Оформление страницы оплаты через систему быстрых платежей
Анализ ситуации
При использовании системы быстрых платежей (СБП) на стороне интернет-магазина действительно не происходит прямого сбора персональных данных клиента - пользователь только выбирает банк для списания средств, а сами реквизиты не вводятся на вашей платформе. Однако это не означает полное отсутствие обработки персональных данных.
Применимые правовые нормы
О персональных данных
Согласно Федеральному закону № 152-ФЗ "О персональных данных":
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Статья 3, пункт 1)
"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ)" (Статья 3, пункт 3)
Даже если вы не собираете данные напрямую, но получаете через СБП информацию, позволяющую идентифицировать клиента (например, номер телефона, идентификатор операции), это может считаться обработкой персональных данных.
Обязанности оператора
"При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона" (Статья 18, пункт 1)
"Если персональные данные получены не от субъекта персональных данных, оператор [...] до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: наименование либо фамилию, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные настоящим Федеральным законом права субъекта персональных данных; источник получения персональных данных" (Статья 18, пункт 3)
Исключения из обязанности уведомления
Оператор освобождается от обязанности предоставить указанные сведения, если:
"персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Статья 18, пункт 4.2)
О национальной платежной системе
"Операторы по переводу денежных средств, банковские платежные агенты (субагенты) [...] обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации" (Федеральный закон № 161-ФЗ, статья 27, пункт 1)
Выводы и рекомендации
-
Обязанность информирования: Поскольку обработка персональных данных происходит в рамках исполнения договора купли-продажи (оплата товара), вы можете быть освобождены от обязанности предоставлять отдельное уведомление об обработке персональных данных на странице оплаты.
-
Рекомендуемые меры:
- Разместите ссылку на политику обработки персональных данных на странице оплаты
- Убедитесь, что в пользовательском соглашении и политике конфиденциальности вашего сайта прописан порядок обработки данных при проведении платежей
- Укажите контактные данные для вопросов о защите персональных данных
-
Требования СБП: Хотя прямого требования размещать уведомления о конфиденциальности именно на странице оплаты в предоставленном контексте не обнаружено, общие обязанности по защите персональных данных сохраняются.
-
Согласие на обработку: Отдельное согласие на обработку персональных данных при оплате через СБП не требуется, так как обработка осуществляется в рамках исполнения договора.
Для полной уверенности в compliance-соответствии рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных и платежного законодательства, для анализа конкретной реализации вашей платежной системы.
