Топ-5 фатальных ошибок маркетплейсов при работе с персональными данными

Маркетплейсы (Amazon, AliExpress, «Беру!» и другие) — интернет-сайты, где сторонние продавцы могут предлагать и продавать свои товары и услуги покупателям. Их администратор обеспечивает заключение сделок, проведение платежей и рассмотрение жалоб. Ему необходимо многое знать о покупателях: телефон, электронную почту, банковские реквизиты, адреса доставки, потребительские предпочтения, профили в соцсетях, содержание претензионной переписки и другие сведения. К этому добавляются контактные данные представителей продавцов — ФИО, реквизиты доверенностей и другие сведения.

Чем больше новых функций появляется на сайте, тем сложнее процессы обработки данных и выше затраты на их правовое оформление. Знакомство владельца любого маркетплейса с законодательством в области персональных данных обычно начинается с пяти ошибок.

Ошибка 1: «мы не работаем с персональными данными»

По распространенному (но опрометчивому) мнению, если личность пользователя не установлена, то сведения о нем не считаются персональными данными.

Но в п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон») сказано: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Некоторые суды толкуют это определение следующим образом: «персональными данными признаются такие сведения, которые позволяют идентифицировать физическое лицо. В случае если без использования дополнительной информации это сделать невозможно, то такие данные к персональным не относятся» (например, см. Апелляционное определение Липецкого областного суда от 13.09.2017 по делу № 33а-3475/20171).

Соответственно, если конкретного «юзера» возможно выделить из множества пользователей сайта по любому признаку (даже без установления его ФИО), то имеющиеся сведения о нем в совокупности целесообразно расценивать как персональные данные. Например, известно судебное дело, в котором сбор сведений о пользователях с использованием сервисов «Яндекс Метрика» и «Google Analytics» был признан обработкой персональных данных (решение Таганского районного суда города Москвы от 19.12.2018 по делу № 2-4261/2018).

Сервисы веб-аналитики формируют только обобщенную статистическую и аналитическую информацию о посещаемости торговой площадки и активности пользователей. Это не предполагает обработку персональных данных администратором маркетплейса. Но с помощью определенных настроек владелец сайта может использовать некоторые сервисы веб-аналитики для сбора сведений о конкретном пользователе (так называемый «профайлинг»). Поэтому, следуя мировым трендам, целесообразно разместить на сайте cookie-баннер и опубликовать политику о сервисах веб-аналитики, объясняющую, ведется ли с их помощью сбор персональных данных.

Ошибка 2: «мы соблюдаем закон, ведь пользователи дают согласие на обработку персональных данных, создавая личный кабинет»

Функционал торговых площадок доступен как зарегистрированным, так и незарегистрированным пользователям. Поэтому важно снабдить каждую веб-форму (а не только личный кабинет) текстом согласия на обработку вносимых данных. В деловой практике принято включать в согласие гиперссылку на опубликованную маркетплейсом политику в отношении обработки персональных данных (закон требует, чтобы эта политика всегда была доступна на сайте).

В некоторых веб-формах нужно указывать сведения о других лицах (получателе товара, уполномоченных представителях продавца и т.д.), которые никогда не были на сайте. Администратор маркетплейса обязан предоставить им довольно подробную информацию об условиях обработки их персональных данных до начала такой обработки (ч. 3 ст. 18 закона), кроме случая, когда субъект персональных данных уже был об этом уведомлен. То есть, сообщая информацию о других людях пользователь должен подтвердить маркетплейсу, что он уже уведомил этих людей и они согласны с тем, что маркетплейс будет обрабатывать их данные. Текст такого подтверждения возможно добавить в нужные веб-формы.

Иногда недостаточно поставить галочку рядом с текстом согласия. Для передачи данных из России в США, Китай и некоторые другие страны необходимо согласие на бумаге или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью (ч. 3 ст. 19 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»). Такую проблему можно решить, разместив на сайте пользовательское соглашение (договор), обосновывающий необходимость передачи данных (в рамках исполнения договора с пользователем его данные возможно направлять за границу вообще без получения согласия (пп.4 ч. 4 ст. 12 Закона).

