Des amis ont été impressionnés par la nouvelle amende d'un million de roubles dans le Code des infractions administratives:
Article 13.11. Violation de la législation de la Fédération de Russie dans le domaine des données personnelles
8. Omission par l'opérateur de collecter des données personnelles ... obligations d'assurer l'enregistrement, la systématisation, l'accumulation, le stockage, la mise à jour ... ou l'extraction des données personnelles des citoyens de la Fédération de Russie à l'aide de bases de données situées sur le territoire de la Fédération de Russie, - ... aux personnes morales (et aux entrepreneurs individuels) - d'un million à six millions de roubles.
Le serveur sur lequel se trouve leur magasin est à l'étranger. Ils sont intéressés par ce qu'il faut faire, s'il est nécessaire de faire beaucoup d'efforts. Faites immédiatement une réservation que le magasin est basé sur un systÚme de gestion auto-écrit, qui contient des éléments de conformité avec 152-FZ "Sur les données personnelles". D'aprÚs mon texte, il sera clair que d'autres devront se prononcer.
Commencez immédiatement avec des millions d'amendes. Revendiquez à Roskomnadzor que bien que le site soit situé à l'étranger, le traitement est effectué en Russie. Lors de la commande, l'utilisateur entre ses données personnelles, qui sont immédiatement envoyées pour traitement en Russie. Les données personnelles autant que l'utilisateur le souhaite sont stockées sur son appareil dans des cookies. Un serveur à l'étranger est un simple lien de transfert. Lorsque vous le désactivez, toutes les commandes reçues seront exécutées. Essayez de vous limiter à cela. Roskomnadzor n'a pratiquement pas le droit d'exiger quelque chose de plus.
Tout ce que j'écris n'est en aucun cas la vérité ultime. J'indique seulement la position à laquelle vous devez vous conformer lorsque vous traitez avec Roskomnadzor et dans de mauvaises circonstances devant un tribunal.
Lors de la définition d'une politique de traitement des données personnelles, lisez l'intégralité de l'article 13.11. de CAO. Tout ce qui n'est pas mentionné dans cet article, oubliez immédiatement. Ne pas bien et bien.
La «Politique sur le traitement des donnĂ©es personnelles» publiĂ©e sur le site doit ĂȘtre minimale et contenir quelque chose comme ceci: «Le traitement des donnĂ©es personnelles est effectuĂ© pour exĂ©cuter le contrat d'offre, ainsi que pour conclure le contrat Ă l'initiative de la personne concernĂ©e. L'opĂ©rateur met en Ćuvre les mesures nĂ©cessaires pour protĂ©ger les donnĂ©es personnelles. " En fait - il s'agit d'un rĂ©sumĂ© du paragraphe 5, paragraphe 1, de l'article 6 152-FZ et du paragraphe 3 de l'article 13.11 Code administratif. N'oubliez pas de mettre un lien vers le fichier avec un tel contenu au moins depuis la page principale du site sous le nom "Politique de confidentialitĂ©".
Avec cette politique, vous éliminez immédiatement la nécessité d'enregistrer les opérateurs de données personnelles dans le registre, vous n'avez pas à vous demander comment rédiger des documents pour les services de courrier et de messagerie. Vous n'avez pas besoin d'obtenir le consentement de l'utilisateur pour le traitement des données personnelles.
Dans un dĂ©lai d'un mois aprĂšs l'exĂ©cution de la commande, toutes les donnĂ©es personnelles du client doivent ĂȘtre supprimĂ©es ou anonymisĂ©es.
La question se pose immĂ©diatement de savoir quoi faire avec les non-acheteurs qui n'ont pas payĂ© les frais de port. Vous avez le droit de stocker leurs donnĂ©es personnelles jusqu'Ă ce qu'ils aient fermĂ© leur dette. ConformĂ©ment Ă la loi, le client est tenu de compenser les frais de livraison de produits de qualitĂ© non achetĂ©s mĂȘme si la livraison sur le site est conditionnellement «gratuite». Il est prĂ©fĂ©rable de l'enregistrer dans l'offre. Bien que cette disposition de la loi fĂ©dĂ©rale soit valable indĂ©pendamment des souhaits du vendeur ou de l'acheteur, pour le traitement des donnĂ©es personnelles avec un tel enregistrement, les prĂ©tentions de quelqu'un que le contrat est toujours en cours d'exĂ©cution sont immĂ©diatement Ă©liminĂ©es.
De toute Ă©vidence, les vendeurs normaux n'envoient pas de rappels Ă ces clients, il y a plus d'hĂ©morroĂŻdes que d'argent rĂ©el ne peut ĂȘtre reçu, mais au moment oĂč le non-acheteur a passĂ© une nouvelle commande, ils lui rappellent immĂ©diatement que vous devez d'abord rembourser la dette de la commande prĂ©cĂ©dente. Et laissez les concurrents souffrir avec lui maintenant.
