Пять ошибок онлайн-магазинов: что нужно знать о сборе согласий на обработку персональных данных

Пандемия заставила многие компании перестроить бизнес-процессы. Если до ковида онлайн-продажи считались дополнением к обычным, то во время самоизоляции обычным каналом продаж стал именно онлайн. Количество интернет-магазинов выросло, оборот онлайн-торговли многократно увеличился, офлайн – резко упал.

Но онлайн-торговля имеет дело с персональными данными покупателей. Анализ информации с сайтов и из приложений интернет-магазинов свидетельствует: должного внимания правовым основаниям для обработки персональных данных онлайн-торговцы не уделяют.

Вот пять распространенных ошибок.

Ошибка 1: неопределенность с целью обработки персональных данных и их количеством

Обычно для оформления заказа в интернет-магазине нужно создать учетную запись (личный кабинет): ввести фамилию, имя и отчество, дату рождения, номер мобильного телефона, электронный адрес и т. п. Такой набор личной информации однозначно относит запись к категории персональных данных, а значит, интернет-магазин становится их оператором.

Исполнение договора или просто намерение заключить договор с клиентом – субъектом персональных данных служит основанием для обработки его персональных данных, если клиент сам выступил инициатором договора. Проще говоря, если клиент регистрируется для заказа товара, оставляя персональные данные, необходимые для совершения покупки, их сбор возможен и без отдельного согласия клиента.

Но если интернет-магазин собирает дополнительные персональные данные без привязки к заказу, об их необходимости для исполнении договора говорить нельзя. Например, дата рождения клиента нужна, если у товара есть возрастные ограничения, если же их нет, интернет-компания обязана обозначить цель ее сбора и заручиться согласием клиента на обработку персональных данных.

Рекомендация: набор персональных данных должен соответствовать цели их сбора.

Ошибка 2: продвижение товаров и услуг при отсутствии на то прямо выраженного согласия покупателя

Классический пример, когда без согласия не обойтись, – рекламная рассылка. Интернет-магазины регулярно используют персональные данные для прямого маркетинга: оповещают клиентов о товарах, услугах, акциях, скидках и т. п. Но чтобы делать такую рассылку, интернет-магазин обязан заручиться прямым согласием клиента – общего согласия на обработку персональных данных мало.

Интернет-магазины часто автоматически включают в договор согласие на рассылку – чтобы не получать ее, нужно поставить отметку. Суды скорее одобряют такую практику, но считать согласием отсутствие отказа на получение рассылок все-таки нельзя.

Очень важно, чтобы клиент, согласившийся на рассылку, имел возможность в любой момент отказаться от нее.

Рекомендация: на сайте интернет-магазина или в приложении должна быть отдельная веб-форма для согласия на рассылки – причем пользователь должен иметь возможность без промедления отказаться от рассылки в любой момент. Возможность заказать товар или услугу не может зависеть от такого согласия.

Ошибка 3: передача персональных данных третьим лицам при отсутствии согласия на это

В работе сайта или приложения могут принимать участие третьи лица – аналитические сервисы, рекламные агентства и пр. Передача им персональных данных клиентов также может требовать согласия: как правило, третьи лица не участвуют напрямую в исполнении договора, у них иные функции – мониторинг активности, аналитика и т. д.

Иногда для передачи третьим лицам персональных данных может потребоваться формальное письменное согласие – если, например, данные передаются на территорию государства, не обеспечивающего адекватную защиту прав субъектов персональных данных. А письменное согласие означает собственноручную подпись клиента или его усиленную электронную подпись.

Рекомендация: простой веб-формой тут не обойтись.

Ошибка 4: несоблюдение формы согласия и использование предустановленных галочек

Часто интернет-магазины помещают на сайте документы о персональных данных (политику конфиденциальности, пользовательское соглашение и т. п. – закон обязывает оператора персональных данных обеспечить ознакомление клиента с такими документами) и веб-форму, через которую клиент соглашается с ними, – но не веб-форму для согласия на обработку персональных данных.

Такой подход не всегда корректен: если на обработку персональных данных нужно получить согласие субъекта персональных данных, он должен иметь возможность выразить согласие именно на обработку персональных данных.

Пример корректных веб-форм: «Я принимаю условия Политики обработки персональных данных ООО «ХХХ» и настоящим соглашаюсь на обработку ООО «ХХХ» моих персональных данных на сайте ХХХ для цели ХХХ».

Рекомендация: не использовать автоматические отметки – если с клиентом возникнет спор, он сможет сослаться на закон, по которому согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Роскомнадзор считает, что предустановленная «галочка» не выражает сознательную волю субъекта на ее проставление.

Ошибка 5: неразмещение текста политики в отношении обработки персональных данных

Отсутствие на сайте или в приложении полного текста документов о персональных данных – грубое нарушение закона. Часто интернет-магазины публикуют такие документы только в отношении персональных данных, собираемых с использованием сайта или приложения, а это некорректно.

Рекомендация: публиковать документ, описывающий все категории субъектов персональных данных, сведения о которых обрабатывает компания, в том числе о работниках и соискателях.