E-commerce в условиях нового Закона о персональных данных

15 ноября 2021 года начинает действовать новый закон о защите персональных данных, который вводит абсолютно новые правила работы с персональными данными. Юристы REVERA составили чек-лист подготовки к изменениям для e-commerce бизнеса. 

1. Привести в соответствие сайты и приложения

Закон вводит ряд новых ограничений при работе с персональными данных: 

  • ограничение обработки данных конкретными целями, 
  • минимальный объём обрабатываемых данных, 
  • необходимость наличия оснований обработки данных (согласие, договор и т.д.). 

Закон также ввел требования к согласию (ранее их не было вовсе). Так, согласие должно быть информированных, свободным, однозначным выражением воли, пользователю должна быть предоставлена определения информация перед тем, как он даст согласие (наименование оператора, цели обработки, перечень данных, срок и т.д.), разъяснены последствия дачи и отказа от дачи согласия. 

Все эти и иные требования Закона влекут необходимость проведения серьезного аудита процессов обработки данных и приведения продуктов компании в соответствие. 

2. Подготовиться к работе с клиентами 

Раньше у пользователей не было реально возможности как-то распоряжаться своими данными после дачи согласия. Сейчас же Закон дает пользователям такую возможность. У пользователей будет право на отзыв согласия, право на получение информации об обработке данных, право на получение информации о предоставлении данных третьим лицам, право требовать исправления данных, удаления данных или прекращения их обработки.

3. Привести внутренние процессы компании в соответствие 

Закон предусматривает, что компании должны:

  • назначить лицо или отдел, ответственные за защиту данных, 
  • разработать политику компании в отношении обработки данных и сделать ее доступной для неограниченного круга лиц, 
  • провести обучение работников работе с персональными данными и другое.  
4. Контролировать процессы передачи данных

Если вы поручаете обработку данных другому лицу от вашего имени, в договоре между вами и таким лицом должны быть предусмотрены:

(1) цели обработки данных,

(2) действия, совершаемые с данными,

(3) обязательство о конфиденциальности,

(4) меры по защите данных.
 
Передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет) будет возможна только при наличии определённых оснований, к примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлён о рисках такой передачи. 
 
Напоминаем, что с 1 марта в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а с 19 июня - уголовная.

Ещё больше правовых вопросов организации e-commerce бизнеса разберем на бесплатном митапе 30 июня. Ещё есть несколько мест. 

Подробности и регистрация