ГрамотаИБ ГрамотаИБ

Защита персональных данных для интернет-магазина

Интернет-магазин обрабатывает персональные данные покупателей — имя, телефон, адрес доставки, email — и потому является оператором ПДн. Разберём, что от него требует закон 152-ФЗ и с чего начать.

Знакомые ситуации

  • Собираем данные клиентов для заказов и доставки — что нужно оформить.
  • На сайте формы, cookie и аналитика — нужен ли баннер согласия.
  • Работаем с курьерской службой, платёжным сервисом и CRM — как это оформить.

Что нужно по 152-ФЗ

Уведомление Роскомнадзора

Подать уведомление об обработке ПДн (бесплатно, до начала обработки) — после поправок 2022 года это касается практически всех операторов.

Политика обработки ПДн на сайте

Опубликовать документ, определяющий политику обработки ПДн (часть 2 статьи 18.1 152-ФЗ), и обеспечить к нему доступ с сайта.

Основания обработки

Данные для исполнения заказа обрабатываются на основании договора (согласие для этого обычно не требуется); для рекламных рассылок нужно отдельное согласие.

Поручения обработчикам

С курьерской службой, платёжным провайдером, облачной CRM и хостингом оформляется поручение на обработку, если они обрабатывают ПДн по вашему заданию (часть 3 статьи 6 152-ФЗ). Если подрядчик действует как самостоятельный оператор, отражается передача данных и её основание.

Уровень защищённости ИСПДн

Определить уровень защищённости (обычно УЗ-3 или УЗ-4 для иных категорий данных) и реализовать меры по приказу ФСТЭК №21.

Cookie и зарубежная аналитика

Прямого требования о cookie-баннере в РФ нет, но действует принцип прозрачности; главный риск — зарубежные счётчики и виджеты (локализация и трансграничная передача).

Частые вопросы

Нужно ли интернет-магазину уведомлять Роскомнадзор?

Да. Интернет-магазин обрабатывает ПДн покупателей и обязан подать уведомление об обработке до её начала; уведомление бесплатное.

Нужно ли согласие покупателя на обработку данных для заказа?

Для оформления и доставки заказа обработка ведётся на основании договора и отдельного согласия обычно не требует. Согласие нужно для рекламных рассылок и иных целей, не связанных с исполнением заказа.

Нужен ли интернет-магазину баннер согласия на cookie?

Прямого требования о cookie-баннере в российском законе нет. Достаточно проинформировать пользователя об использовании cookie и счётчиков со ссылкой на политику; отдельно оцените риски зарубежной аналитики.

Подробнее в Базе знаний

Материал носит информационный характер и не заменяет индивидуальную оценку. Требования применяются с учётом целей обработки и особенностей организации.