RU EN

Политика по GDPR для Интернет-магазина и Маркетплейса

Машин Иван
Заказать звонок

Считается, что GDPR произвел революцию в области защиты персональных данных и задал новый стандарт. Теперь большинство правовых актов будут стремиться именно к этому. Однако с момента вступления в силу прошло уже несколько лет, и эти требования нужно выполнять любой компании, выходящей на европейский рынок. Маркетплейс или интернет-магазин должен изменить свой подход, начиная с алгоритмов сайта и заканчивая приведением в соответствие локальных актов. О том, что такое GDPR и как адаптироваться под его требования, вы можете прочитать в нашей статье. 

Содержание:

Что такое GDPR?

GDPR (General Data Protection Regulation) – европейский регламент защиты персональных данных. Этот акт вступил в силу 25 апреля 2018 г. После принятия многие оценили, что акт предъявляет высокие требования к защите персональных данных. Некоторые компании на время отказались от европейского рынка, чтобы настроить свои алгоритмы в соответствии с требованиями GDPR. Если интернет-магазин или маркетплейс открывается сейчас и рассчитывает на европейского покупателя, лучше сразу создать и платформу, и политику конфиденциальности, ориентируясь на его положения.

На какие маркетплейсы/ интернет-магазины распространяются требования GDPR

Даже если маркетплейс создается в России, в некоторых случаях ему необходимо учитывать нормы GDPR. В соответствии со ст. 3 Регламента вы попадаете под действие GDPR, если:

  • У вас есть организационная единица на территории Европейского Союза (далее - ЕС), которая ведет обработку персональных данных. Организационная единица в этом случае понимается максимально широко: это может быть просто офис без регистрации в качестве юридического лица в этом европейском государстве. Чтобы понять, что может считаться офисом, обычно смотрят на следующие критерии: счет в европейском банке, почтовый ящик, представитель на территории ЕС.
  • Субъект данных находится в ЕС, а обработка связана с предложением ему товаров и услуг. Здесь суды также широко толкуют эту норму. Гражданство члена ЕС не является обязательным, достаточно находиться на территории Союза. Чтобы понять направлены ли ваши предложения на жителей именно этих стран, суды обращают внимание на информацию о деятельности сайта:
    • Доступность веб-сайта на конкретной территории;
    • Адрес электронной почты;
    • Использование языка государства-члена;
    • Использование европейской валюты;
    • Упоминание пользователей на территории ЕС.
      Если первые три пункта могут выглядеть неубедительными, то последние два однозначно свидетельствуют о направленности деятельности интернет-магазина на европейских пользователей.
  • Компания осуществляет мониторинг поведения на территории ЕС. Здесь возможны несколько потенциальных случаев для маркетплейса. Например, маркетплейс отвечает за доставку товаров и отслеживает перемещение машин с товарами. Наиболее распространенный, когда интернет-магазин берет данные о поведении потребителя на своем сайте.

Во всех этих случаях маркетплейсу придется учитывать требования GDPR.

Составление политики для интернет-магазина в соответствии с требованиями GDPR

GDPR требует более активного подхода со стороны организаций. Это включает в себя готовность к проверкам по соблюдению норм и способность подтвердить соответствие требованиям. Политика должна быть написана подробно и при этом понятна для пользователя. Зашедший на сайт покупатель не должен быть введен заблуждением сложными юридическими описаниями.

Какие данные собирает маркетплейс/интернет-магазин в контексте требований GDPR

В Политике нужно указать, какие данные собирает маркетплейс о покупателях. При этом GDPR понимает персональные данные очень широко. Сюда также входят псевдонимы и идентификаторы компаний. Также под GDPR подпадают cookie-файлы. Более подробно про них вы можете прочитать в нашей статье «Составление политики обработки файлов Cookie для Интернет-магазина и Маркетплейса».

Какие требования предъявляются к маркетплейсу по GDPR

Политика должна отражать новый подход к конфиденциальности по умолчанию, то есть любой процесс должен строиться в соответствии с требованиями по защите персональных данных. Кроме того, необходимо проводить процесс оценки влияния на конфиденциальность (Data Protection Impact Assessment, DPIA).

Права субъекта данных в соответствии с GDPR

В Политике также стоит выделить в отдельный раздел права субъектов персональных данных, т.е. пользователей маркетплейса или интернет-магазина. Пользователи вправе затребовать копию персональных данных в любой момент, поэтому процессы должны быть выстроены под эти права. Другое важное право, которое необходимо прописать в Политике и которое организации обязаны соблюдать, - право требовать удаления данных. 

Согласие с Политикой конфиденциальности по GDPR

Правила получения согласия клиента связаны с общим подходом GDPR к Политике. Политика должна быть написана просто, а согласие пользователя должно быть информированным. Кроме того, согласие должно быть

  • Добровольным
  • Конкретизированным
  • Однозначным.

