Алексей Ветров
Эксперт по защите данных IC-TECH
Интернет-магазин на маркетплейсе — это самостоятельный оператор персональных данных, даже если все продажи происходят через площадку. Факт обработки персональных данных возникает в момент, когда магазин получает доступ к данным покупателей (ФИО, телефон, адрес доставки, электронная почта и др.), поэтому на него распространяются все требования 152-ФЗ.
Даже если маркетплейс выполняет технические функции (платежи, доставка, сбор заказов), сам продавец остаётся ответственным за то, как он хранит и использует данные клиентов, а также за документы, регулирующие эти процессы.
Даже если маркетплейс выполняет технические функции (платежи, доставка, сбор заказов), сам продавец остаётся ответственным за то, как он хранит и использует данные клиентов, а также за документы, регулирующие эти процессы.
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 3 — оператором является лицо, которое организует и/или осуществляет обработку ПДн. Продавец, получающий данные клиента через маркетплейс, попадает под это определение.
- Ст. 18.1 — оператор обязан принимать меры по соблюдению требований законодательства.
- Ст. 19 — оператор обязан обеспечить защиту персональных данных (правовые, организационные, технические меры).
- Разъяснения Роскомнадзора: если юридическое лицо получает доступ к персональным данным покупателей через партнёрский сервис или маркетплейс, оно признаётся оператором наряду с площадкой.
Типичные ошибки интернет-магазинов
- Считают, что все обязанности по защите ПДн несёт маркетплейс, и сами не разрабатывают пакет документов.
- Хранят переписку и данные клиентов в мессенджерах без защиты.
- Не уведомляют Роскомнадзор о начале обработки ПДн.
- Используют клиентские данные для маркетинга без согласия (например, обзванивают или делают рассылки).
Особенности применения на практике
- Интернет-магазин должен иметь политику обработки персональных данных и предоставлять её клиентам.
- В организации назначается ответственное лицо за обработку ПДн.
- Должны быть разработаны локальные акты: регламенты работы с данными, приказы, инструкции.
- Если данные передаются сторонним курьерским службам или подрядчикам, нужны договоры с ними как с операторами/обработчиками ПДн.
- При использовании данных для рекламы (email- и SMS-рассылки) требуется отдельное согласие клиента.
Рекомендации и выводы
- Интернет-магазин на маркетплейсе обязан соблюдать все требования закона о персональных данных так же, как и любой другой бизнес.
- Необходимо уведомить Роскомнадзор о начале обработки данных, если вы получаете ПДн покупателей.
- Разработайте полный комплект документов: политику обработки ПДн, согласия, приказы, инструкции, регламент хранения и уничтожения данных.
- Проверьте договоры с маркетплейсом и сторонними исполнителями — в них должны быть прописаны условия передачи и защиты ПДн.
Если вы ведёте продажи на маркетплейсе и хотите быть уверены, что ваш интернет-магазин соответствует требованиям 152-ФЗ, — компания ICTech разработает для вас полный пакет документов по обработке персональных данных для интернет-магазинов. Это избавит от риска штрафов, обеспечит законное использование клиентских данных и позволит сосредоточиться на развитии бизнеса и продажах, а не на проверках Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
