Алексей Ветров
Эксперт по защите данных IC-TECH
В уведомлении Роскомнадзора нужно указывать только те виды обработки, которые реально происходят в деятельности магазина. Для интернет-магазина это, как правило:
- сбор (через формы заказа, регистрацию на сайте, чат, подписку на рассылку),
- запись и систематизация (заявки сохраняются в базе сайта/CRM),
- накопление и хранение (база клиентов хранится на сервере или в облаке),
- уточнение (обновление, изменение) (например, если клиент меняет телефон или адрес доставки),
- использование (обработка заказов, доставка, клиентская поддержка),
- передача (распространение, предоставление, доступ) — например, -курьерским службам, банкам, платёжным системам, сервисам email-рассылки,
обезличивание (при аналитике или маркетинговых отчётах),
уничтожение (удаление старых заказов или данных по истечении сроков хранения).
Таким образом, стандартный набор интернет-магазина будет выглядеть так:
«Сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (предоставление, доступ), обезличивание, уничтожение персональных данных.»
- сбор (через формы заказа, регистрацию на сайте, чат, подписку на рассылку),
- запись и систематизация (заявки сохраняются в базе сайта/CRM),
- накопление и хранение (база клиентов хранится на сервере или в облаке),
- уточнение (обновление, изменение) (например, если клиент меняет телефон или адрес доставки),
- использование (обработка заказов, доставка, клиентская поддержка),
- передача (распространение, предоставление, доступ) — например, -курьерским службам, банкам, платёжным системам, сервисам email-рассылки,
обезличивание (при аналитике или маркетинговых отчётах),
уничтожение (удаление старых заказов или данных по истечении сроков хранения).
Таким образом, стандартный набор интернет-магазина будет выглядеть так:
«Сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (предоставление, доступ), обезличивание, уничтожение персональных данных.»
Обоснование по законодательству
- ФЗ-152, ст. 3, п. 3: обработка ПДн — любое действие (операция) с персональными данными.
- ФЗ-152, ст. 5: объём и характер обработки должны соответствовать целям.
- ФЗ-152, ст. 22: уведомление должно содержать сведения о видах обработки персональных данных.
Примеры для интернет-магазина
- Заказ товара через корзину: сбор ФИО, телефона, адреса доставки → «сбор, запись, хранение, использование, передача».
- Личный кабинет покупателя: данные о заказах, бонусах, настройках → «систематизация, накопление, уточнение, хранение».
- Передача данных курьеру или в службу доставки: → «передача (предоставление)».
- Email-рассылки или СМС-уведомления: → «использование, распространение (с согласия субъекта)».
- Удаление базы после окончания срока хранения: → «уничтожение».
Частые ошибки
- Указывать только «сбор и хранение», забывая про передачу курьерам и банкам.
- Вписывать лишние действия (например, «публикация»), если их нет — Роскомнадзор может посчитать это нарушением.
- Не упоминать уничтожение данных, хотя оно обязательно после окончания целей обработки.
Рекомендации и выводы
- Указывайте только те виды обработки, которые реально происходят в вашем интернет-магазине.
- Минимальный обязательный набор: сбор, хранение, использование, передача, уничтожение.
- Для маркетинга и аналитики добавьте «обезличивание».
- Следите, чтобы виды обработки соответствовали целям, указанным в уведомлении.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