Если критерии добровольности легко соблюдать и, вероятно, компания не может предпринять мер, чтобы его проверить, то для критерия информированности необходимо продумать дополнительные шаги. Стоит вынести ключевые положения из Политики и выделить их, чтобы пользователь, давая согласие, обратил на них внимание. Безусловно, поле для проставления галочки, выражающей согласие, должно стоять после текста Политики, а не до.

Последствия несоответствия политики конфиденциальности требованиям GDPR

Европейским законодательством предусмотрена ответственность за нарушение обработки персональных данных, т.е. фактически нарушение порядка GDPR. Штраф составляет до 20 млн евро или 4% от годового оборота компании. Для маркетплейса или интернет-магазина эти суммы могут стать существенными.

Таким образом, маркетплейс должен следовать следующей инструкции. Во-первых, определить, распространяется ли на него GDPR. Во-вторых, адаптировать технические аспекты работы сайтов и приложений. В-третьих, дополнить Политику конфиденциальности, включая права пользователей. В-четвертых, настроить порядок дачи согласия с условиями Политики конфиденциальности. Если у вас возникли вопросы или вам необходима помощь с составлением Политики конфиденциальности по требованиям GDPR, свяжитесь с юристами A4 Law Firm.

ОСТАЛИСЬ
ВОПРОСЫ?

Актуальные новости и статьи

18Май
Возможно ли заключение договора с использованием мессенджеров
Несмотря на то, что законодательством предусмотрено заключение договора в мессенджере, зачастую существует большое количество нюансов, связанных с заключением таких договоров. О том, как правильно заключить договор в мессенджере, вы можете прочитать в данной статье
Узнать подробнее
13Май
Налогообложение free-to-play игр и приложений
При реализации внутриигровых ценностей или иных In-App Purchases, у разработчика возникает обязанность по уплате НДС по общему правилу. Однако, все зависит от применяемой системы налогообложения и лицензионного договора с конечным пользователем. О том, какие нюансы могут возникнуть в работе с площадками и налогообложении, вы можете прочитать в данной статье.
Узнать подробнее
04Май
Как открыть компанию в ОАЭ
Юрисдикция ОАЭ, в текущих политических реалиях, является одной из наиболее привлекательных для релокации бизнеса. О том, как открыть компанию в ОАЭ, вы можете прочитать в данной статье.
Узнать подробнее
29Апрель
Самые распространенные ошибки при оформлении опционов на долю
Опцион на долю представляет собой соглашение, по которому доля компании переходит от одной стороны к другой при наступлении определенных событий. О том, как избежать самых распространенных ошибок при оформлении опциона, вы можете прочитать в данной статье
Узнать подробнее
26Апрель
Как юридически корректно провести сделку по слиянию и поглощению компании
Процедура реорганизации компании путем слияния или поглощения – это одна из форм преобразования деятельности компании. При слиянии две самостоятельные компании объединяются в одну, при поглощении же одна компания приобретает другую, которая теряет самостоятельность. О том, как правильно провести процедуру реорганизации, вы можете прочитать в данной статье
Узнать подробнее
22Апрель
Привлечение инвестиций в проект с использованием внутренней валюты
С активным приходом технологий криптовалюты и блокчейна, меняется и традиционно сложившийся подход к инвестированию в проекты. Если ранее требовался длительный и сложный процесс выведения компании на IPO, либо же тяжелое оформление отношений с инвесторами, то на данный момент возможно решить эту проблему путем проведения ICO – первичного предложения токенов. О том, как правильно провести ICO, вы можете прочитать в данной статье.
Узнать подробнее
19Апрель
Как юридически корректно запустить стартап и привлечь инвестиции
С развитием IT индустрии увеличилось внимание инвесторов к подающим надежды стартапам, главной целью которых на первых этапах их развития является привлечение инвестиций. О том, как правильно привлечь инвестиции в стартап, вы можете прочитать в данной статье.
Узнать подробнее
14Апрель
Что такое опционные соглашения и зачем они нужны компании
Опционные соглашения позволяют сторонам заключить сделку, исполнение обязательств по которой будет возникать в момент соответствующего требования одной стороны к другой. Опционные соглашения являются эффективным инструментом при инвестировании и заключении иных сделок.
Узнать подробнее
ПОДПИСКА НА НОВОСТИ
Нажимая кнопку подписаться я соглашаюсь, с политикой обработки персональных данных
+7 (499) 841-05-05
г. Москва, Новоданиловская наб.,
дом 6, корп. 1, БЦ "Данилов плаза"
telegram whatsapp
RU EN
a4lawfirm.ru
г.Москва г. Москва, Новоданиловская наб., дом 6, корп. 1, БЦ "Данилов плаза" +7 (499) 841-05-05 info@a4lawfirm.ru