Защита Персональных данных в работе интернет магазина (интернет-сервиса)

Примечание: дополнительную информацию по теме статьи вы можете прочитать перейдя по ссылкам следующих статей:

• «Персональные данные пользователя: их отражение в Пользовательском соглашении и способы их поступления в интернет магазин (сервис)»;
• «Что необходимо сделать, чтобы ваш сайт соответствовал Закону РК "О персональных данных и их защите"».

Наряду с большим количеством правовых проблем и вопросов, связанных с существованием и развитием интернета, интернет мошенничеством (статьи по данной теме можно посмотреть на сайте: «Мошенничество в интернете», «Мошенничество в интернете: фишинг», «Мошенничество в интернете: киберсквотинг»,«Мошенничество в интернете: тайпсквоттинг»,«Мошенничество в интернете с использованием платежных систем»,«Мошенничество в интернете: дополнительные способы обмана»), созданием интернет магазина («Процедура открытия интернет магазина») или интернет сервиса («Процедура открытия интернет сервиса»), одной из главных тем является вопрос сбора, обработки, использования, распространения, хранения персональных данных пользователей интернет магазина (сервиса).

Главная задача, стоящая перед интернет магазином (сервисом), - это доказать, что у него есть согласие конкретного физического лица, которое попросило предоставить ему товар (услугу). При этом чаще всего установить это самое лицо у магазина нет возможности – его или его представителя увидит только курьер при доставке товара, а до этого момента пройдет много времени, в течение которого персональные данные будут обрабатываться.

Сбор, обработка персональных данных пользователя, осуществляются интернет магазином (сервисом) с согласия пользователя или его законного представителя (например, родителя несовершеннолетнего), письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, при этом пределы доступа к персональным данным определяются условиями согласия лица на сбор и обработку таких данных. Применительно к интернет магазину (сервису) согласие пользователя выражается путем заполнения им определенных формуляров на странице сайта (в том числе и при регистрации на сайте), где он указывает свои персональные данные, т.е. Ф.И.О., ИИН, дату рождения, место работы, должность, почтовый адрес, контактные данные и др. Самостоятельно внося эти данные в формуляры сайта, пользователь в то же время дает свое согласие на сбор, обработку его персональных данных («Заявление согласие на сбор и обработку персональных данных (гражданско-правовые отношения)», «Соглашение о защите персональных данных пользователей») сайтом интернет магазина (сервиса) – дополнительно стоит упомянуть об этом в Пользовательском соглашении, размещенном на сайте интернет магазина (сервиса). Безусловно, что заполнение формуляра или проставление «галочки» в Пользовательском соглашении является формой дачи  согласия пользователя на получение и обработку его персональных данных, но такое согласие легче оспорить в суде, чем письменный документ с подписью (или с использованием ЭЦП / смотрите ответ на вопрос «Какова полезность ЭЦП в доменной зоне KZ? На каких сайтах я могу использовать полученную ЭЦП?»/, при этом требование о наличие у клиента ЭЦП, или подписанного ЭЦП файла, сводит на нет все преимущества электронных продаж, не требующих предварительного установления отношений между покупателем и продавцом), т.к. не гарантирует, что оно получено именно от того человека, чьи персональные данные вы планируете обрабатывать, в этом случае желателен личный контакт (например, при передаче товара – заполнение пользователем отдельного формуляра-согласия).

Электронный информационный ресурс, коим является интернет магазин (сервис), работающий с персональными данными его пользователей, относятся к категории конфиденциальных электронных информационных ресурсов, а соблюдение конфиденциальности в этом случае применимо с момента, когда данные были представлены лицом, к которому эти данные относятся.

Важно: Сбор, обработка персональных данных интернет магазина (сервиса) ограничиваются целями, для которых они собираются.

Допускается сбор только тех персональных данных, которые необходимы интернет магазину (сервису) для его конкретной работы: необходимо четко объяснить, зачем интернет ресурсу эти данные, что он с ними собирается делать и как будет их защищать от утечек, при этом хранить данные можно только то время, которое потребуется на проведение той, или иной операции обслуживания клиента, если иное не оговорено специально в Пользовательском соглашении или иной форме согласия.

Важно: Никто не вправе требовать для формирования электронных информационных ресурсов от физических лиц представление сведений об их частной жизни, составляющих личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физических лиц, включая сведения, касающиеся их происхождения, здоровья, взглядов, политических и религиозных убеждений, или получать такие сведения иным образом помимо их воли.

Если интернет магазин (сервис) собирается передавать данные пользователя третьим лицам - то только в целях исполнения пользовательского соглашения, и это нужно специально в нем оговорить, т.к. на передачу данных требуется согласие пользователя. Примечательно, что даже факт хранения персональных данных в электронном почтовом ящике, заведенном с использованием внешнего почтового сервиса, или обмен электронными сообщениями, содержащими личную информацию, между сотрудниками одной организации, с помощью подобного ящика, может рассматриваться как передача персональных данных с использованием Интернета третьим лицам.

Если интернет магазин (сервис) хочет сохранить данные пользователей для улучшения качества обслуживания клиентов, то это необходимо прописать в согласии покупателя на обработку персональных данных. Данные клиента могут быть использованы интернет магазином (сервисом) для присвоения ему статуса “лучшего покупателя”, начисления бонусов и т.п. Кроме того нужно помнить,что хранение данных осуществляется только на территории РК.

Важно:  Пользователь интернет магазина (сервиса) может в любой момент запретить ранее им разрешенную обработку и распространение его персональных данных (т.е. заблокировать) или дать распоряжение об уничтожении его персональных данных и интернет магазин (сервис) обязан в течение 1 (одного) рабочего дня осуществить эти действия.

В настоящее время защита персональных данных в казахстанском сегменте интернета имеет законодательную основу и защиту, в этой связи, как пользователю, так и интернет ресурсу, следует неукоснительно соблюдать установленные нормы Закона и при сборе, обработке и хранении персональных данных интернет магазином (сервисом) нужно помнить, что он обязан принимать все необходимые и достаточные меры защиты организационного и технического характера от неправомерного доступа, а также от иных неправомерных действий в отношении персональных данных своих пользователей.

Уважаемые пользователи! Информация в статье соответствует нормам законодательства Республики Казахстан, действовавшим на момент (дату) публикации.