Ошибки в защите персональных данных могут «закрыть» ваш бизнес в e-commerce. Гайд для тех, кто этого не хочет

Всегда ли бизнесу нужно согласие на обработку персональных данных?

— В каждой организации есть множество бизнес-процессов. Мы занимаемся не только продажей товаров, но и доставляем их, направляем клиентам рекламную рассылку или содействуем в предоставлении банковских кредитов, то есть в некоторых случаях передаем персональные данные третьим лицам. Важно понимать, что у каждого из этих бизнес-направлений будет свое правовое основание для обработки персональных данных, и это не всегда согласие покупателя, — объясняет Виктория Дубина, специалист, осуществляющий внутренний контроль за обработкой персональных данных онлайн-гипермаркета 21vek.by.

Разберемся, как с точки зрения защиты персданных выглядит интернет-шопинг.

Покупатель зашел на сайт онлайн-гипермаркета. Там размещена публичная оферта — условия договора, которые клиент будет принимать при совершении покупки. Затем покупатель выбрал товар, положил его в корзину и оставил свои персональные данные, необходимые для исполнения договора: адрес, номер телефона. Следующий шаг — покупатель принимает условия договора, после чего интернет-магазин приступает к его исполнению и, соответственно, обрабатывает персональные данные. В этом случае согласие получать не нужно: закон «О защите персональных данных» предусматривает обработку таких данных без получения согласия для выполнения обязательств по договору (абзац 15 статья 6).

— Это можно назвать базовым примером для e-commerce, — подчеркивает Виктория Дубина.

— Если же интернет-магазин не выбрал надлежащее правовое основание и под данную цель запрашивает согласие, то субъект персональных данных автоматически получает право согласие отозвать. Это могло бы привести к ситуации, когда покупатель заключил договор, оплатил товар, а потом отозвал согласие, на основании чего мы бы прекратили обработку персональных данных. Как итог данные, которые нужны для доставки товара покупателю, удалены и обязательства свои по доставке выполнить мы не можем. Коллизия. Наличие такого правового основания, как обработка персональных данных для целей совершения действий, установленных этим договором, исключает возможность возникновения такой ситуации.

В законе предусмотрели более 20 других оснований, когда также не требуется согласие на обработку персданных. Например, при оформлении трудовых отношений, а также в процессе трудовой деятельности.

Виктория Дубина подчеркивает: согласие получаем, только если в статьях 6 и 8 закона «О защите персональных данных» у нас нет иных правовых оснований под определенный бизнес-процесс. Причем каждое такое согласие нужно хранить еще в течение года после того, как срок его действия закончился.

Когда «да» — это действительно согласие. Три критерия

Закон о персональных данных вступил в силу в Беларуси с 15 ноября 2021 года, то есть всего три года назад, хотя, к примеру, в России он действует уже 18 лет. Безусловно, у нас и раньше было законодательство, которое регулировало взаимодействие с персональными данными, но требования были не такими строгими.

— При настройке бизнеса под требования в e-commerce, чтобы он был легальным с точки зрения законодательства о персданных, стоит начинать с аудита всех направлений компании, — советует специалист, осуществляющий внутренний контроль за обработкой персональных данных онлайн-гипермаркета 21vek.by. — Так, у нас разработан реестр обработки персональных данных. В нем отражено, какие есть направления, какие данные в них обрабатываются, сколько они хранятся, кто из сотрудников ими пользуется. По каждому направлению мы смотрим, нужно ли получать согласие на обработку персональных данных или у нас есть иное правовое основание обработки, а также какие еще корректировки нужны в процессе.

После принятия закона о персданных к согласию появились дополнительные требования. Оно должно всегда соответствовать трем критериям: однозначное, информированное и свободное.

Прежде чем получить согласие субъекта, оператор должен сначала разъяснить его права, механизм реализации и предоставить следующуют информацию:

• наименование и местонахождение оператора;

• перечень персональных данных и для каких целей их собирают;

• какой срок компания их будет обрабатывать и как она это будет делать: какие действия по обработке будет совершать и будет ли привлекать уполномоченных лиц.

— Политика обработки персональных данных — это один из обязательных документов, который должен быть размещен на сайте интернет-магазина, — говорит Виктория Дубина. — Но вышеуказанная информация должна предоставляться отдельно от политики обработки персданных. Только в этом случае согласие будет соответствовать критерию информированного. Некоторые операторы нарушают здесь требование закона и предоставляют ссылку на политику обработки персональных данных, а не на отдельный документ.

