Требования к конфиденциальности на странице оплаты через СБП при минимальном сборе данных

<h2 id="_1">Оформление страницы оплаты через систему быстрых платежей</h2> <h3 id="_2">Анализ ситуации</h3> <p>При использовании системы быстрых платежей (СБП) на стороне интернет-магазина действительно не происходит прямого сбора персональных данных клиента - пользователь только выбирает банк для списания средств, а сами реквизиты не вводятся на вашей платформе. Однако это не означает полное отсутствие обработки персональных данных.</p> <h3 id="_3">Применимые правовые нормы</h3> <h4 id="_4">О персональных данных</h4> <p>Согласно Федеральному закону № 152-ФЗ "О персональных данных":</p> <blockquote> <p>"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Статья 3, пункт 1)</p> <p>"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ)" (Статья 3, пункт 3)</p> </blockquote> <p>Даже если вы не собираете данные напрямую, но получаете через СБП информацию, позволяющую идентифицировать клиента (например, номер телефона, идентификатор операции), это может считаться обработкой персональных данных.</p> <h4 id="_5">Обязанности оператора</h4> <blockquote> <p>"При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона" (Статья 18, пункт 1)</p> <p>"Если персональные данные получены не от субъекта персональных данных, оператор [...] до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: наименование либо фамилию, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные настоящим Федеральным законом права субъекта персональных данных; источник получения персональных данных" (Статья 18, пункт 3)</p> </blockquote> <h4 id="_6">Исключения из обязанности уведомления</h4> <p>Оператор освобождается от обязанности предоставить указанные сведения, если:</p> <blockquote> <p>"персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Статья 18, пункт 4.2)</p> </blockquote> <h4 id="_7">О национальной платежной системе</h4> <blockquote> <p>"Операторы по переводу денежных средств, банковские платежные агенты (субагенты) [...] обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации" (Федеральный закон № 161-ФЗ, статья 27, пункт 1)</p> </blockquote> <h3 id="_8">Выводы и рекомендации</h3> <ol> <li> <p><strong>Обязанность информирования</strong>: Поскольку обработка персональных данных происходит в рамках исполнения договора купли-продажи (оплата товара), вы можете быть освобождены от обязанности предоставлять отдельное уведомление об обработке персональных данных на странице оплаты.</p> </li> <li> <p><strong>Рекомендуемые меры</strong>:<br /> - Разместите ссылку на политику обработки персональных данных на странице оплаты<br /> - Убедитесь, что в пользовательском соглашении и политике конфиденциальности вашего сайта прописан порядок обработки данных при проведении платежей<br /> - Укажите контактные данные для вопросов о защите персональных данных</p> </li> <li> <p><strong>Требования СБП</strong>: Хотя прямого требования размещать уведомления о конфиденциальности именно на странице оплаты в предоставленном контексте не обнаружено, общие обязанности по защите персональных данных сохраняются.</p> </li> <li> <p><strong>Согласие на обработку</strong>: Отдельное согласие на обработку персональных данных при оплате через СБП не требуется, так как обработка осуществляется в рамках исполнения договора.</p> </li> </ol> <p>Для полной уверенности в compliance-соответствии рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных и платежного законодательства, для анализа конкретной реализации вашей платежной системы.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>