверждающих законность всех операций с ПДн, а весь процесс проверки занял 3 (!) календарных недели. Эти цифры наглядно демонстрируют всю серьезность процедуры и уровень ее угрозы для нормального функционирования вашего бизнеса.

Шаг первый. Инвентаризация и наладка IT-cистем

Как правило, стандартные IT-решения для интернет-магазинов, разрабатывались без учета особенностей работы в условиях действия ФЗ-152. Поэтому владельцу магазина придется выяснить архитектуру сайта и возможности его переделки. Анализ имеющихся механизмов и средств защиты информации должен дать ответ о наличии у них сертификатов ФСТЭК и ФСБ по требованиям безопасности или перспективы проведения такой сертификации.

Шаг второй. Составление нормативных документов.

Увы, без бюрократизации не обойдется. Необходимо будет составить ряд нормативных актов, определяющих лиц, ответственных за организацию обработки персональных данных, а также определяющих политику компании в отношении обработки персональных данных.

Шаг третий. Форма согласия

Реклама

Реклама ООО "Глобал Шуз" ИНН 7710961530 erid: LjN8JzKPK

На этом этапе необходимо прописать публичные оферты, предлагаемые интернет-магазином своим покупателям по сбору и обработке персональных данных.

Опишите, какие данные и с какой целью предоставляет пользователь. Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям. Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных.

Важно вместе с юристами проработать форму документа, подтверждающего оказание услуги (доставку товара) и разработать форму подтверждения согласия на обработку ПДн, которую покупатель будет подписывать, скажем, при получении товара у курьера. Разумеется, это полумеры. Однако такие шаги гораздо лучше, чем полное игнорирование новых трендов Роскомнадзора.

Шаг четвертый. Выявите все возможные угрозы.

Необходимо предопределить возможные угрозы сохранности данных, как внешние, так и внутренние. Среди них:

- DDoS;

- чрезвычайные ситуации (пожар, перегрев, аварии на каналах, выход из строя оборудования);

- атаки на web-приложение (в т.ч. подбор паролей клиентов);

- НСД подрядчиков;

- НСД сотрудников;

- Перехват заказов;

- Мошенничество с ценами, промо-кодами, бонусами;

- Утечка ПДн;

- Санкции регуляторов.

Важно разработать и прописать все возможные модели угроз информационным системам персональных данных, после чего спроектировать и построить надежную подсистему безопасности ИСПДн.

Шаг пятый. Уведомление Роскомнадзора.

Обработка ПДн начинается с момента создания организации (то есть, регистрации в ФНС), а не с момента подачи Уведомления в РКН. Но неуведомление о факте обработки персональных данных – наиболее часто выявляемое территориальными органами Роскомнадзора нарушение. В Уведомлении необходимо указывать все физические адреса оператора (если они относят к данному юр. лицу), где ведется обработка ПДн. В случае изменения сведений, указанных в Уведомлении, необходимо в течение 10 рабочих дней донести эту информацию до РКН (ФЗ-152, ст. 22, п. 7) .

Разрабатывая и вводя в документооборот компании необходимые документы и принимая меры по обеспечению безопасности ПДн клиентов, вы демонстрируете стремление своей компании к соблюдению закона. А это будет замечено и серьезно упростит вашу жизнь при возможной проверке !