Что касается однозначности, этот критерий предполагает активное волеизъявление субъекта. Другими словами, когда вы заходите в интернет-магазин и у вас спрашивают согласие на рекламную рассылку, нельзя сказать, мол, оставаясь на нашем сайте, вы соглашаетесь. Необходимо, чтобы пользователь или нажал кнопку «Согласен», или поставил галочку в соответствующем чек-боксе.

Третий критерий — свободное согласие — подразумевает принцип «одна цель — одно согласие». Проще говоря, на рекламную рассылку и на проведение рекламной игры должны быть два разных согласия.

В сфере e-commerce отдельное место занимают cookie-файлы. На них также нужно получать согласие на обработку персональных данных. И, кроме политики обработки персданных, на сайте обязательнодолжна быть еще и политика обработки cookie-файлов.

«Контролировать обработку персданных должен штатный сотрудник, а не человек на аутсорсе»

Процесс обработки персональных данных включает в себя меры правового характера, технического и организационного. Все эти направления, безусловно, требуют финансовых вложений, при этом тесно связаны между собой.

— В первую очередь нужно выделить такую меру, как назначение лица, ответственного за внутренний контроль за обработкой персональных данных, — говорит Виктория Дубина. — Это должен быть штатный сотрудник, а не привлеченный на месяц на аутсорсе — затраты нужно предусмотреть в бюджете. Фактически уровень квалификации данного сотрудника будет влиять прямым образом на выстраивание надлежащей обработки у оператора. Законодательство меняется, и важно постоянно адаптировать бизнес-процессы, а если оператор развивается и появляются новые направления, то на начальном этапе они должны проходить через аудит такого сотрудника.

Бывают истории, когда ретейлер выстраивает дорогостоящий бизнес-процесс — например, закупает информационную систему, начинает обрабатывать в ней персданные, а после этого вдруг понимает, что нарушает закон. В итоге потратили деньги на то, что не смогут применить. Кроме того, у такого специалиста не должно быть конфликта интересов, то есть на эту позицию не рекомендовано назначать того, кто ведет кадровые вопросы, потому что у этого сотрудника будет большой объем обработки персональных данных, при этом он должен сам себя контролировать.

Еще более финансово затратной становится техническая и криптографическая защита персональных данных, подготовка к которой стоит больших денежных вложений.

«У клиента должна быть возможность нажать галочку на сайте и отозвать согласие на обработку своих данных»

Законом установлены пять прав субъектов обработки персональных данных. Это право:

• на отзыв согласия субъекта персональных данных;

• на получение информации, касающейся обработки персональных данных, и изменение персданных;

• на получение информации о предоставлении персональных данных третьим лицам;

• требовать прекращения обработки персональных данных и (или) их удаления;

• на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.

И здесь у e-commerce есть своя особенность: если субъект предоставил согласие на обработку персданных на сайте интернет-магазина, у него автоматически появляется право таким же образом отозвать его. Проще говоря, у человека должна быть возможность просто «убрать галочку» на сайте.

— У нас такая возможность предоставлена в личном кабинете. И на доработку этой функции также нужно заложить бюджет. Для реализации остальных прав, за исключением права на обжалование, нужно на юридический адрес интернет-магазина направить заявление, форма которого должна соответствовать требованиям статьи 14 закона «О защите персональных данных», — объясняет на конкретном примере специалист, осуществляющий внутренний контроль за обработкой персональных данных онлайн-гипермаркета 21vek.by.

«Отдельная история — курьеры, которые доставляют заказы вашего магазина»

Среди обязательных мер для компании Виктория Дубина также называет обучение сотрудников нюансам обработки персональных данных, чтобы они понимали, как необходимо обрабатывать, имеют ли они право предоставить ту или иную информацию или ее запросить.

— У нас разработан один общий, но достаточно подробный курс по персональным данным, который проходят все сотрудники при приеме на работу, а после курса сдают тест. Далее с каждым отделом в компании, в компетенции которых входит обработка персональных данных, мы обсуждаем нюансы конкретного направления. Кроме того, у нас сейчас стартует интерактивное обучение, разработанное отдельно для кадров, рекрутеров и HR. В дальнейшем также планируем создать такое отдельно для маркетинга и IT, так как в каждом из этих отделов обрабатывается большой и при этом разный массив персданных.

