Verbraucherdatenschutz
06.11.2014 8135

Verbraucherdatenschutz

Das Fehlen eines Online-Shops für einen Einzelhändler ist heute eher eine Ausnahme als eine Regel. Der russische Online-Handelsmarkt ist im vergangenen Jahr um 500% gewachsen! Natürlich könnte eine solche Größenordnung nicht ohne die Aufmerksamkeit staatlicher Strukturen bleiben: Vor einigen Jahren wurde ein Gesetz zum Schutz personenbezogener Daten eines Kunden verabschiedet. In diesem Jahr mussten viele Unternehmen Roskomnadzor über die Zuverlässigkeit ihrer Systeme berichten.

Das Gesetz ist nicht neu, aber es war für Roskomnadzor ziemlich logisch, den Einzelhändlern eine gewisse Zeit zu geben, um darüber nachzudenken, eine technische Basis vorzubereiten und Maßnahmen zu ergreifen, um es einzuhalten. Nun scheint es an der Zeit zu sein, die Gesamtkontrollen durchzuführen. Darüber hinaus kann jede Beschwerde eines Mandanten zu einem Grund für den Besuch von Anwälten in Ihrem Unternehmen werden. Angenommen, Sie informieren Ihren Kunden regelmäßig über Rabatte, Verkäufe und Neuankömmlinge und füllen ihn mit SMS-Nachrichten und E-Mails. Es scheint, dass alles legal ist - sobald dieser Bürger in einem Online-Shop Schuhe bei Ihnen bestellt und natürlich alle seine Kontaktinformationen auf der Website hinterlassen hat. Sie haben jedoch keine vom Kunden ausgefüllte und unterzeichnete „Vereinbarung zur Verarbeitung personenbezogener Daten“. Während ein Bürger ... das Recht hat, eine Geldstrafe für eine so verächtliche Haltung gegenüber solchen Verschlusssachen zu zahlen - wie seine Kontakttelefonnummer und seine Postfachadresse.

Persönlicher Ansatz

Was sind also laut Gesetz die persönlichen Daten eines Kunden (PD)? Die genaue Definition lautet wie folgt: "Dies sind alle (Name, Adresse, Telefonnummer usw.) Informationen, die sich direkt oder indirekt auf eine bestimmte oder identifizierbare Person (Gegenstand personenbezogener Daten) beziehen." Im Rahmen dieser Formulierung müssen alle Einzelhändler ausnahmslos leben und arbeiten - es gibt ein Gespräch über Online- oder Offline-Handel “, kommentiert Konstantin Korotnev, CISO von Eldorado.

Kundeninformationen können auf verschiedene Arten an den Händler gesendet werden:

- durch Offline-Shops und Treueprogramme;

- bei Lieferung der Ware an die Wohnadresse;

- beim Online-Kauf;

- durch Servicezentren und Catering.

Es ist großartig, wenn Sie einen Offline-Shop und eigene Loyalitätssysteme haben. In diesem Fall können Sie den Kunden jederzeit bitten, einen Fragebogen auszufüllen, dh seine Zustimmung zur PD-Verarbeitung schriftlich zu bestätigen. Wenn Sie jedoch telefonisch Waren bestellen oder Waren in einem Online-Shop kaufen, können Sie sich nur auf einen elektronischen Fragebogen verlassen. In diesem Fall kann nicht festgestellt werden, ob eine Person die Daten selbst eingegeben hat oder nicht. Koma, die Bestellung wird häufig im Interesse eines Dritten gebildet, dem ein Geschenk über das Internet gemacht wird oder dessen Daten in der Bestellung enthalten sind. Sie können Schuhe oder eine Handtasche als Geschenk für Ihre Mutter oder Freundin bestellen und die Lieferung an deren Wohn- oder Arbeitsadresse arrangieren. In diesem Zusammenhang heißt es im Gesetz eindeutig: "Die Bereitstellung einer Person für den Betreiber personenbezogener Daten von nahen Verwandten ist nur mit schriftlicher Zustimmung dieser Personen oder in Fällen möglich, die durch Bundesgesetze festgelegt sind." Im Wesentlichen beschränkt das Gesetz den Online-Handel, wenn nicht sogar verbietet. Überzeugen Sie sich selbst, dass der Online-Shop laut FZ-152 der Betreiber personenbezogener Daten ist. Dies bedeutet, dass er auf Anfrage von Roskomnadzor verpflichtet ist, die Zustimmung des Subjekts zur Verarbeitung seiner persönlichen Daten nachzuweisen und PD nur mit vorheriger Zustimmung des Subjekts zu verarbeiten.

