Как правило, большинство интернет-магазинов работают с персональными данными своих клиентов. Среди собираемой информации: имя, адрес доставки, номер телефона, электронная почта, история покупок. Например, адрес доставки необходим для корректной отправки товара, а история покупок помогает рекомендовать подходящие продукты.
В данной статье описано, как правильно обрабатывать персональные данные в соответствии с требованиями российского законодательства.
Персональными данными считается любая информация, относящаяся к конкретному физическому лицу. Это могут быть такие сведения, как ФИО, номер телефона, адрес электронной почты, паспортные данные, адрес проживания, дата рождения, пол. Законодательство не предоставляет исчерпывающего списка таких данных, поэтому владельцу интернет-магазина необходимо самостоятельно определять состав обрабатываемой информации.
Важно учитывать, что даже адрес электронной почты без других идентифицирующих данных является персональными данными (согласно разъяснениям Роскомнадзора). Cookie-файлы тоже считаются персональными данными, так как они собирают и хранят информацию о посещаемых сайтах, времени посещения, устройствах пользователя, а также об интересующих его товарах и услугах.
Рекомендуется собирать только те персональные данные, которые необходимы для выполнения вашей работы. Например, если клиент заказал доставку, достаточно знать адрес доставки и контактный номер телефона встречающего лица. Остальную информацию запрашивать не рекомендуется, поскольку она не связана непосредственно с оказываемой услугой.
1. Сбор данных через формы на сайте или в мобильном приложении:
2. Использование метрик и аналитики - на сайте применяются сервисы сбора статистики, такие как Яндекс.Метрика или Google Analytics.
3. Публикация данных на сайте - опубликованы данные конкретных лиц, например, ФИО, фотографии или отзывы.
4. Обработка данных, не связанных с покупками - владелец интернет-магазина ведет кадровую работу, нанимает сотрудников или взаимодействует с контрагентами.
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ, интернет-магазин выступает оператором персональных данных во всех вышеперечисленных ситуациях, что накладывает на него определённые обязательства.
Рекомендуем разработать документ «Пользовательское соглашение», включающий следующую информацию:
Под каждую форму ввода данных (регистрация, обратная связь и т.д.) добавьте текст «Я принимаю Пользовательское соглашение», а также предоставьте ссылку на сам документ. Сделать это можно двумя способами:
Однако второй способ менее безопасен, так как закон требует осознанного и конкретного согласия. Выбор метода остаётся за владельцем ресурса.
При обработке персональных данных избегайте сбора избыточной информации, которая не требуется для деятельности интернет-магазина. Например, такие данные, как номер паспорта или дата рождения, стоит запрашивать только при действительной необходимости.
Для снижения рисков при работе с рекламными рассылками рекомендуется использовать отдельный чекбокс для получения согласия на получение рекламы. Обязательно предоставляйте пользователям возможность отказаться от рассылок и удаляйте их из базы по первому запросу.
Можно включить согласие на рекламные рассылки в пользовательское соглашение, но в таком случае покупатель не даёт осознанное согласие на подписку. При проверке ФАС это может быть воспринято как отсутствие согласия, что повлечёт расследование и штрафы.
В тексте согласия на рекламу рекомендуем указать:
На каждой странице сайта, на которой происходит сбор данных пользователей, необходимо разместить политику в отношении обработки персональных данных (также известную как политика конфиденциальности или приватности). Данный документ предназначен для объяснения пользователям процедуры обработки их персональных данных, описания прав покупателя и способа обеспечения интернет-магазином защиты данных. Для удобства лучше всего разместить ссылку на политику в подвале сайта, чтобы она была доступна с любой страницы.
По ссылкам ниже можно скачать образцы документов для сайта:
- политика обработки персональных данных
Читайте также: Настройки сайта для соблюдения Закона "О персональных данных"
При использовании на сайте аналитических инструментов, таких как Яндекс.Метрика или Google Analytics, важно уведомить новых посетителей об использовании файлов cookie. Рекомендуется разместить на сайте всплывающий баннер с текстом: «Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie».
Добавьте ссылку на документ, в котором будет описано, какие cookie собирает сайт и какие метрические программы используются.
