Законодательная основа
- Ст. 6 ФЗ-152 — обработка без отдельного согласия допускается, если она необходима для исполнения договора, стороной которого является субъект ПДн. Онлайн-оплата как раз подпадает под это условие: клиент добровольно инициирует транзакцию для выполнения обязательств по договору купли-продажи или оказания услуги.
- Ст. 10 ФЗ «О национальной платежной системе» и ФЗ «О банках и банковской деятельности» — банки и операторы платёжных систем обрабатывают данные клиентов в рамках своих функций без дополнительного согласия.
Что важно учитывать компаниям
- Если данные собираются только для проведения платежа (передача в банк, платёжный шлюз), отдельное согласие не требуется — основание уже есть (договор и закон).
- Если компания хочет использовать эти данные в дальнейшем — например, для маркетинговых рассылок, анализа покупательской активности, предложения дополнительных услуг, — в этом случае потребуется отдельное согласие субъекта.
- Политика обработки ПДн на сайте должна прямо указывать, что при оплате обрабатываются данные через платёжных партнёров, и приводить их наименование (банк, платёжный оператор).
- Технически важно использовать сертифицированные платёжные решения (PCI DSS, СБП) и обеспечивать безопасную передачу данных.
Практика Роскомнадзора
На проверках РКН обращает внимание на то, как оформлены правила обработки данных при онлайн-оплате. Если в политике не указаны платёжные партнёры или отсутствует описание целей обработки, компании получают предписания. Но штрафы назначаются в основном, когда данные используются вне расчётных целей без согласия (например, рассылки по e-mail, указанному при оплате).
Вывод
Для онлайн-оплаты через карты, кошельки или СБП отдельное согласие на обработку ПДн не требуется, если данные используются исключительно для исполнения договора и проведения платежа. Но если компания планирует расширенное использование этих данных — согласие обязательно.
Компания ICTech поможет вам правильно прописать в политике обработки ПДн порядок онлайн-оплат и подготовить согласия для дополнительных целей, чтобы исключить риски проверок Роскомнадзора.