Ne collectez pas de contacts pour spammer les «utilisateurs» avec du spam. C'est un pĂ©chĂ© en soi et il est juridiquement trĂšs difficile de le faire. Je comprends que les commerçants me jetteront des Ćufs pourris, mais si vous voulez dormir paisiblement, vous nâavez pas besoin de le faire.
Si vous ne pouvez pas tolérer les ventes par le biais d'abonnements, empruntez des documents sur le site Web Eldorado. Lors de la préparation de l'article, j'ai ouvert une liste de boutiques en ligne pour donner des exemples. Et il a été surpris quand il s'est avéré qu'à Eldorado, ils étaient capables de tout arranger magnifiquement.
Mais la plupart des autres magasins demandent simplement l'attention des inspecteurs.
Les principales erreurs:
- Il n'y a aucune référence à la politique de traitement des données personnelles (Clause 3 de l'article 13.11. Du Code des infractions administratives de 5 à 30 mille roubles pour les entrepreneurs individuels et les personnes morales).
- Ils donnent Ă l'utilisateur le droit de consentir au traitement des donnĂ©es personnelles, et un lien est donnĂ© Ă la politique de traitement des donnĂ©es personnelles. En fait, la politique ne peut pas ĂȘtre considĂ©rĂ©e comme un consentement. Ce sont des documents diffĂ©rents.
- Ils offrent un consentement unique pour tout ce qu'ils souhaitent traiter indéfiniment les données personnelles, puis une énorme liste d'objectifs se poursuit.
Je m'attarderai sur ce dernier. Les spĂ©cialistes du marketing "intelligents" estiment que lors de la vente d'un produit, l'utilisateur doit donner son consentement au traitement des donnĂ©es personnelles, ce qui indique, entre autres, la possibilitĂ© de nouveaux contacts avec le client pour une durĂ©e illimitĂ©e Ă l'initiative du magasin. Et dans leurs rĂȘves, c'est lĂ©gal.
En fait, nous lisons attentivement 152-FZ:
1. Le sujet des donnĂ©es personnelles prend une dĂ©cision sur la fourniture de ses donnĂ©es personnelles et consent Ă leur traitement librement, par sa volontĂ© et dans son intĂ©rĂȘt. Le consentement au traitement des donnĂ©es personnelles doit ĂȘtre spĂ©cifique, informĂ© et conscient.
Cela peut entraĂźner une situation: la personne concernĂ©e a achetĂ© la marchandise en mettant un terme au consentement au traitement des donnĂ©es personnelles. De nombreux magasins ne vous permettent tout simplement pas de passer une commande sans cette griffe. Ayant reçu la prochaine newsletter, dont il n'a pas besoin pour rien, une dĂ©claration est Ă©crite Ă Roskomnadzor selon laquelle il n'a pas donnĂ© son consentement au traitement des donnĂ©es personnelles Ă des fins publicitaires. Dans son intĂ©rĂȘt, il a acceptĂ© le traitement des donnĂ©es personnelles afin de recevoir la marchandise, tous les autres objectifs lui ont Ă©tĂ© imposĂ©s.
En conséquence, le consentement écrit n'est pas conforme aux exigences de la loi et le traitement des données personnelles nécessitant un consentement est effectivement effectué sans sa réception légale. Roskomnadzor est obligé d'ouvrir une procédure administrative en vertu de la clause 2 de l'article 13.11 du Code des infractions administratives (de 10 à 75 000 roubles pour les entrepreneurs individuels et les personnes morales).
Pour ceux qui n'ont pas rencontrĂ© la machine d'Ătat, je peux dire tout de suite que la premiĂšre rencontre sans le soutien d'un bon avocat ne sera pas en votre faveur. Si les commentaires montrent de l'intĂ©rĂȘt pour l'analyse du rĂąteau que j'ai attaquĂ©, alors dans la deuxiĂšme partie, je peux vous dire comment, avec l'aide du reprĂ©sentant de Roskomnadzor, je n'ai pas pu prouver en justice que l'adresse de ma rĂ©sidence est mes donnĂ©es personnelles!
PS: Je recommande fortement à tous de lire les lois relatives à la protection des données personnelles et d'introduire au moins quelque chose qui ne nécessite pas d'investissements. Par exemple, en supprimant les données personnelles à temps, vous pouvez vous protéger contre les employés qui ont décidé de devenir vos concurrents les vacances du Nouvel An, en saisissant la base de ceux qui étaient vos clients.