В статье правильно указано на избыточность запрашиваемой информации при регистрации на сайте. Если следовать логике, то при регистрации на сайте электронного магазина вполне достаточно имени клиента, его контактного телефона и email адреса для различных маркетинговых манипуляций и информирования о состоянии заказов.
Адрес доставки потребуется только при собственно заказе, т.е. если человек ничего не заказывает, то и его адрес магазину совершенно не нужен.
В результате мы получаем достаточно информации для персонализации заказчика, но при этом никаким образом не контролируем правильность и не выдуманность его данных (в качестве имени можно указать "Вася Пупкин", телефонную карточку купить в переходе без паспорта, а email использовать любой временный. А при заказе указать совершенно любой адрес (ни что не мешает дождаться курьера, сидя на лавочке у дома рядом с метро).
В итоге получаем достаточную анонимность заказчиков, абсолютно не мешающую коммуникации между ними и продавцом.
Но!!!! Это если следовать общепринятой логике.
А теперь посмотрим, какие требования должны соблюдать продавец и покупатель, если опираться на нормы Закона 152-ФЗ:
Учитывая, что для продажи и доставки товаров и услуг конечному потребителю, все субъекты интернет-коммерции должны как-то идентифицировать клиента, все они могут попасть под определение оператора персональных данных, принятое в ФЗ-152: «...юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных».
Проблемы электронной коммерции в терминах ФЗ-152
Если интернет-магазин является оператором персональных данных, то на него распространяются все обязанности, налагаемые законом:
- предоставить доказательство получения согласия субъекта на обработку его персональных данных;
- обработать персональные данные в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи можно только при условии предварительного согласия субъекта.
Итак, интернет-магазину надо доказать, что у него есть согласие конкретного физического лица, которое попросило предоставить ему товар (услугу). При этом чаще всего установить это самое лицо у магазина нет возможности — его или его представителя увидит только курьер при доставке товара, а до этого момента пройдет много времени, в течение которого персональные данные будут обрабатываться. Как здесь быть с анонимностью, сказать трудно.
Заказ клиент делает чаще всего двумя простыми способами: заполняя форму на сайте магазина или позвонив по указанному там же телефону, и в обоих случаях точно идентифицировать его невозможно. Часто заказ формируется в интересах третьего лица (выгодоприобретателя), которому с использованием возможностей Интернета делается подарок или в качестве контактных указываются данные третьего лица (например родственник или сосед). Главный контролер в области законодательства о персональных данных — Роскомнадзор по этому поводу думает следующее: «При заполнении веб-формы заявки на покупку товара на сайте интернет-магазина ... критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи. Кроме того, оператор вправе ввести в веб-форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных. В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменной форме. Получение согласия на обработку персональных данных по телефону, посредством SMS действующим законодательством Российской Федерации не установлено».
Ясно, что для интернет-магазина такие требования неприемлемы. При этом ФЗ-152 определяет исчерпывающий перечень случаев, в которых необходимо согласие субъекта в письменной форме, и данная ситуация к ним однозначно не относится. Наличие у клиента сертификата ЭЦП или подписанного ЭЦП файла сводит на нет все преимущества электронных продаж, не требующих предварительного установления отношений между покупателем и продавцом.
Про согласие по телефону и говорить нечего — бизнес огромного количества предприятий, занимающихся поставкой товаров по телефонному заказу, бронированием и предоставлением услуг, оказывается вне закона. Строго говоря, нельзя записать продиктованную по телефону фамилию клиента. Достаточно ли при регистрации сообщать клиенту, что указываемые им данные следовало бы как-то обезличить или использовать псевдоним? С точки зрения Гражданского кодекса, предусматривающего свободу договора, данная ситуация также не очень вяжется — договор однозначно может быть заключен в устной форме, если кодекс или закон не требуют иного. Заключить устно можно, а сообщить реквизиты сторон — нельзя. Вот такие парадоксы.
На вопрос «Вправе ли физическое лицо представлять персональные данные своих близких родственников?» Роскомнадзор на своем сайте четко и однозначно отвечает: «Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами». Если кто-то захочет сделать через интернет-магазин подарок родителям, детям или другим членам семьи, он должен получить на это их письменное согласие (кстати, опять вопрос — почему, ведь закон этого не требует?) и при заказе передать это согласие в интернет-магазин. Естественно, если абсолютно то же самое делается через Amazon, ничего этого не требуется, передавайте ему все, что хотите.
