Об этом на конференции «Электронная торговля-2010» заявил руководитель проекта Testedshops.ru, эксперт по разработке нормативной базы в сфере e-commerce Антон Никольский. С места события передает корреспондент Клерк.Ру Сергей Васильев.
Как известно, с 1 января вступают в силу отдельные положения ФЗ № 152 «О персональных данных». Закон был принят еще 27 июля 2006 года и вступил в законную силу 26 января 2007 года. Согласно изменениям в него, внесённым ФЗ 363 от 27.12.2009, операторы до 1 января 2011 года должны привести свои системы обработки персональных данных, в соответствие с законом. Контролирующими инстанциями могут выступать ФСТЭК России, ФСБ России, Роскомнадзор. Как же поступить, чтобы с наименьшими потерями обеспечить соответствие работы интернет-магазина требованиям нового закона?
«Лучше всего не обрабатывать персональные данные вовсе, - заявил Антон Никольский. – По крайней мере, на сайте не должно быть форм, запрашивающих у пользователя такие данные. Потому что заявления в адрес контролирующего органа, что персональные данные не обрабатываются, будет недостаточно».
«А если нужно обрабатывать, то только обезличенные персональные данные и, по возможности, минимизировать их количество, - советует Никольский. - Исключить из форм поля ФИО, адрес, телефон или заменить их на «Как к вам обращаться», «адрес доставки», «Контактный телефон» и другое подобное».
Лучше, по мнению эксперта, использовать договор оферты и дистанционный способ продажи (ФЗ «О защите прав потребителей»), так как в этом случае необязательно уведомлять уполномоченный орган об обработке персональных данных.
Нужно составить специальный текст согласия пользователя на обработку его персональных данных. Привязать заполнение формы к согласию с условиями договора-оферты (при помощи чек-бокса и подтверждающего e-mail с регистрационного адреса пользователя). Таким образом обеспечивается факт получения согласия пользователя, потому что это первое, что при проверке уполномоченный орган запрашивает у оператора.
В любом случае будет лучше определить в штате ответственное лицо, отвечающее за обработку персональных данных, определить сроки их хранения. Составить документ, регламентирующий порядок обработки персональных данных и выложить его на сайте. При работе в личном кабинете пользователя на сайте должно использоваться соединение по https-протоколу (SSL-сертификаты)».
Начать дискуссию