Под персональными данными (ПДн) подразумеваются все сведения, имеющие отношение к конкретному физическому лицу, которое принято считать субъектом персональных данных. Интернетом в настоящее время пользуется большинство населения России. Граждане активно совершают покупки, оформляют сделки, пересылают по Сети большие объемы различной информации. Поэтому всем, кто заботится о сохранности ПДн и стремится к их максимальной конфиденциальности, важно знать, каким образом и в каких случаях нужно соглашаться на обработку такой информации. А владельцам интернет-магазинов и других веб-ресурсов необходимо соблюдать требования закона № 152 «О защите персональных данных» и знать, как избежать ответственности в процессе ведения деятельности в Интернете.

Какие сведения являются персональными?

Все данные о любом физическом лице разделяются на три основные категории:

• Общие – сведения, позволяющие идентифицировать человека. К ним относятся ФИО, дата рождения, а также пол и др.
• Специальные, позволяющие определить расовую принадлежность, национальность, вероисповедание и др.
• Биометрические – рост, вес, отпечатки пальцев, состояние здоровья и др.

В Интернете необходимо предоставлять согласие на возможность обработки общих ПДн. Какие именно сведения могут понадобиться, зависит от конкретного ресурса. Обычно операторы запрашивают у физлиц следующую информацию:

• ФИО; 
• прописка/место фактического проживания;
• информация из паспорта;
• дата рождения;
• телефонный номер;
• образование;
• профессия или занимаемая должность и др.

Когда предоставляется согласие на обработку ПДн

Предоставлять в Интернете согласие на обработку ПДн нужно с целью выполнения договорных условий между сервисом, которым пользуется клиент, и самим клиентом. Интернет-магазин, являющийся сервисом, обязывается доставить приобретенный пользователем товар и выполнить операцию оплаты (безналичным расчетом или наличными – во время вручения клиенту его товара). Используются персональные данные физлица также при рассылке рекламы, любой другой информации, если на это клиент предоставил свое согласие.

Нужно учитывать, что такое понятие, как «обработка данных», состоит из различных операций, включающих в себя много разноплановых действий: по их сбору, систематизации, хранению, накоплению, использованию, изменению, передаче, удалению и др. В связи с этим интернет-ресурс, не являющийся муниципальным, не принадлежащий госучреждению, обязан получить согласие пользователя на выполнение любых действий с его ПДн. Передача сведений третьим лицам возможна, если ситуации, при которых это нужно и можно делать, прописаны в Федеральном законодательстве. Основным документом, который регулирует все возможные операции с ПДн, является ФЗ № 152.

Соглашение на обработку ПДн в Интернете

Обычно в Интернете применяются похожие пользовательские соглашения с включенным в них пунктом о предоставлении согласия клиента на обработку его ПДн. Но есть различия в формулировках, обозначениях, количестве статей и др. Это зависит от ресурса, заключающего такое соглашение. Данное разрешение обычно нужно предоставлять при регистрации на сайте или непосредственно во время заключения договора о предоставлении какой-либо услуги.

Клиенту, прежде чем пройти на следующую страницу после регистрации, к примеру, в интернет-магазине, нужно прочесть пользовательское соглашение и поставить «галочку» в соответствующем поле, что подтверждает его согласие на обработку ПДн.

Соблюдение интернет-ресурсами требований законодательства  

Чтобы не нарушать законодательство о персональных данных, владелец интернет-магазина, другого ресурса должен:

• выполнять принципы обработки ПДн (не требовать от пользователя лишних данных, не являющихся необходимыми для целей, в отношении которых они запрашиваются);
• брать согласие у клиента на обработку его ПДн;
• опубликовать на своем ресурсе политику по обработке персональной информации;
• предоставить доступ к ПДн их носителям, если от них поступает соответствующий запрос;
• уточнять, блокировать, удалять или уничтожать ПДн, если их владелец предъявляет такое требование;
• обезопасить персональные сведения во время их обработки, чтобы третьи лица не имели к ним доступ, нельзя было их скопировать и пр.

Кто является в Интернете оператором ПДн?

Статус операторов каждый владелец интернет-ресурса должен определить для себя самостоятельно, исходя из конкретных условий, настроек интернет-магазина, сайта, установленных программ, технических мощностей, задействованных в работе ресурса.

Собственник интернет-ресурса не является оператором ПДн, если он не получает, не хранит, не обрабатывает персональную информацию клиентов в любых ее вариациях.

Операторами ПДн в Интернете являются владельцы ресурсов, на которых осуществляются:

• сбор сведений о пользователе-физлице;
• размещение формы для контактов с администрацией сайта, для регистрации и подписки;
• заполнение гражданами на сайте предложенных анкет;
• регистрация пользователя в личном кабинете;
• размещение различных объявлений;
• связь с сотрудниками ресурса с помощью кнопки для обратного звонка.

