Алексей Ветров
Эксперт по защите данных IC-TECH
История заказов — это набор персональных данных, так как она привязана к конкретному пользователю и обычно содержит ФИО, контакты, адрес доставки, данные об оплате и покупках. Обработка и хранение этой информации должны быть оформлены по требованиям 152-ФЗ.
Что нужно оформить документально
- Политика обработки ПДн — должна содержать указание на обработку данных в целях ведения истории заказов, аналитики и улучшения сервиса.
- Согласие пользователя — при регистрации или оформлении заказа клиент должен подтвердить согласие на обработку ПДн, включая хранение истории покупок. В онлайн-магазине это обычно реализуется через чекбокс или акцепт пользовательского соглашения.
- Положение об обработке ПДн — внутренний документ, где прописывается порядок хранения заказов, срок их хранения и условия уничтожения.
- Срок хранения — определяется по закону: для бухгалтерских и налоговых целей сведения о заказах должны храниться не менее 5 лет (в ряде случаев до 10 лет). Для маркетинговых и сервисных целей срок должен быть обоснован и отражён в политике.
- Регламент доступа — сотрудники должны иметь доступ к истории заказов только в пределах их обязанностей (например, бухгалтерия — к данным об оплате, склад — к данным доставки).
- Архивирование и удаление — нужно предусмотреть порядок перевода заказов в архив после истечения срока хранения и их уничтожения или обезличивания.
Обоснование по законодательству
- ФЗ-152, ст. 5 — хранение ПДн не дольше, чем это требуется целями обработки.
- ФЗ-152, ст. 6 — согласие субъекта требуется, если данные используются не только для исполнения договора (например, для маркетинга).
- НК РФ и ФЗ «О бухгалтерском учёте» — устанавливают сроки хранения бухгалтерских документов, связанных с заказами.
- Постановление Правительства РФ № 1119 — требует обеспечить защиту ПДн в информационных системах интернет-магазина.
Практика проверок Роскомнадзора
В интернет-магазинах часто выявляют проблемы: хранение заказов без ограничений по сроку (например, бессрочная история в личном кабинете), отсутствие формулировки в политике о целях хранения или доступ сотрудников к полной базе без разграничения прав. В таких случаях Роскомнадзор указывает на нарушение принципа избыточности и несоблюдение сроков хранения.
Вывод
Хранение истории заказов допустимо, если компания:
- закрепила цели и сроки в политике и положении о ПДн;
- получает согласие клиентов при регистрации или заказе;
- разграничивает доступ сотрудников;
- уничтожает или архивирует данные по окончании сроков хранения.
Компания ICTech поможет вашему интернет-магазину подготовить полный пакет документов по 152-ФЗ: политику, формы согласия, регламенты хранения и порядок уничтожения данных.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
