Os amigos ficaram impressionados com a nova multa no Código de Infrações Administrativas de um milhão de rublos:
Artigo 13.11 Violação da legislação da Federação Russa no campo de dados pessoais
8. Falha do operador em coletar dados pessoais ... obrigações para garantir o registro, sistematização, acumulação, armazenamento, atualização ... ou extração de dados pessoais de cidadãos da Federação Russa usando bancos de dados localizados no território da Federação Russa, - ... para pessoas jurídicas (e empresários individuais) - de um milhão a seis milhões de rublos.
O servidor no qual a loja fica fica no exterior. Eles estão interessados no que fazer, se é necessário exercer muito esforço. Imediatamente, faça uma reserva de que a loja é baseada em um sistema de gerenciamento auto-escrito, que contém itens para conformidade com o 152-FZ "On Personal Data". Do meu texto, ficará claro que outros terão que governar.
Comece imediatamente com milhões de multas. Reivindique a Roskomnadzor que, embora o site esteja localizado no exterior, o processamento é feito na Rússia. Ao fazer um pedido, o usuário insere seus dados pessoais, que são imediatamente enviados para processamento na Rússia. Os dados pessoais, tanto quanto o usuário deseja, são armazenados em seu dispositivo em cookies. Um servidor no exterior é um link de transferência simples. Quando você o desativa, todos os pedidos recebidos serão executados. Tente se limitar a isso. Roskomnadzor praticamente não tem o direito de exigir algo mais.
Tudo o que escrevo não é de forma alguma a verdade suprema. Indico apenas a posição a que você deve aderir ao lidar com Roskomnadzor e em más circunstâncias no tribunal.
Ao definir uma política para o processamento de dados pessoais, leia o artigo 13.11 inteiro. do CAO. Tudo o que não é mencionado neste artigo, esqueça imediatamente. Não está bem e tudo bem.
A “Política de processamento de dados pessoais” publicada no site deve ser mínima e conter algo como isto: “O processamento de dados pessoais é realizado para executar o contrato de oferta e para concluir o contrato por iniciativa do titular dos dados pessoais. O operador implementa as medidas necessárias para proteger os dados pessoais ". De fato - este é um resumo do parágrafo 5, parágrafo 1, do artigo 6 152-FZ e do parágrafo 3 do artigo 13.11 Código Administrativo. Não se esqueça de colocar um link para um arquivo com esse conteúdo, pelo menos na página principal do site, sob o nome "Política de Privacidade".
Com essa política, você elimina imediatamente a necessidade de registrar operadores de dados pessoais no registro, não precisa entender como redigir documentos para serviços de correio e correio. Você não precisa do consentimento do usuário para o processamento de dados pessoais.
Dentro de um mês após a execução do pedido, todos os dados pessoais do cliente devem ser excluídos ou anonimizados.
Surge imediatamente a questão do que fazer com os não compradores que não pagaram o custo de envio. Você tem o direito de armazenar seus dados pessoais até que eles fechem suas dívidas. De acordo com a lei, o cliente é obrigado a compensar o custo da entrega de produtos de qualidade não comprados, mesmo que a entrega no site seja condicionalmente "gratuita". É melhor registrá-lo na oferta. Embora esta disposição da lei federal seja válida independentemente dos desejos do vendedor ou comprador, para o processamento de dados pessoais com esse registro, as reivindicações de alguém de que o contrato ainda está sendo executado são imediatamente eliminadas.
Obviamente, os vendedores normais não enviam lembretes a esses clientes, há mais hemorróidas do que dinheiro real pode ser recebido, mas no momento em que o não comprador fez um novo pedido, lembram-lhe imediatamente que você deve primeiro pagar a dívida do pedido anterior. E deixe os concorrentes sofrerem com ele agora.
Não colete contatos para "usuários" de spam com spam. Isso é um pecado em si mesmo, e é legalmente muito difícil fazê-lo. Entendo que os profissionais de marketing me jogarão ovos podres, mas se você quiser dormir em paz, não precisará fazer isso.
Se você não pode tolerar vendas por meio de assinaturas, peça emprestados documentos no site da Eldorado. Ao preparar o artigo, abri uma lista de lojas online para dar exemplos. E ele ficou surpreso quando descobriu que, em Eldorado, eles foram capazes de organizar tudo lindamente.
Mas a maioria das outras lojas apenas pede a atenção dos inspetores.
Os principais erros:
- Não há referência à política de tratamento de dados pessoais (artigo 13.11, seção 3, do Código de Infrações Administrativas, de 5 a 30 mil rublos para empresários individuais e pessoas jurídicas).
- Eles dão ao usuário a permissão de consentir com o processamento de dados pessoais, e um link é fornecido à política de processamento de dados pessoais. De fato, a política não pode ser considerada consentimento. Estes são documentos diferentes.
- Eles oferecem um único consentimento para tudo em que desejam processar dados pessoais indefinidamente e, em seguida, uma enorme lista de objetivos continua.
Vou me debruçar sobre este último. Os profissionais de marketing "inteligentes" acreditam que, ao vender um produto, o usuário precisa deixar seu consentimento para o processamento de dados pessoais, o que indica, entre outras coisas, a possibilidade de novos contatos com o cliente por tempo ilimitado por iniciativa da loja. E nos seus sonhos é legal.
De fato, lemos cuidadosamente 152-FZ:
1. O sujeito dos dados pessoais toma uma decisão sobre o fornecimento dos seus dados pessoais e autoriza o seu tratamento livremente, por sua vontade e no seu interesse. O consentimento para o processamento de dados pessoais deve ser específico, informado e consciente.
Isso pode resultar em uma situação: o titular dos dados pessoais adquiriu os bens, dando um aviso ao consentimento para o processamento de dados pessoais. Muitas lojas simplesmente não permitem que você faça um pedido sem esse problema. Depois de receber o próximo boletim, do qual ele não precisa por nada, uma declaração é escrita para Roskomnadzor de que ele não deu consentimento ao processamento de dados pessoais para fins publicitários. Em seu interesse, ele concordou com o processamento de dados pessoais para receber as mercadorias, todos os outros objetivos foram impostos a ele.
Consequentemente, o consentimento por escrito não cumpre os requisitos da lei e o processamento de dados pessoais que requerem consentimento é realmente realizado sem o seu recebimento legal. Roskomnadzor é obrigado a abrir um processo administrativo nos termos da cláusula 2 do artigo 13.11 do Código de Infrações Administrativas (de 10 a 75 mil rublos para empresários individuais e pessoas jurídicas).
Para aqueles que não encontraram a máquina do estado, posso dizer imediatamente que a primeira reunião sem o apoio de um bom advogado não estará a seu favor. Se os comentários mostrarem interesse na análise do rake que eu ataquei, na segunda parte posso dizer como eu, com a ajuda do representante de Roskomnadzor, não pude provar em tribunal que o endereço da minha residência são meus dados pessoais!
PS: Eu recomendo que todos leiam os atos relacionados à proteção de dados pessoais e apresentem pelo menos algo que não exija investimentos. Por exemplo, ao excluir dados pessoais a tempo, você pode se proteger dos funcionários que decidiram se tornar seus concorrentes nos feriados de Ano Novo, agarrando a base daqueles que costumavam ser seus clientes.