Выполнение оператором ПДн в Интернете требований законодательства

В части 1 пункта 5 статьи 6 ФЗ № 152 указано, что возможна обработка ПДн, если не получено согласие на эти действия от их субъекта, если эта информация используется для:

• выполнения договорных условий, одна из сторон которых – субъект ПДн;
• подписания договоров, если инициаторами их подписания выступают субъекты персональной информации;
• подписания договора, в соответствии с которым физлицо, чьи персональные сведения применяются, выступает в роли поручителя или выгодоприобретателя.

Оператор может не уведомлять Роспотребнадзор об обработке ПДн, полученных при подписании соглашений, если одной из сторон выступает субъект персональной информации. Эта норма прописана в статье 22 закона о персональных данных.

Практическое применение этой нормы закона возможно, если перед обработкой персональных сведений подписывается договор с пользователем ресурса. На практике во время регистрации, формирования заказов покупателю нужно предоставить свои личные сведения (ФИО, номер телефона, e-mail). Выходит, что такая информация проходит процесс обработки интернет-магазином до принятия клиентом решения о подписании договора. 

В таком случае собственнику ресурса можно ссылаться на нормы закона, которые освобождают его от:

• необходимости запрашивать согласие у субъекта ПДн на возможность обработки этой информации;
• отправки уведомлений надзорному органу – Роскомнадзору – с просьбой о включении в спецреестр операторов ПДн по причине начала их обрабатывания.

С этой целью будет уместно разбить публичную оферту на три документа:

1.Пользовательское соглашение, содержащее основные условия пользования ресурсом, ответственность, возлагаемую на собственника сайта, способы защиты прав непосредственно на ресурс и его контент, возможность использовать рассылки для уведомления клиентов о различных событиях, разрешение спорных моментов. Данный документ призван выполнить регулирование возможных конфликтов, касающихся объемов услуг, порядка их предоставления клиенту заранее. Такой способ актуален, если физлица размещают на ресурсе компании или ИП определенные сведения от собственного имени. Владелец магазина, благодаря наличию пользовательского соглашения, может подвергать модерации эти сведения.

2.Публичная оферта, позволяющая продавать продукцию дистанционным способом. В ней описываются условия подписания договора на приобретение чего-либо с помощью интернет-магазина. Он также размещается на данном ресурсе.

3.Политика конфиденциальности с описанием порядка обрабатывания персональной информации, который необходим для подписания договора по использованию интернет-ресурса, имеющего пользовательское соглашение, а также договоров купли-продажи с применением оферты. Этот документ должен быть утвержден собственником сайта, размещен в его компании непосредственно в офисе (если он есть) в общедоступном месте, а также на сайте. Если используется мобильное приложение, оно также должно содержать этот документ. Простой способ сделать этот документ доступным для посетителей – опубликовать ссылку на него в футере.

Основные моменты Политики конфиденциальности

Политика является одним из наиболее важных юридических документов в вопросе обработки ПДн. Она обязана содержать:

• список сведений, собирающихся и обрабатывающихся сайтом, – как ПДн, так и данные, которые собираются в автоматическом режиме: cookie, IP-адрес и пр.;
• преследуемые цели сбора ПДн и их использования (проведение соцопросов, маркетингового исследования и др.);
• нормы законодательства по защите персональной информации, включая возможные причины передачи ПДн третьим лицам;
• возможность внесения изменений в личные сведения непосредственно субъектом;
• внесение изменений в Политику. Обычно собственник сайта изменяет этот документ без заблаговременного уведомления пользователей. Поэтому им желательно периодически открывать Политику и читать ее, чтобы быть в курсе таких изменений.

Как еще собственнику сайта обезопасить себя?

Если персональные данные собираются еще до того, как будет заключен договор, или владелец сайта сомневается в отношении момента начала сбора персональных данных (это важно во время споров с Роскомнадзором), он может избежать админответственности, если выполнит следующую рекомендацию.

В мобильных приложениях, на сайтах под каждой формой, в которой предусмотрен ввод информации (регистрационная форма, заявка, форма обратной связи и т. п.), нужно разместить текстовую информацию со следующим содержанием: «При нажатии кнопки «название кнопки» я соглашаюсь на обработку персональных данных». Слова «соглашаюсь на обработку...» нужно сделать в виде активной ссылки непосредственно на сам документ. Это не позволит пользователю отправить свои данные, если он не дал на это согласие. В документ также нужно внести условия, установленные ч. 4 ст. 9 ФЗ № 152.

Хостинг и сайт интернет-магазина или другого ресурса должны располагаться в России. Эта норма уже выполняется, так как серверы InSales размещены в РФ.

Также необходимо указать на сайте электронный адрес, который будет использоваться физлицами для переписки с его администрацией по вопросам внесения изменений в ПДн, их удаления, уничтожения и др.

Пользователь сможет задать интересующие его вопросы по своим личным данным. Рекомендуется создать для этих целей не общий почтовый ящик, а специальный адрес, на который будут поступать письма исключительно по теме персональных данных. Это позволит снизить вероятность того, что такие обращения затеряются среди множества других писем, будут отправлены в спам. А ответы по ним можно будет легче отслеживать.