Для интернет-магазина обычно отражаются:
- идентификационные данные: фамилия, имя, отчество;
- контактные данные: телефон, адрес электронной почты;
- адресные данные: адрес доставки;
- платёжные данные: номер банковской карты (если сохраняется, хотя чаще только через платёжный сервис), реквизиты платежа;
- сведения о заказах: история покупок, предпочтения;
- данные сотрудников: ФИО, паспортные данные, сведения о трудовой
- деятельности (если добавлять внутренний кадровый учёт).
Если магазин использует онлайн-чат или форму обратной связи, также нужно указать контактные данные, которые туда вводят пользователи.
Обоснование по законодательству
ФЗ-152, ст. 22: уведомление должно содержать сведения о категориях персональных данных, которые обрабатываются оператором.
ФЗ-152, ст. 5: обработка должна быть ограничена целями, ради которых данные собираются.
ФЗ-152, ст. 10: если интернет-магазин не обрабатывает специальные категории (например, здоровье, политические взгляды) — указывать их не нужно.
Пример формулировки для уведомления
«Фамилия, имя, отчество; контактные данные (номер телефона, адрес электронной почты); адрес места доставки; платёжные реквизиты; сведения о заказах. В отношении сотрудников — паспортные данные, сведения о трудовой деятельности и квалификации.»
Пример из практики
Интернет-магазин одежды подал уведомление, указав только ФИО и телефоны клиентов. При проверке Роскомнадзор выявил, что обрабатываются и адреса доставки, и история заказов. Оператору пришлось подать уточнённое уведомление.
Рекомендации и выводы
— Указывайте только те категории данных, которые реально собирает магазин.
— Не включайте «лишние» категории, которых у вас нет (например, биометрия или здоровье).
— Если данные обрабатываются только через платёжный сервис (ЮKassa, CloudPayments), хранение реквизитов карт магазином можно не указывать.
— Проверяйте, чтобы перечень категорий совпадал с политикой обработки ПДн, опубликованной на сайте.
