Rieker
Protección de datos del consumidor
06.11.2014 6549

Protección de datos del consumidor

La falta de una tienda en línea para un minorista hoy es más una excepción que una regla. ¡Durante el año pasado, el mercado de comercio en línea ruso creció un 500%! Por supuesto, tal escala no podría permanecer sin la atención de las estructuras estatales: hace unos años se aprobó una ley sobre la protección de los datos personales de un cliente. Este año, muchas compañías tuvieron que informar a Roskomnadzor sobre la confiabilidad de sus sistemas.

La ley no es nueva, pero fue bastante lógico por parte de Roskomnadzor dar a los minoristas algo de tiempo para pensarlo, preparar una base técnica y tomar medidas para cumplirla. Ahora parece que ha llegado el momento de los controles totales. Además, cualquier queja de un cliente puede convertirse en motivo de visita de abogados a su empresa. Digamos que informa regularmente a su cliente sobre descuentos, rebajas y novedades, llenándolo de SMS y correos electrónicos. Parecería que todo es legal, una vez que este ciudadano le pidió zapatos en una tienda en línea y, por supuesto, dejó toda su información de contacto en el sitio. Sin embargo, no tiene un "acuerdo de procesamiento de datos personales" completado y firmado por el cliente. Mientras que un ciudadano tiene ... tiene el derecho de obligarlo a pagar una multa por una actitud tan desdeñosa hacia esa información clasificada, como su número de teléfono de contacto y la dirección del buzón.

Enfoque personal

Entonces, ¿qué son, según la ley, los datos personales de un cliente (PD)? La definición precisa es la siguiente: "Se trata de cualquier información (nombre, dirección, número de teléfono, etc.) relacionada directa o indirectamente con un individuo específico o identificable (sujeto de datos personales)". En el marco de esta formulación, todos los minoristas deben vivir y trabajar, sin excepción: hay una conversación sobre el comercio en línea o fuera de línea ”, comenta Konstantin Korotnev, CISO de Eldorado.

La información del cliente se puede enviar al minorista de varias maneras:

- a través de tiendas fuera de línea y programas de fidelización;

- al realizar la entrega de bienes a la dirección de residencia;

- con la compra en línea;

- a través de centros de servicio y restauración.

Es genial si tiene una tienda fuera de línea y sus propios sistemas de fidelización; en este caso, siempre puede pedirle al cliente que complete un cuestionario, es decir, que confirme por escrito su consentimiento para el procesamiento de DP. Pero, al realizar pedidos por teléfono o al comprar productos en una tienda en línea, lo único con lo que puede contar es un cuestionario electrónico. En este caso, es imposible establecer si una persona ingresó los datos por su cuenta o no. Coma, el pedido a menudo se forma en interés de un tercero, a quien se le hace un obsequio utilizando las capacidades de Internet o se incluyen datos al respecto en el pedido. Puede pedir zapatos o un bolso como regalo para su mamá o novia y concertar la entrega en su domicilio de residencia o lugar de trabajo. Al respecto, la ley establece claramente: "Proporcionar a un individuo al operador de datos personales de familiares cercanos sólo es posible con el consentimiento por escrito de estas personas o en los casos establecidos por las leyes federales". Entonces, en esencia, la ley restringe, si no prohíbe, el comercio en línea. Juzgue usted mismo, de acuerdo con FZ-152, la tienda en línea es el operador de los datos personales, lo que significa que está obligada, a solicitud de Roskomnadzor, a proporcionar evidencia del consentimiento del sujeto para el procesamiento de sus datos personales y procesar la DP solo sujeto al consentimiento previo del sujeto.

Una redacción excelente esencialmente le impone la obligación de vender los productos solo después de la garantía por escrito del cliente de que no le importa decirle su número de teléfono y dirección.

¡Abre la puerta!

¿Qué tan realista es la oportunidad de entrar en el campo de visión de Roskomnadzor? Según la mayoría de los actores del mercado, no es bueno para los vendedores de rango medio. Pero abogados respetados ya han anunciado oficialmente planes para aumentar los controles e iniciar casos relacionados con violaciones en el campo de los datos personales. En el seminario "Noticias del comercio online" celebrado el verano pasado, organizado por la empresa AFConference, Konstrantin Korotnev compartió la experiencia de la empresa Eldorado sobre la aprobación de dicho control. El organismo federal solicitó al imputado 118 (!) Documentos legales que confirmaran la legalidad de todas las operaciones con datos personales, y todo el proceso de verificación tomó 3 (!) Semanas calendario. Estos números demuestran claramente la severidad del procedimiento y el nivel de amenaza al funcionamiento normal de su negocio.

Primer paso Inventario y ajuste de sistemas informáticos.

Como regla general, las soluciones de TI estándar para tiendas en línea se desarrollaron sin tener en cuenta las características del trabajo en las condiciones del FZ-152. Por lo tanto, el dueño de la tienda tendrá que averiguar la arquitectura del sitio y las posibilidades de su alteración. Un análisis de los mecanismos y medios de protección de la información existentes debería dar una respuesta sobre si tienen certificados FSTEC y FSB para requisitos de seguridad o las perspectivas de dicha certificación.

