Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Медицинское право

Нужен юрист по защите персональных данных: консультация для бизнеса

Привет, срочно нужен специалист по защите и хранению персональных данных. У нас тут интернет-магазин работает в Екатеринбурге, и мы как-то не заморачивались раньше, а теперь думаем, что с клиентскими данными делать, чтобы закон не нарушить. Собираем адреса, телефоны при заказах, ещё карточки платежные через сторонний сервис обрабатываем – в общем, полный набор. Хочется подробно проконсультироваться: как правильно хранить, какие меры безопасности нужны, может, есть какие-то тонкости с облачными хранилищами или при передаче данных партнёрам. Если кто знает, подскажите, пожалуйста, или дайте контакт грамотного человека, который разберётся и объяснит всё по-человечески.

Вопрос №29864Ответы: 1
10.12.2025
Аватар НейроадвокатаНейроадвокат
Медицинское правоНужен документ
Приведение деятельности интернет-магазина в соответствие с законодательством о защите персональных данных

Анализ ситуации

Ваш интернет-магазин, собирающий адреса, телефоны клиентов и обрабатывающий платежные данные через сторонний сервис, является оператором персональных данных. Согласно закону, оператор — это юридическое лицо, самостоятельно организующее и осуществляющее обработку персональных данных, а также определяющее цели их обработки.

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 3).

Обработка включает любые действия с данными, включая сбор, хранение и передачу.

"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных" (Источник: Федеральный закон "О персональных данных", статья 3).

Базовые требования к организации обработки данных

  1. Законность и определенность целей: Обработка должна иметь конкретную, заранее определенную цель. Для интернет-магазина это исполнение договора купли-продажи (доставка, расчеты). Обработка данных в иных целях (например, для рассылки рекламы) требует отдельного согласия клиента.

    "Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей" (Источник: Федеральный закон "О персональных данных", статья 5).
    "Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи... допускается только при условии предварительного согласия субъекта персональных данных" (Источник: Федеральный закон "О персональных данных", статья 15).

  2. Правовое основание: Обработка данных клиентов для исполнения договора (оформления и доставки заказа) допускается без отдельного согласия, но при условии, что договор не ограничивает права клиента.

    "обработка персональных данных необходима для исполнения договора, стороной которого... является субъект персональных данных" (Источник: Федеральный закон "О персональных данных", статья 6).

  3. Назначение ответственного: Юридическое лицо обязано назначить ответственного за организацию обработки персональных данных.

    "Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 22.1).

  4. Информирование субъектов данных: При сборе данных оператор обязан предоставить клиенту информацию о себе, целях обработки и его правах.

    "При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию... о наименовании... оператора, цели обработки... прав субъекта персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18).

Технические и организационные меры безопасности

Оператор обязан принимать необходимые и достаточные меры для защиты данных. Конкретный перечень мер оператор определяет самостоятельно, но закон дает ориентиры.

  1. Принятие внутренних документов: Необходимо разработать и утвердить политику в отношении обработки персональных данных и локальные акты, определяющие процедуры обработки и защиты.

    "издание оператором... документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1).

  2. Комплекс мер безопасности: Должны быть применены правовые, организационные и технические меры для защиты от неправомерного доступа. К ним относятся:

    • Определение угроз безопасности.
    • Применение сертифицированных средств защиты информации.
    • Установление правил доступа к данным и учет всех действий с ними.
    • Обнаружение и ликвидация последствий компьютерных атак.
    • Восстановление данных после инцидентов.

    "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры... для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон "О персональных данных", статья 19).
    "применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации" (Источник: Федеральный закон "О персональных данных", статья 19).

    Важно: Использование несертифицированных средств защиты, если они подлежат обязательной сертификации, влечет административную ответственность.

    "Использование несертифицированных... средств защиты информации, если они подлежат обязательной сертификации... - влечет наложение административного штрафа... на юридических лиц - от пятидесяти тысяч до ста тысяч рублей" (Источник: Кодекс об административных правонарушениях, статья 13.12).

  3. Требование к размещению баз данных: При использовании облачных хранилищ или любого хостинга базы данных с персональными данными граждан РФ должны находиться на территории Российской Федерации.

    "нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор... персональных данных граждан Российской Федерации" (Источник: Федеральный закон "Об информации, информационных технологиях и о защите информации", статья 16).
    Это ключевая "тонкость" при выборе облачного провайдера или хостинга.