Ein einwandfreier Wortlaut verpflichtet Sie im Wesentlichen zum Verkauf der Ware nur nach schriftlicher Zusicherung des Kunden, dass es ihm nichts ausmacht, Ihnen seine Telefonnummer und Anschrift mitzuteilen.

Mach die Tür auf!

Wie realistisch ist die Chance, in das Sichtfeld von Roskomnadzor einzusteigen? Laut der Mehrheit der Marktteilnehmer ist es nicht gut für mittelständische Verkäufer. Aber angesehene Anwälte haben bereits offiziell Pläne angekündigt, die Kontrollen zu erhöhen und Fälle im Zusammenhang mit Verstößen im Bereich personenbezogener Daten einzuleiten. Auf dem Seminar "News of Online Trading", das im vergangenen Sommer von der Firma AFConference organisiert wurde, teilte Konstrantin Korotnev die Erfahrungen der Firma Eldorado mit, als sie einen solchen Scheck bestand. Die vom Beklagten angeforderte Bundesbehörde 118 (!) Rechtliche Dokumente, die die Rechtmäßigkeit aller Vorgänge mit personenbezogenen Daten bestätigen, und der gesamte Überprüfungsprozess dauerten 3 (!) Kalenderwochen. Diese Zahlen zeigen deutlich die Schwere des Verfahrens und das Ausmaß seiner Bedrohung für das normale Funktionieren Ihres Unternehmens.

Erster Schritt. Inventarisierung und Anpassung von IT-Systemen

In der Regel wurden Standard-IT-Lösungen für Online-Shops entwickelt, ohne die Arbeitsmerkmale in den Bedingungen des Bundesgesetzes-152 zu berücksichtigen. Daher muss der Ladenbesitzer die Architektur des Standorts und die Möglichkeiten seiner Änderung herausfinden. Eine Analyse der bestehenden Mechanismen und Mittel des Informationsschutzes sollte eine Antwort darauf geben, ob sie über FSTEC- und FSB-Zertifikate für Sicherheitsanforderungen verfügen oder welche Aussichten für eine solche Zertifizierung bestehen.

Zweiter Schritt Verfassen von behördlichen Dokumenten.

Leider kommt es nicht ohne Bürokratisierung aus. Es muss eine Reihe von Rechtsakten ausgearbeitet werden, in denen die für die Verarbeitung personenbezogener Daten verantwortlichen Personen sowie die Unternehmensrichtlinien für die Verarbeitung personenbezogener Daten festgelegt werden.

Schritt drei Zustimmungsformular

In diesem Stadium ist es erforderlich, öffentliche Angebote zu registrieren, die der Online-Shop seinen Kunden zur Erhebung und Verarbeitung personenbezogener Daten anbietet.

Beschreiben Sie, welche Daten und zu welchem ​​Zweck der Benutzer bereitstellt. Geben Sie den weiteren Weg der Benutzerdaten an: ob diese an Dritte und verbundene Unternehmen weitergegeben werden. Beschreiben Sie kurz, warum und wie lange Sie die Daten speichern möchten und wie der Client möglicherweise die Löschung der Daten anfordert.

Es ist wichtig, zusammen mit Anwälten die Form eines Dokuments auszuarbeiten, das die Erbringung von Dienstleistungen (Lieferung von Waren) bestätigt, und eine Form der Zustimmungsbestätigung für die PD-Verarbeitung zu entwickeln, die der Käufer beispielsweise beim Empfang der Waren vom Kurierdienst unterschreibt. Das sind natürlich halbe Sachen. Solche Schritte sind jedoch viel besser, als die neuen Trends von Roskomnadzor völlig zu ignorieren.

Schritt vier Identifizieren Sie alle möglichen Bedrohungen.

Es ist notwendig, mögliche Bedrohungen für die Sicherheit von externen und internen Daten im Voraus zu bestimmen. Unter ihnen:

- DDoS;

- Notfallsituationen (Feuer, Überhitzung, Kanalunfälle, Geräteausfall);

- Angriffe auf eine Webanwendung (einschließlich Auswahl von Client-Passwörtern);

- NSD von Auftragnehmern;

- NSD-Mitarbeiter;

- Abfangen von Bestellungen;

- Betrug mit Preisen, Gutscheincodes, Boni;

- Leck PD;

- Sanktionen von Regulierungsbehörden.

