Почему интернет-магазин — зона повышенного внимания РКН
Интернет-магазин обрабатывает персональные данные на каждом шаге: регистрация, заказ, оплата, доставка, рассылка. Это делает его одним из наиболее уязвимых с точки зрения ФЗ-152 типов сайтов. Роскомнадзор с 2022 года активно проверяет именно e-commerce: по отчётам РКН, интернет-магазины составляют около 30% всех проверяемых субъектов.
Какие персональные данные собирает интернет-магазин
- При регистрации: email, телефон, имя, дата рождения (если используется)
- При оформлении заказа: ФИО получателя, адрес доставки, телефон
- При оплате: данные карты (обрабатывает платёжный шлюз, не вы напрямую)
- В личном кабинете: история заказов, адресная книга, избранное
- Технические данные: IP-адрес, cookie, история просмотров товаров
- Для маркетинга: поведенческие паттерны для персонализации, история кликов
Обязательные документы для интернет-магазина
Политика конфиденциальности
Обязательна. Должна описывать все перечисленные выше категории данных, цели обработки, третьих лиц (Яндекс.Метрика, транспортные компании, CRM, email-платформы, платёжные системы), срок хранения, права покупателя.
Публичная оферта
Для интернет-магазина — обязательна по ГК РФ (ст. 494-497). Должна содержать: наименование и ИНН продавца, описание товаров, порядок оплаты и доставки, условия возврата (ЗоЗПП ст. 26.1 — дистанционная торговля), контакты. Политика конфиденциальности может быть включена в оферту или оформлена отдельным документом.
Cookie-политика
Для интернет-магазина, использующего аналитику и ретаргетинг, — обязательна как отдельный документ или раздел политики конфиденциальности.
Специфика согласий для интернет-магазина
Согласие при регистрации/заказе
Обязательный чекбокс при регистрации и оформлении заказа: «Я даю согласие на обработку персональных данных...». Предотмеченный чекбокс — нарушение. Данные, необходимые для исполнения договора (адрес доставки) — не требуют дополнительного согласия по ст. 6 ФЗ-152, но отдельный чекбокс для маркетинговых рассылок обязателен.
Маркетинговые рассылки
«Вы подписаны на рассылку, потому что совершили покупку» — нарушение. Согласие на рассылку должно быть добровольным и отдельным от согласия на обработку данных заказа. Кнопка «Отписаться» в каждом письме обязательна.
Третьи лица: кому передаёт данные интернет-магазин
Все эти сервисы должны быть упомянуты в политике конфиденциальности:
- Транспортные компании (СДЭК, Boxberry, Почта России) — адрес, ФИО, телефон
- Платёжные шлюзы (ЮKassa, CloudPayments, Robokassa) — данные транзакции
- CRM-система (amoCRM, Битрикс24) — контакты и история покупок
- Email-платформа (UniSender, SendPulse) — email, имя для рассылок
- Аналитика (Яндекс.Метрика, Google Analytics) — поведенческие данные
- Реклама (Яндекс.Директ, VK Ads) — данные для ретаргетинга
Права покупателя по ФЗ-152
Интернет-магазин обязан обеспечить реализацию прав субъектов ПДн:
- Право на доступ: покупатель вправе запросить, какие данные о нём хранятся
- Право на исправление: обновление некорректных данных
- Право на удаление: «забыть меня» — удаление аккаунта и данных
- Право на ограничение обработки и право на перенос данных
Для реализации этих прав достаточно email-адреса для запросов, указанного в политике конфиденциальности.
Как проверить интернет-магазин на соответствие ФЗ-152
SitePravo проверяет интернет-магазины по расширенному профилю: дополнительно к базовым проверкам анализируются формы заказа, корзина, страница оплаты, наличие оферты, условия возврата, реквизиты продавца, внешние трекеры и рекламные пиксели.
Частые вопросы
Нужна ли политика конфиденциальности для магазина на Wildberries/Ozon?
Если у вас есть собственный сайт или личный кабинет продавца — да. Маркетплейс имеет свою политику, но ваши собственные ресурсы (сайт бренда, соцсети) требуют отдельной политики.
Можно ли хранить данные карт покупателей?
Данные банковских карт могут хранить только организации с сертификацией PCI DSS. Для обычного интернет-магазина — только через платёжный шлюз, который и хранит данные карт.