Учитывая то, что для продажи и доставки товаров и услуг конечному потребителю, все субъекты интернет-коммерции должны как-то идентифицировать клиента, все они с легкостью могут попасть под определение оператора персональных данных: «...юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных».
Если интернет-магазин является оператором персональных данных, то на него распространяются все обязанности, налагаемые законом:
- предоставить доказательство получения согласия субъекта на обработку его персональных данных;
- обработать персональные данные в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи можно только при условии предварительного согласия субъекта.
Итак, интернет-магазину надо доказать, что у него есть согласие конкретного физического лица, которое попросило предоставить ему товар (услугу). При этом в подавляющем большинстве случаев установить это самое лицо у магазина нет возможности — его или его представителя увидит только курьер при доставке товара, а до этого момента пройдет много времени, в течение которого персональные данные будут обрабатываться. Часто заказ формируется в интересах третьего лица (выгодоприобретателя), которому с использованием возможностей Интернета делается подарок или в качестве контактных указываются данные третьего лица (например родственник или сосед). Главный контролер в области законодательства о персональных данных — Роскомнадзор по этому поводу говорит следующее: «При заполнении веб-формы заявки на покупку товара на сайте интернет-магазина ... критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи. Кроме того, оператор вправе ввести в веб-форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных. В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменной форме.
Получение согласия на обработку персональных данных по телефону, посредством SMS действующим законодательством Российской Федерации не установлено».
Ясно, что для интернет-магазина такие требования неприемлемы. При этом ФЗ-152 определяет исчерпывающий перечень случаев, в которых необходимо согласие субъекта в письменной форме, и данная ситуация к ним однозначно не относится. Наличие у клиента сертификата ЭЦП или подписанного ЭЦП файла сводит на нет все преимущества электронных продаж, не требующих предварительного установления отношений между покупателем и продавцом. Про согласие по телефону и говорить нечего — бизнес огромного количества предприятий, занимающихся поставкой товаров по телефонному заказу, бронированием и предоставлением услуг, оказывается вне закона. Строго говоря, нельзя записать продиктованную по телефону фамилию клиента.
Достаточно ли при регистрации сообщать клиенту, что указываемые им данные следовало бы как-то обезличить или использовать псевдоним? С точки зрения Гражданского кодекса, предусматривающего свободу договора, данная ситуация также не очень вяжется — договор однозначно может быть заключен в устной форме, если кодекс или закон не требуют иного. Заключить устно можно, а сообщить реквизиты сторон — нельзя. Вот такие парадоксы.
На вопрос «Вправе ли физическое лицо представлять персональные данные своих близких родственников?» Роскомнадзор на своем сайте четко и однозначно отвечает: «Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами». Если кто-то захочет сделать через интернет-магазин подарок родителям, детям или другим членам семьи, он должен получить на это их письменное согласие (кстати, опять вопрос — почему, ведь закон этого не требует?) и при заказе передать это согласие в интернет-магазин. Естественно, если абсолютно то же самое делается через любой иностранный интернет-магазин, ничего этого не требуется, передавайте ему все, что хотите.
Получается очень интересная ситуация - для того, чтобы электронным магазинам что-то продавать на территории РФ, им необходимо во всех местах жительства потенциальных покупателей разместить что-то типа киосков, в которые должны будут приходить потенциальные покупатели со своими паспортами, и регистрироваться только в указанных местах, с обязательным приложением копии документов...
В этом случае оператор ПДн будет однозначно отслеживать полноту и правильность регистрационных данных своих клиентов. Но вот сколько этих самых клиентов у интернет-магазина будет при такой системе регистрации???
Какой путь выбрать - решает каждый самостоятельно, мы для себя выбрали путь явного отказа от контроля правильности клиентских данных, минимизировав их объем и уйдя к анонимизации.
В результате можно с боооольшой натяжкой рассчитывать на непопадание под определение "оператор персональных данных" и остутствие необходимости заниматься описанной выше ерундистикой.
Но это только наше мнение, нет абсолютно никакой гарантии, что у контролирующего органа (Роскомнадзора) не возникнет своего мнения, полностью противоположного нашему ...
А по поводу требования копии паспорта при возврате товаров по почте - это требование взято не с потолка, а является одним из обязательных для возможности возврата денег покупателю в рамках действующего законодательства. К сожалению, тут ничего для сохранения анонимности придумать нельзя. Либо так, либо живите там, где у интернет-магазинов есть собственные службы доставки, позволяющие ознакомиться с приобретаемым товаром до его оплаты.
Ну, или жить за пределами СНГ ...
Как говорится в одной передаче - "выводы делать только вам".
Наверх