Правовые основы передачи данных третьим лицам

При передаче данных платежному сервису или иному партнеру (например, службе доставки) вы остаетесь оператором и несете ответственность перед клиентом.

  1. Оформление поручения: Передача должна быть оформлена договором (поручением оператора), в котором четко определены:

    • Перечень передаваемых данных и действий с ними.
    • Цели обработки.
    • Обязанность третьего лица соблюдать конфиденциальность и требования закона.
    • Требования к защите данных.

    "Оператор вправе поручить обработку персональных данных другому лицу... на основании заключаемого с этим лицом договора... В поручении оператора должны быть определены перечень действий (операций) с персональными данными... цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность... требования к защите" (Источник: Федеральный закон "О персональных данных", статья 6).

  2. Ответственность: Ответственность перед клиентом за действия вашего партнера (платежного сервиса) несете вы как оператор.

    "В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор" (Источник: Федеральный закон "О персональных данных", статья 6).

Взаимодействие с Роскомнадзором и необходимая документация

  1. Уведомление об обработке данных: До начала обработки вы обязаны направить уведомление в Роскомнадзор (уполномоченный орган). Для некоторых случаев есть исключения (например, обработка только для исполнения договора с самим субъектом данных), но учитывая возможные разнообразные цели и объем данных интернет-магазина, уведомление, как правило, требуется.

    "Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных" (Источник: Федеральный закон "О персональных данных", статья 22).

  2. Правоохранительные полномочия Роскомнадзора: Уполномоченный орган вправе проводить проверки, запрашивать информацию, а в случае нарушений — требовать их устранения, блокировать данные и привлекать к ответственности.

    "Уполномоченный орган по защите прав субъектов персональных данных имеет право: запрашивать... информацию... осуществлять проверку... требовать от оператора уточнения, блокирования или уничтожения... персональных данных" (Источник: Федеральный закон "О персональных данных", статья 23).

  3. Обязанности при запросах: Вы обязаны отвечать на запросы клиентов о их данных, а также на запросы Роскомнадзора в установленные короткие сроки (10-15 рабочих дней).

    "Оператор обязан сообщить... субъекту персональных данных... информацию о наличии персональных данных... в течение десяти рабочих дней" (Источник: Федеральный закон "О персональных данных", статья 20).
    Непредставление такой информации влечет административную ответственность.

Выводы и конкретные рекомендации

  1. Назначьте ответственного. Издайте приказ о назначении сотрудника, ответственного за организацию обработки ПДн.
  2. Разработайте пакет документов: Политика обработки ПДн, формы согласий на обработку (особенно для маркетинга), инструкции для сотрудников, реестр обращений субъектов ПДн.
  3. Обеспечьте безопасность: Проведите оценку угроз. Убедитесь, что используемые средства защиты информации (межсетевые экраны, антивирусы, системы контроля доступа) сертифицированы ФСТЭК и/или ФСБ России. Организуйте учет машинных носителей.
  4. Проверьте инфраструктуру: Удостоверьтесь, что серверы или облачные ресурсы, где физически хранятся базы данных с информацией о клиентах-гражданах РФ, расположены на территории России.
  5. Оформите отношения с партнерами: Заключите со всеми сторонними сервисами (платежными, доставки, CRM) договоры, соответствующие требованиям ст. 6 152-ФЗ (поручение оператора).
  6. Подайте уведомление в Роскомнадзор. Подготовьте и направьте уведомление об обработке ПДн через сайт Роскомнадзора или в бумажном виде.
  7. Опубликуйте политику. Разместите документ, определяющий вашу политику в отношении обработки ПДн, на сайте магазина в доступном месте.

    "Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать... документ, определяющий его политику в отношении обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1).

  8. Будьте готовы к инцидентам. Имейте регламент действий при утечке данных, включая уведомление Роскомнадзора в течение 24 часов.

    "оператор обязан... в течение двадцати четырех часов... уведомить уполномоченный орган по защите прав субъектов персональных данных" (Источник: Федеральный закон "О персональных данных", статья 21).

Учитывая комплексность задачи и серьезность последствий нарушений (крупные штрафы, возможное блокирование сайта), для детальной проработки всех документов и построения системы защиты настоятельно рекомендуется обратиться к адвокату или специализированной компании, имеющей опыт в 152-ФЗ.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение