Защита персональных данных для интернет-магазина
Интернет-магазин обрабатывает персональные данные покупателей — имя, телефон, адрес доставки, email — и потому является оператором ПДн. Разберём, что от него требует закон 152-ФЗ и с чего начать.
Знакомые ситуации
- •Собираем данные клиентов для заказов и доставки — что нужно оформить.
- •На сайте формы, cookie и аналитика — нужен ли баннер согласия.
- •Работаем с курьерской службой, платёжным сервисом и CRM — как это оформить.
Что нужно по 152-ФЗ
Уведомление Роскомнадзора
Подать уведомление об обработке ПДн (бесплатно, до начала обработки) — после поправок 2022 года это касается практически всех операторов.
Политика обработки ПДн на сайте
Опубликовать документ, определяющий политику обработки ПДн (часть 2 статьи 18.1 152-ФЗ), и обеспечить к нему доступ с сайта.
Основания обработки
Данные для исполнения заказа обрабатываются на основании договора (согласие для этого обычно не требуется); для рекламных рассылок нужно отдельное согласие.
Поручения обработчикам
С курьерской службой, платёжным провайдером, облачной CRM и хостингом оформляется поручение на обработку, если они обрабатывают ПДн по вашему заданию (часть 3 статьи 6 152-ФЗ). Если подрядчик действует как самостоятельный оператор, отражается передача данных и её основание.
Уровень защищённости ИСПДн
Определить уровень защищённости (обычно УЗ-3 или УЗ-4 для иных категорий данных) и реализовать меры по приказу ФСТЭК №21.
Cookie и зарубежная аналитика
Прямого требования о cookie-баннере в РФ нет, но действует принцип прозрачности; главный риск — зарубежные счётчики и виджеты (локализация и трансграничная передача).
Частые вопросы
Нужно ли интернет-магазину уведомлять Роскомнадзор?
Да. Интернет-магазин обрабатывает ПДн покупателей и обязан подать уведомление об обработке до её начала; уведомление бесплатное.
Нужно ли согласие покупателя на обработку данных для заказа?
Для оформления и доставки заказа обработка ведётся на основании договора и отдельного согласия обычно не требует. Согласие нужно для рекламных рассылок и иных целей, не связанных с исполнением заказа.
Нужен ли интернет-магазину баннер согласия на cookie?
Прямого требования о cookie-баннере в российском законе нет. Достаточно проинформировать пользователя об использовании cookie и счётчиков со ссылкой на политику; отдельно оцените риски зарубежной аналитики.
Подробнее в Базе знаний
Материал носит информационный характер и не заменяет индивидуальную оценку. Требования применяются с учётом целей обработки и особенностей организации.