Отдельная история — курьеры, взаимодействие с которыми может быть выстроено двумя способами: на аутсорсе или в виде курьерской службы внутри организации.

— Если это служба со стороны, всегда должно быть подписано дополнительное соглашение, которое регулирует обработку персональных данных. В нем стоит оговорить цели, сроки обработки, перечень персональных данных, ответственность уполномоченного лица перед оператором и другие условия. Курьер в этом случае будет уполномоченным лицом, и за любое совершенное им нарушение перед субъектом персональных данных будет нести ответственность оператор, то есть сам интернет-магазин. Вместе с тем, даже если курьеры работают в штате, доступ к персональным данным должен быть и у них ограничен в том объеме, который им необходим для выполнения должностной функции.

Красной нитью в законодательстве проходит принцип минимизации обработки персональных данных, при этом надлежаще разработанный порядок доступа к персданным в организации должен еще больше сузить количество обрабатываемых данных каждым из отделов, включая курьеров. То есть у каждого отдела должен быть доступ только к тем данным, которые нужны для выполнения его функций.

Нарушения в сфере персональных данных могут «закрыть» онлайн-магазин

Да, защита персональных данных требует серьезных финансовых расходов. Но законодательством предусмотрена и ответственность за нарушения этих требований. Не стоит забывать и о репутационных рисках. При этом правильно выстроенные процессы обработки персональных данных в интернет-магазине дают защиту от бОльших потерь, объясняет наша собеседница.

— Ответственность за нарушение законодательства предусмотрена как для юридических лиц, так и для физлиц. Простой пример: бухгалтер получил больничный лист и рассказал о диагнозе кому-то из сотрудников — в таком случае его могут оштрафовать на сумму до 100 базовых величин, а если такие данные выложить в соцсети — до 200 базовых. Для юрлиц за несоблюдение мер обеспечения защиты персональных данных штраф составляет 50 базовых величин.

Законом предусмотрена и уголовная ответственность — до 5 лет лишения свободы. Но здесь должен быть сформирован определенный состав преступления. Также применяется гражданско-правовая и дисциплинарная ответственность, субъект персональных данных может затребовать взыскание морального вреда.

Некоторые операторы аргументируют нежелание выстраивать надлежащую обработку персональных данных тем, что штраф 50 базовых величин небольшой. Здесь эксперт выделяет два момента.

Во-первых, Центр защиты персональных данных вправе приостановить работу интернет-ресурса сроком до шести месяцев. Если онлайн-магазин получит такое предписание и полгода не будет работать, это может оказаться для бизнеса более существенным ударом, нежели даже оборотные штрафы, популярные к применению в соседних юрисдикциях.

Во-вторых, по словам Виктории, не менее опасны для бизнеса и репутационные риски.

— Утечки информации действительно влияют на репутацию компаний из e-commerce со всеми вытекающими последствиями. Сейчас перед выбором контрагентов, в частности уполномоченных лиц, мы изучаем, каким образом выстроен процесс обработки персональных данных, а также видим такие модели поведения уже и у других интернет-магазинов. Почему для нас это важно? В том числе и потому, что в конечном итоге за действия уполномоченного лица несем ответственность мы. Покупатели также обращают внимание, не нарушаются ли их права, не собирают ли избыточных персональных данных и какая репутация у того или иного интернет-магазина.

Безусловно, появляются новые требования, корректируются старые, а также возникают вопросы, на которые только предстоит сформулировать ответ — в связи с этим «идеальных» операторов, как, наверное, и ничего «идеального», не существует.

При этом стоит помнить, отмечает эксперт, что надлежаще выстроенный процесс обработки персональных данных потенциально не только фактор, который позволяет увеличить количество покупателей, выстроить с ними длительные и доверительные отношения, завоевать внимание желаемых партнеров. Он также влечет за собой удорожание стоимости нематериальных активов организации. Особенно в сфере e-commerce.

***

В следующем материале совместного проекта с Битрикс24 «Бизнес под защитой» мы разберем на примере компании «Санта Ритейл» особенности работы с персональными данными при проведении рекламных игр, а также объясним, почему сегодня бизнесу важно инвестировать в персональные данные.

Фото: Freepik, Office Life, 21vek.by

Партнерский материал