Обратите внимание, что Роскомнадзор начал требовать от компаний, использующих Google Analytics, уведомлять о планах передавать данные за границу. Для продолжения работы с сервисом необходимо направить заявление в Роскомнадзор. Ведомство рассмотрит его в течение 10 дней и примет решение о возможности дальнейшего использования Google Analytics. Чтобы избежать проблем с трансграничной передачей данных и соответствовать требованиям законодательства, рекомендуется рассмотреть возможность использования отечественных аналогов Google Analytics.
Подробнее об настройке уведомления об использовании cookies описано в инструкции про системные виджеты в пункте 7.
На сайте могут быть опубликованы персональные данные покупателя в контексте отзывов или благодарностей за покупку. Перед публикацией отзыва интернет-магазин должен убедиться, что пользователь дал согласие на размещение своего отзыва на сайте. Согласие может быть получено различными способами. Например, через галочку при отправке отзыва или отдельное уведомление о том, что отзыв будет опубликован. Рекомендуем для защиты персональных данных использовать анонимизацию отзывов. Вместо полного имени и фамилии покупателя указывать только часть имени или псевдоним. Никогда не публикуйте такие идентификаторы, как e-mail и телефон.
Размещение персональных данных на сайте Владельцем интернет-магазина, например, публикация данных о сотрудниках или партнерах, таких как ФИО, место работы, фотография, потребует подписания отдельного согласия в письменной форме. Особые требования к его содержанию устанавливает Приказ Роскомнадзора от 24.02.2021 № 18.
1. Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора.
Владелец интернет-магазина должен уведомить Роскомнадзор об обработке персональных данных. Отправить информацию можно на портале персональных данных.
2. Назначьте ответственного за организацию обработки персональных данных — сотрудника компании или стороннюю организацию. Ответственное лицо должно:
3. Разработайте регламент для ответов на запросы пользователей интернет-магазина.
Пользователи могут запрашивать информацию о целях сбора данных, способах их обработки и хранения, а также просить прекратить обработку своих данных. Заранее подготовьтесь к таким запросам и зафиксируйте сроки ответов во внутренних документах. Как правило, срок ответа на запросы составляет 10 рабочих дней.
4. Разработайте комплект документов по обработке персональных данных.
Комплект может включать:
5. Обеспечьте защиту персональных данных.
Для защиты персональных данных клиентов интернет-магазина рекомендуется:
6. Обеспечьте безопасность при передаче данных третьим лицам.
Если интернет-магазин передает персональные данные третьим лицам, важно заключить договор, который гарантирует защиту этих данных. Например, данные могут передаваться курьерским службам для доставки товаров или платежным системам для обработки платежей. Договор должен предусматривать обязательства контрагента по обеспечению конфиденциальности и безопасности данных, а также ответственность за их неправомерное использование.
Обязательно получите явное согласие пользователя на передачу его данных третьим лицам.
7. Рекомендуем глубже изучить тему обработки персональных данных:
С 30 мая 2025 ожидается повышение штрафов в КоАП РФ за нарушения в области защиты персональных данных. Владельцам интернет-магазинов нужно быть в курсе этих изменений, чтобы избежать серьезных санкций и обеспечить защиту личной информации клиентов. Размер штрафов варьируется в зависимости от категории нарушителя — граждане, должностные лица или юридические лица. Например, за первичное нарушение гражданин может получить штраф от 10 до 15 тысяч рублей, юридическое лицо заплатит от 150 до 300 тысяч рублей. За повторные нарушения штрафы увеличиваются.
Дополнительные санкции предусмотрены за другие виды нарушений такие, как отсутствие публикации политики конфиденциальности, несвоевременное уведомление Роскомнадзора или игнорирование обращений субъектов персональных данных. Штрафы также зависят от масштаба утечки данных: чем больше пострадавших субъектов, тем серьезнее наказание. Таким образом передача информации, содержащей персональные данные более ста тысяч человек, может привести к штрафу до 15 миллионов рублей для юридического лица.
Также может случиться, что из-за неправомерного доступа к персональным данным пострадает человек. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Данная статья призвана помочь владельцам интернет-магазинов разобраться в требованиях законодательства и принять необходимые меры для защиты данных. Следуя приведенным рекомендациям, можно не только избежать штрафов, но и укрепить доверие клиентов, обеспечивая безопасность их личных сведений.
