Интернет-магазин и персональные данные

26 февраля 2020

Работа с персональными данными стала обязательным элементом работы практически любой организации, особенно на рынке e-commerce. По статистике около 30 миллионов россиян пользуются услугами интернет-магазинов. При этом происходит оборот персональных данных, который регулируется 152-ФЗ. А нарушение порядка обращения с персональными данными влечет существенные санкции. Так статья 13.11 Кодекса об административных правонарушениях РФ предусматривает семь составов правонарушений. Особо стоит выделить следующие:

  1. Обработка персональных данных в случаях, не предусмотренных законом либо обработка, несовместимая с целями (штраф в размере от 30 000 до 50 000 рублей).

Например, интернет-магазин получает персональные данные своих клиентов в целях исполнения договора, но кроме того продает как лиды другой компании, хотя на такое дополнительное использование своих данных клиенты интернет-магазина согласия не давали.

  1. Обработка персональных данных без согласия или получение согласия не по форме, установленной в 152-ФЗ (штраф в размере от 15 000 до 70 000).
  2. Отсутствие политики обработки персональных данных (штраф в размере от 15 000 до 30 000 руб.).
  3. Утечка персональных данных, если это вызвано нарушением правил обработки (штраф в размере от 25 000 до 50 000 руб.).

Персональные данные — это любая информация, относящаяся прямо или косвенно к  определенному или определяемому физическому лицу (субъекту персональных данных). При этом четкого списка того, что является персональными данными – нет, это могут быть любые данные, по которым можно идентифицировать субъекта персональных данных. Как правило к таким данным можно отнести: ФИО, домашний адрес, номер телефона, e-mail, дата и место рождения, национальность и вероисповедание, место работы и должность и т.п. А также к ним можно отнести IP-адрес и содержимое файлов cookies.

                   GettyImages-1129462578 (1).jpg

Очевидно, что практически любой интернет-магазин собирает подобную информацию. Одна информация нужна лишь непосредственно для выполнения заказа. Другая – собирается в маркетинговых целях (сегментирование, директ-маркетинг, ретаргетинг), в том числе – техническая (cookies и IP) – для аналитики. Даже наличие формы обратной связи приводит к сбору персональных данных.

Хотя в разных ситуациях необходимый разный набор мероприятий, обеспечивающий обработку персональных данных в рамках закона. Однако есть мероприятия, которые необходимо проводить любому интернет-магазину.

Так, нужно получать согласие на обработку персональных данных, причем в соответствии с определенными целями обработки. Если цели меняются или появляются новые, то согласие необходимо получать заново. Согласие должно быть обязательно получено до начала обработки персональных данных, т.е. не позднее того, как данные будут получены интернет-магазином. На практике это чаще всего реализовано через проставление галочки в соответствующем поле заполняемой формы, при этом блокируется возможность отправки данных (нажатие кнопки «Отправить», «Заказать» и т.д.) до того, как будет проставлена такая галочка. Другой вариант – введение кода, отправляемого в SMS на номер мобильного телефона. Могут быть и другие варианты.

При выборе способа получения согласия необходимо учитывать, что факт его получения возможно придется доказывать. Доказательствами могут быть log-файлы, подтверждающие получение согласия простановкой галочки в чек-боксе, отправки e-mail с информацией о том, что тогда-то получено согласие на обработку персональных данных и т.д. К процессу сбора и хранения таких доказательств стоит подойти со всей серьезностью – тщательно продумать соответствующие процессы и неукоснительно их выполнять.

Также на сайте интернет-магазина должна быть размещена политика обработки персональных данных (отдельным документом либо в составе договора-оферты). В ней обязательно должны быть указаны: реквизиты интернет-магазина; цели сбора персональных данных; перечень персональных данных, которые могут собираться; перечень действий по обработке персональных данных; срок действия согласия; способ отзыва согласия и контактные данные (например, e-mail), по которым можно обратиться для изменения или удаления персональных данных. Возможность ознакомления с политикой обработки персональных данных должна быть предоставлена в каждом случае запроса согласия на обработку персональных данных. Обычно это делается размещением ссылки на страницу с текстом политики обработки персональных данных в непосредственной близости от чек-бокса с простановкой галочки согласия с обработкой персональных данных. А сама фраза выглядит например так: «Согласен с обработкой персональных данных. С политикой обработки персональных данных ознакомлен».

И конечно, необходимо уделять внимание защите собираемых персональных данных. Более половины хакерских атак в 2019 году было направлено на кражу информации. Из них 54% – получение данных, 30% – финансовая выгода. По типу данных лидируют персональные данные – 28%, учетные данные – 25%, данные платежных карт – 15%.

                  cloudsecurity.jpg

Защита данных начинается со своевременного обновления программного обеспечения, выбора качественных антивирусных продуктов. Программное обеспечение должно быть настроено на защиту всей инфраструктуры, а также на проверку данных в реальном времени и тех файлов, которые уже были загружены и просмотрены. Использование SIEM технологии позволит реагировать на опасность до момента ее наступления. В пакет технических средств защиты данных могут входить межсетевые экраны и системы анализа сетевого трафика.

Работа с персонализированной информацией предполагает комплекс организационных мероприятий, в частности:

1. Ограничение числа лиц, имеющих доступ к данным.

2. Применение двухфакторной аутентификации.

3. Хранение данных на отдельных серверах, не задействованных в общей сети.

4. Проведение регулярного резервного копирования.

Также необходимо работать с клиентами, разъясняя порядок действий при столкновении с мошенниками. Социальная инженерия находится на втором месте по нанесению ущерба после вредоносных программ. Информирование покупателей о самых распространенных методах воздействия позволит снизить вероятность взлома. 

Ритейл для организации онлайн-продаж все более активно использует облачные технологии. В 2018 году на них было потрачено более 6,1 миллиардов долларов. Они позволяют повысить безопасность хранения данных за счет централизации информационных ресурсов. Проблема применения программных продуктов защиты на всех этапах сбора, обработки и хранения персональных данных заключается в том, что они не способны подстраиваться под быстрые изменения самого сайта. Использование облачного сервера позволяет изменять параметры ресурсов без переустановки сайта.

Похожие статьи

Новости рынка

Как интернет-магазину оптимизировать выполнение заказа

12 февраля 2020

Эффективное выполнение обработки и доставки товара – дело не легкое.

Подробнее
Новости рынка

Как внедрить омниканальность

21 января 2020

Омниканальность полюбилась покупателям, т.к. позволяет получить персонализированный покупательский опыт. 

Подробнее
Новости рынка

Интернет-маркетинг для онлайн-магазинов в 2020 году

14 января 2020

Маркетологам важно быстро реагировать на новые тренды и развиваться вместе с целевой аудиторией.

Подробнее
наверх