Es ist wichtig, alle möglichen Bedrohungsmodelle für Informationssysteme für personenbezogene Daten zu entwickeln und zu registrieren und anschließend ein zuverlässiges ISPDn-Sicherheitssubsystem zu entwerfen und aufzubauen.

Schritt fünf Benachrichtigung von Roskomnadzor.

Die PD-Verarbeitung beginnt ab dem Zeitpunkt der Erstellung der Organisation (dh der Registrierung beim Federal Tax Service) und nicht ab dem Zeitpunkt, an dem die Benachrichtigung beim RKN eingereicht wird. Das Versäumnis, die Tatsache der Verarbeitung personenbezogener Daten zu melden, ist jedoch der am häufigsten festgestellte Verstoß der Gebietskörperschaften von Roskomnadzor. In der Benachrichtigung müssen alle physischen Adressen des Betreibers angegeben werden (wenn sie sich auf diese juristische Person beziehen), an denen die PD verarbeitet wird. Bei Änderungen der in der Mitteilung angegebenen Informationen ist es erforderlich, diese Informationen innerhalb von 10 Arbeitstagen an das RKN weiterzuleiten (FZ-152, Art. 22, Ziffer 7).

Indem Sie die erforderlichen Dokumente entwickeln und in den Workflow des Unternehmens eingeben und Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten von Kunden ergreifen, demonstrieren Sie das Engagement Ihres Unternehmens für die Einhaltung der Gesetze. Und dies wird bemerkt und Ihr Leben mit einer möglichen Überprüfung ernsthaft vereinfachen!

Das Fehlen eines Online-Shops für einen Einzelhändler ist heute eher eine Ausnahme als eine Regel. Der russische Online-Handelsmarkt ist im vergangenen Jahr um 500% gewachsen! Natürlich könnte eine solche Skala nicht bleiben ...
3.3
5
1
1
Bitte bewerten Sie den Artikel

Verwandte Materialien

Schwierigkeiten bei der Personalrekrutierung und deren Umgang damit

Viele Manager glauben, dass potenzielle Mitarbeiter durch angemessene Löhne und gute Arbeitsbedingungen selbstständig zur Arbeit kommen und jeder von ihnen ein hervorragender Verkäufer werden wird. Leider ist dies nicht der Fall: Bewerber kommen ungern und…
23.07.2024 2120

MUNZ Group: Fünf häufige Fehler bei der Suche nach Linienpersonal

Fehler bei der Personalauswahl sind für Unternehmen kostspielig. Der Zeitaufwand für die Suche, die Investition von Geld in die Organisation der Rekrutierung und der Mangel an Verkäufern im Geschäft steigern den Wert jedes richtig ausgewählten Mitarbeiters und erhöhen die Kosten...
27.06.2024 3450

Wie können Sie sich von der Konkurrenz abheben und mehr verdienen?

Online-Schuhverkäufe konkurrieren von Jahr zu Jahr zunehmend mit Offline-Läden, können jedoch immer noch nicht einmal mit einem Umsatzanteil von 20 bis 30 % auf dem russischen Markt rechnen. Mit seltenen Ausnahmen sind die Kosten für Schuhe auf Marktplätzen niedriger...
18.06.2024 4058

Mit welchen Dekoartikeln lassen sich Schuhe und Taschen als Verkaufsausstattung wirkungsvoll in Szene setzen?

Wenn wir ein modisches Bekleidungs- oder Schuhgeschäft betreten, sehen wir immer häufiger, dass zur Warenpräsentation Gegenstände verwendet werden, die für einen Verkaufsraum ungewöhnlich sind – Bücher, Gemälde, Vasen, Spiegel ... In früheren Ausgaben mit SR's Resident Experte auf dem Gebiet der visuellen...
04.06.2024 4140

Aktuelle Techniken zur Beleuchtung eines Schuhgeschäfts

Wenn wir heute durch die Galerien von Einkaufszentren gehen, sehen wir Offline-Shops in verschiedenen Formaten. Neue Einzelhandelsflächenkonzepte bestechen durch eine individuelle, einprägsame Gestaltung. Sie sind gewissermaßen ein Element der Show, ein Werkzeug, durch...
07.05.2024 4817
Wenn Sie sich anmelden, erhalten Sie wöchentlich Neuigkeiten und Artikel zum Schuhgeschäft per E-Mail.

Zum anfang