Los amigos quedaron impresionados por la nueva multa en el Código de Infracciones Administrativas de un millón de rublos:
Artículo 13.11. Infracción de la legislación de la Federación de Rusia en materia de datos personales.
8. El incumplimiento por parte del operador de la recopilación de datos personales ... obligaciones para garantizar el registro, la sistematización, la acumulación, el almacenamiento, la actualización ... o la extracción de datos personales de ciudadanos de la Federación de Rusia utilizando bases de datos ubicadas en el territorio de la Federación de Rusia, - ... a personas jurídicas (y empresarios individuales) - de un millón a seis millones de rublos.
El servidor en el que se encuentra su tienda está en el extranjero. Están interesados en qué hacer, si es necesario hacer un gran esfuerzo. Inmediatamente haga una reserva de que la tienda se basa en un sistema de gestión auto-escrito, que contiene elementos para cumplir con 152-FZ "Sobre datos personales". De mi texto quedará claro que otros tendrán que gobernar.
Comience de inmediato con millones de multas. Reclama a Roskomnadzor que aunque el sitio se encuentra en el extranjero, el procesamiento se realiza en Rusia. Al realizar un pedido, el usuario ingresa sus datos personales, que se envían inmediatamente para su procesamiento a Rusia. Los datos personales tanto como el usuario quiera se almacenan en su dispositivo en cookies. Un servidor en el extranjero es un simple enlace de transferencia. Cuando lo apaga, se ejecutarán todas las órdenes recibidas. Intenta limitarte a esto. Roskomnadzor prácticamente no tiene derecho a exigir algo más.
Todo lo que escribo no es en absoluto la verdad última. Solo le indico la posición a la que debe adherirse cuando trate con Roskomnadzor y en malas circunstancias en la corte.
Al definir una política para el procesamiento de datos personales, lea todo el artículo 13.11. de la CAO. Todo lo que no se menciona en este artículo, olvídalo de inmediato. No está bien y está bien.
La "Política sobre el procesamiento de datos personales" publicada en el sitio debe ser mínima y contener algo como esto: "El procesamiento de datos personales se realiza para ejecutar la oferta-oferta, así como para concluir el acuerdo por iniciativa del sujeto de los datos personales. El operador implementa las medidas necesarias para proteger los datos personales ". De hecho, este es un resumen del subpárrafo 5, párrafo 1, artículo 6 152-FZ y párrafo 3 del artículo 13.11 Código administrativo. No olvide poner un enlace a un archivo con dicho contenido al menos desde la página principal del sitio con el nombre "Política de privacidad".
Con esta política, elimina inmediatamente la necesidad de registrar operadores de datos personales en el registro, no tiene que preguntarse cómo elaborar documentos para el correo y los servicios de mensajería. No es necesario que tome el consentimiento del usuario para el procesamiento de datos personales.
Dentro de un mes después de la ejecución de la orden, todos los datos personales del cliente deben ser eliminados o anonimizados.
Inmediatamente surge la pregunta de qué hacer con los no compradores que no han pagado el costo de envío. Tiene derecho a almacenar sus datos personales hasta que hayan cerrado su deuda. Según la ley, el cliente está obligado a compensar el costo de la entrega de bienes de calidad no comprados, incluso si la entrega en el sitio es condicionalmente "gratuita". Es mejor registrarlo en la oferta. Aunque esta disposición de la ley federal es válida independientemente de los deseos del vendedor o comprador, para el procesamiento de datos personales con dicho registro, las reclamaciones de alguien de que el contrato aún se está ejecutando se eliminan de inmediato.
Obviamente, los vendedores normales no envían recordatorios a dichos clientes, hay más hemorroides de las que se puede recibir dinero real, pero en el momento en que el no comprador hizo un nuevo pedido, inmediatamente le recuerdan que primero debe pagar la deuda del pedido anterior. Y que los competidores sufran con él ahora.
No recopile contactos con "usuarios" de spam con spam. Esto es un pecado en sí mismo, y legalmente es muy difícil hacerlo. Entiendo que los vendedores me arrojarán huevos podridos, pero si quieres dormir tranquilo, no necesitas hacer esto.
Si no puede tolerar las ventas a través de suscripciones, pida prestados documentos del sitio web de Eldorado. Al preparar el artículo, abrí una lista de tiendas en línea para dar ejemplos. Y se sorprendió cuando resultó que en Eldorado pudieron arreglar todo maravillosamente.
Pero la mayoría de las otras tiendas solo piden la atención de los inspectores.
Los principales errores:
- No hay referencia a la política para el procesamiento de datos personales (Cláusula 3 del Artículo 13.11. Del Código de Infracciones Administrativas de 5 a 30 mil rublos para personas físicas y jurídicas).
- Le dan al usuario la oportunidad de consentir el procesamiento de datos personales, y se proporciona un enlace a la política para el procesamiento de datos personales. De hecho, la política no puede considerarse consentimiento. Estos son documentos diferentes.
- Ofrecen un consentimiento único para todo lo que desean procesar datos personales de forma indefinida, y luego continúa una gran lista de objetivos.
Me detendré en lo último. Los vendedores "inteligentes" creen que al vender un producto, el usuario debe deslizar su consentimiento para el procesamiento de datos personales, lo que indica, entre otras cosas, la posibilidad de nuevos contactos con el cliente por tiempo ilimitado por iniciativa de la tienda. Y en sus sueños es legal.
De hecho, leemos cuidadosamente 152-FZ:
1. El sujeto de los datos personales toma una decisión sobre el suministro de sus datos personales y da su consentimiento para su procesamiento libremente, por su voluntad y en su interés. El consentimiento para el procesamiento de datos personales debe ser específico, informado y consciente.
Esto puede dar lugar a una situación: el sujeto de los datos personales compró los productos poniendo en evidencia el consentimiento para el procesamiento de datos personales. Muchas tiendas simplemente no le permiten realizar un pedido sin este daw. Después de recibir el próximo boletín, que no necesita para nada, se escribe una declaración a Roskomnadzor de que no dio su consentimiento para el procesamiento de datos personales con fines publicitarios. En su interés, aceptó el procesamiento de datos personales para recibir los bienes, se le impusieron todos los demás objetivos.
En consecuencia, el consentimiento por escrito no cumple con los requisitos de la ley y el procesamiento de los datos personales que requieren el consentimiento se lleva a cabo sin su recibo legal. Roskomnadzor está obligado a abrir un caso administrativo bajo la cláusula 2 del Artículo 13.11 del Código de Infracciones Administrativas (de 10 a 75 mil rublos para empresarios individuales y personas jurídicas).
Para aquellos que no se han encontrado con la máquina del estado, puedo decir de inmediato que la primera reunión sin el apoyo de un buen abogado no estará a su favor. Si los comentarios muestran interés en analizar el rastrillo que ataqué, ¡en la segunda parte puedo decirle cómo, con la ayuda del representante de Roskomnadzor, no podría probar en el tribunal que la dirección de mi residencia es mi información personal!
PD: Recomiendo encarecidamente que todos lean los actos relacionados con la protección de datos personales y presenten al menos algo que no requiera inversiones. Por ejemplo, al eliminar los datos personales a tiempo, puede protegerse de los empleados que decidieron convertirse en sus competidores en las vacaciones de Año Nuevo, tomando la base de aquellos que solían ser sus clientes.