Paso dos Redacción de documentos reglamentarios.

Por desgracia, no funcionará sin la burocratización. Será necesario elaborar una serie de actos reglamentarios que definan a las personas responsables de organizar el procesamiento de datos personales, así como la política de la compañía con respecto al procesamiento de datos personales.

Paso tres Formulario de consentimiento

En esta etapa, es necesario registrar las ofertas públicas que ofrece la tienda en línea a sus clientes para la recopilación y el procesamiento de datos personales.

Describa qué datos y con qué propósito proporciona el usuario. Indique la ruta adicional de los datos del usuario: si se transferirán a terceros y compañías afiliadas. Describa brevemente por qué y cuánto tiempo va a almacenar los datos, así como cómo el cliente puede solicitar la eliminación de datos.

Es importante, junto con los abogados, elaborar la forma de un documento que confirme la prestación de servicios (entrega de bienes) y desarrollar una forma de confirmación de consentimiento para el procesamiento de DP, que el comprador firmará, digamos, al recibir los bienes del servicio de mensajería. Por supuesto, estas son medias medidas. Sin embargo, tales pasos son mucho mejores que ignorar por completo las nuevas tendencias de Roskomnadzor.

Paso cuatro Identifica todas las posibles amenazas.

Es necesario predeterminar posibles amenazas a la seguridad de los datos, tanto externos como internos. Entre ellos están:

- DDoS;

- situaciones de emergencia (incendio, sobrecalentamiento, accidentes de canal, falla del equipo);

- ataques a una aplicación web (incluida la selección de contraseñas de clientes);

- NSD de contratistas;

- empleados de NSD;

- Intercepción de pedidos;

- Fraude con precios, códigos promocionales, bonos;

- Fuga PD;

- Sanciones de reguladores.

Es importante desarrollar y registrar todos los modelos de amenazas posibles para los sistemas de información de datos personales, y luego diseñar y construir un subsistema de seguridad ISPDn confiable.

Paso cinco Notificación de Roskomnadzor.

El procesamiento de la DP comienza desde el momento en que se crea la organización (es decir, el registro en el Servicio de Impuestos Federales), y no desde el momento en que se envía la Notificación al RKN. Pero la falta de notificación sobre el hecho del procesamiento de datos personales es la violación detectada con mayor frecuencia por los órganos territoriales de Roskomnadzor. En la Notificación, es necesario indicar todas las direcciones físicas del operador (si se refieren a esta persona jurídica), donde se procesa la DP. En caso de cambios en la información especificada en la Notificación, es necesario transmitir esta información al RKN dentro de los 10 días hábiles (FZ-152, art. 22, cláusula 7).

Al desarrollar e ingresar los documentos necesarios en el flujo de trabajo de la empresa y tomar medidas para garantizar la seguridad de los datos personales de los clientes, demuestra el compromiso de su empresa con el cumplimiento de la ley. ¡Y esto se notará y simplificará seriamente su vida con una posible verificación!

La falta de una tienda en línea para un minorista hoy es más una excepción que una regla. ¡Durante el año pasado, el mercado de comercio en línea ruso creció un 500%! Por supuesto, tal escala no podría permanecer ...
3.3
5
1
1
Por favor califique el artículo

Materiales relacionados

Gestión empresarial del calzado en 2021: qué buscar

El año pasado fue un shock para la mayoría, un nuevo punto de partida, el principio del fin o una transformación completa del negocio minorista. Uno de los principales resultados es que 2020 impulsó literalmente el comercio minorista en línea, la digitalización intensiva de los canales de venta, ...
27.04.2021 2042

Marketing para una zapatería minorista. Cómo incentivar a los clientes a comprar con regalos

En este artículo, el experto en SR, el coach de negocios Evgeny Danchev habla sobre cómo llevar a cabo una campaña de marketing que será igualmente rentable tanto para la empresa como para ...
19.01.2021 4600

¿Cómo ayudan las compras misteriosas a exponer las brechas en el servicio de su tienda?

Hoy en día, la falta de un servicio de calidad y un ambiente orientado al cliente en la tienda son malos modales. Empresas que no se preocupaban por sus clientes, no pensaban en sus sentimientos y emociones antes, durante y después de la compra - ...
19.01.2021 3396

Principales tendencias en escaparates de zapaterías este otoño y el próximo invierno

La temporada otoño-invierno 2020/21 es especial para el comercio minorista de moda, que recordaremos durante mucho tiempo. Casi todas las empresas se vieron obligadas a revisar sus presupuestos: recortaron el gasto corriente, recortaron los costos tanto como fuera posible. Y,…
30.11.2020 7823

¿Qué cambios son necesarios para que el trabajo del personal de ventas y los gerentes de línea sea más efectivo?

Los resultados de las ventas de zapatos están ahora influenciados por el factor de demanda diferida: dos meses y medio de autoaislamiento es un período muy largo para los compradores. Cualquier modelo de mercado o consumo de personas en él es un sistema, y ​​por todas las propiedades de los sistemas, ellos ...
13.10.2020 8126
Cuando se registre, recibirá en su correo electrónico noticias y artículos semanales sobre el negocio del calzado.

Al principio