Ошибка 3: «персональные данные передаются третьим лицам без заключения договора»

Сведения о пользователях могут также передаваться платежным агентам и банкам, рекламным агентствам, аффилированным юридическим лицам и другим организациям.

Согласно ст. 7 Закона, данные могут быть раскрыты третьему лицу только по согласию субъекта персональных данных (за некоторыми исключениями). Но для правильного оформления их передачи одного согласия недостаточно. Если контрагент оказывает маркетплейсу услуги, связанные с обработкой данных (колл-центр, рассылка персонифицированной рекламы и т.д.), то с ним нужно заключить договор на поручение обработки персональных данных (ч. 3 ст. 6 Закона), в котором необходимо отразить цели их обработки, перечень допустимых действий и т.д. Если данные покупателей передаются продавцам, которые действуют в качестве самостоятельных операторов, то это стоит указать в пользовательском соглашении.

Ошибка 4: «все базы персональных данных находятся за границей»

Собирая персональные данные граждан РФ, оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории России (есть ряд исключений, не подходящих для большинства торговых площадок, — ч. 5 ст. 18 Закона). Следовательно, только что собранные персональные данные граждан РФ должны попасть на сервер, который находится в нашей стране, откуда они могут быть скопированы на иностранный сервер для последующей обработки. Копия будет храниться на российском сервере на протяжении всего срока обработки. Это правило называют «требованием о локализации».

Ошибка 5: «российские законы не применяются к нашему маркетплейсу»

Поскольку в законе не отражено, к каким сайтам он применяется, владельцы международных маркетплейсов часто ориентируются исключительно на иностранное законодательство.

Но Минкомсвязь разъясняет, что закон применяется к сайтам, «с использованием которых лицо осуществляет направленную на территорию Российской Федерации деятельность». Таковыми считаются, например, все сайты с российскими доменными именами (.ru,.рф.,.su,.moscow и т.п.), а также иностранные сайты, переведенные на русский язык (кроме плагинов автоперевода) и отвечающие хотя бы одному дополнительному критерию:

• допускаются расчеты в рублях;
• предполагается исполнение заключенного на сайте договора в России (доставка товара, оказание услуги или пользование цифровым контентом);
• используется отсылающая к сайту реклама на русском языке;
• имеются иные обстоятельства, явно свидетельствующие о намерении владельца сайта включить российский рынок в свою бизнес-стратегию.

Подобной торговой площадке следует создать соответствующий требованиям закона отдельный сайт (раздел на сайте), и автоматически направлять туда российскую аудиторию.

Ответственность и риски

Маркетплейс может быть заблокирован по решению суда, если он содержит информацию, обрабатываемую с нарушением законодательства о персональных данных (ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Известны случаи, когда эта мера применялась к сайтам, на которых не были размещены персональные данные, но допускались нарушения при их сборе и последующей обработке.

Невыполнение требования о локализации, например, может повлечь такие штрафы:

• до 6 млн руб. (до 18 млн руб. при повторном нарушении) для компании;
• до 200 тыс. руб. (до 800 тыс. руб. при повторном нарушении) для должностных лиц (в том числе генерального директора).

Что делать

• политика в отношении обработки персональных данных с обязательным указанием сведений о реализуемых требованиях к защите
• политика о сервисах веб-аналитики;
• cookie-баннер;
• пользовательское соглашение;
• тексты согласий на обработку данных и другие юридические условия для веб-форм.

Это позволит уменьшить правовые риски, однако не исключит их полностью.

В законе содержатся и другие требования, которые остались за рамками этой статьи. Так что работа по соблюдению законодательства о персональных данных должна быть системной. К ней нужно регулярно привлекать юристов и специалистов по информационной безопасности.