Пять ошибок интернет-магазинов при работе с персональными данными — Контур
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Управление HR‑процессами
Проверка контрагентов
Автоматизация бизнеса
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Журнал
  2. Бизнес
  3. Риски

Пять ошибок интернет-магазинов при работе с персональными данными

2 июня 2022

С 1 сентября 2022 года продавцы могут быть оштрафованы за отказ продавать товары или услуги клиенту, если тот отказывается представить свои персональные данные. Речь идет о случаях, когда принуждение к передаче данных не предусмотрено законом. Поправки внесены в ст. 14.8 КоАП. И это еще один шаг на пути ужесточения требований к работе с личной информацией.

Фотография Марина Крицкая Марина Крицкая Бизнес-журналист

На сегодняшний день ни один интернет-магазин не обходится без сбора и хранения персональных данных (далее — ПД) покупателей. И это вполне объяснимо: чтобы оплатить товар на сайте и заказать доставку, покупатель должен оставить свои контакты: телефон или адрес электронной почты, адрес проживания. Кроме того, большинство магазинов в целях удержания клиентов делают информационные рассылки, внедряют программы лояльности и таким образом формируют базы клиентов.  

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) интернет-магазин в данном случае является оператором ПД, а покупатель — их субъектом. И это накладывают на продавцов жесткие требования.

В этой статье остановимся на нескольких ошибках, которые могут привести к штрафам.

Отсутствие на сайте политики в отношении обработки персональных данных

Если интернет-магазин занимается обработкой персональных данных покупателей, то он обязан опубликовать на своем сайте этот документ. Обычно политика состоит из шести разделов:

  • общие цели политики;
  • цели сбора ПД;
  • правовые основания обработки ПД;
  • объем и категории обрабатываемых данных, категории субъектов ПД;
  • порядок и условия обработки ПД;
  • актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к ПД.

О том, какую информацию включает каждый раздел, мы писали в статье «Политика в отношении обработки персональных данных: как составить документ».

Под обработку данных попадают различные операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Политика размещается на сайте, чтобы посетитель сайта смог ознакомиться с ней, кликнув по ссылке.

Посмотрите пример оформления Политики в отношении обработки персональных данных в интернет-магазине Vprok.ru.

Некоторые продавцы включают политику в Пользовательское соглашение. Например, так делает магазин O'stin.

Обработка персональных данных покупателей без их согласия

Недостаточно просто предупредить покупателей о том, что онлайн-магазин обрабатывает ПД. Нужно еще заручиться их согласием на это (ст. 9 Закона о персональных данных).

На сайте Роскомнадзора приводится шаблон согласия. Можно также посмотреть, как оформляют согласие конкретные интернет-магазины.

Форма на сайте магазина O'stin. Чтобы зарегистрироваться, нужно дать согласие на обработку ПД.

Роскомнадзор рекомендует интернет-магазинам получать согласие, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты или в виде иных форм договорных отношений.

Как видно на примере выше, получить согласие на обработку ПД можно посредством проставления «галочки» в соответствующей веб-форме. Обратите внимание, что использовать предустановленную «галочку» нельзя. Важно, чтобы посетитель самостоятельно совершил действие.  

Роскомнадзор обращает внимание на то, что в случае обработки биометрических и специальных категорий ПД (указаны в ст. 10 Закона о персональных данных) согласие должно быть оформлено в письменной форме.

Передача персональных данных третьим лицам без согласия на это

С 1 марта 2021 года согласие на обработку ПД, разрешенных для распространения, оформляется отдельно от иных согласий (Федеральный закон от 30.12.2020 № 519-ФЗ). Субъект вправе установить запреты на передачу ПД неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Приказ Роскомнадзора от 24.02.2021 № 18 установил требования к содержанию согласия на обработку ПД, разрешенных для распространения. 

Отсутствие предупреждения об использовании куки-файлов

Куки — это файлы с информацией, полученной при посещении веб-ресурса. Интернет-магазины используют их для отслеживания и запоминания определенной информации о посетителе, чтобы адаптировать сайт в соответствии с его интересами и потребностями.

Такие файлы применяются для анализа работы пользователя с сайтом: позволяют изучить посещение страниц, используемых ссылок и время пребывания пользователя на странице.

Уведомление об использовании куки на сайте магазина METRO. Кликнув на слово «Подробнее», вы окажетесь на странице с Политикой сookies.

Стоит отметить, что Закон о персональных данных конкретно не уточняет, входят ли куки в понятие ПД. Но подавляющее большинство интернет-магазинов учитывают потенциальные риски и предупреждают пользователей.

Неуведомление Роскомнадзора об обработке персональных данных

В ст. 22 Закона о персональных данных указана такая обязанность оператора ПД, как направление уведомления Роскомнадзору. Оператор должен исполнить это требование еще до начала обработки.

Уведомление не требуется в том случае, если объем собираемых ПД ограничивается только фамилией, именем и отчеством. Но магазин обычно запрашивает либо номер телефона, либо адрес электронной почты, либо и то и другое. Следовательно, направить уведомление придется.

Также уведомление не потребуется, если персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения договора.

Форма уведомления представлена на сайте Роскомнадзора. В течение 30 дней после его отправки регулятор внесет сведения в Реестр операторов персональных данных.  

Запрет на принудительный сбор персональных данных клиентов

Президент РФ Владимир Путин подписал Федеральный закон от 28.05.2022 № 145-ФЗ, который вводит штрафы за отказ продавцов заключать, исполнять, изменять или расторгать договор с потребителем из-за его нежелания предоставить персональные данные. Изменения вступят в силу с 1 сентября 2022 года.

За совершение этих действий предусмотрены штрафы:

  • на должностных лиц — от 5 000 до 10 000 руб.;
  • на юрлиц — от 30 000 до 50 000 руб.

В каких случаях штраф может сработать? Иногда при совершении покупки через интернет от клиента требуют чуть ли не паспортные данные. Чтобы пресечь такие избыточные требования к покупателю, было решено законодательно ограничить действия продавца.

ОФД
Онлайн-передача кассовых чеков в налоговую службу в соответствии c 54-ФЗ
Узнать больше
Фотография Марина Крицкая Марина Крицкая Бизнес-журналист
ОФД
Онлайн-передача кассовых чеков в налоговую службу в соответствии c 54-ФЗ
Узнать больше
#Риски #Интернет-магазин #Клиенты #152-ФЗ #Персональные данные
Написать комментарий
Раз в неделю — дайджест материалов, достойных вниманияАктуальные материалы раз в неделю
Подписаться

Другие статьи

Все статьи
<
Написать комментарий
Компания
Работа у нас
Продукты
Журнал
Партнёрство
Поддержка
© 1988–2025 СКБ Контур
Используем cookies для корректной работы сайта, персонализации пользователей и других целей, предусмотренных политикой обработки персональных данных.
vk ok youtube telegram
In English
21 августа | Онлайн‑конференция Кадровиков и директоров по персоналу Участвовать