Все это — онлайн, с заботой о вас и по отличным ценам.
Является ли передача ему email клиента для отправки доступа и чека нарушением?
Здравствуйте! Прошу проконсультировать по вопросу обработки персональных данных при продаже цифровых товаров.
Суть:Я продаю цифровые продукты (файлы, доступы) через сайт. Форма заказа собирает два поля:
1. Email (обязательно)— для отправки купленного товара и кассового чека.
2. Имя (необязательно) — для персонализированного обращения в сопроводительных письмах.
Цель обработки: Исключительно исполнение договора купли-продажи (публичной оферты), который клиент заключает по своей инициативе, нажимая «Купить».
Вопросы:
1. Обязан ли я получать отдельное согласие (отдельный чекбокс) на обработку персональных данных в этой форме?
*Для email: По моему пониманию, обработка необходима для исполнения договора, что является самостоятельным основанием по п. 4 ч. 1 ст. 6 152-ФЗ, и отдельное согласие субъекта не требуется. Верно ли это?
*Для имени: Поскольку имя не является технически необходимым для отправки файла, попадает ли его обработка под то же основание? Если нет, достаточно ли для легитимности его обработки:
* а) Того, что поле «Имя» является необязательным,
* б) И того, что в принимаемой клиентом публичной оферте прямо указано, что предоставление и обработка имени предназначены для персонализации сервиса и являются частью договора?
2. Соответствует ли закону практика оформления согласия *одним* чекбоксом, объединяющим принятие оферты и согласие с Политикой конфиденциальности (как это делают многие)? Или в моём случае достаточно *только* галочки о принятии оферты, так как обработка email основана на п. 4 ст. 6?
3. Дополнительно: Для технической отправки писем я использую сервис для автоматической отправки письма с доступом к продукту после оплаты (сервис российский). Является ли передача ему email клиента для отправки доступа и чека нарушением? На мой взгляд, это подпадает под ч. 2 ст. 6 152-ФЗ (привлечение оператора по договору).
Прошу дать разъяснения с ссылками на конкретные нормы 152-ФЗ и актуальную правоприменительную практику (в т.ч. Роскомнадзора) для каждого пункта. Цель — выстроить абсолютно корректную с юридической точки зрения форму заказа, минимизирующую риски.
Здравствуйте, Артур! В описанной ситуации ваша позиция в целом верна. Обработка email для передачи цифрового товара и кассового чека осуществляется в целях исполнения договора купли-продажи, заключённого по инициативе клиента, поэтому отдельное согласие не требуется — это допустимо на основании п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
Что касается имени, если поле является необязательным, а в публичной оферте прямо указано, что имя используется только для персонализации сервиса и является частью договорных условий, его обработка также может быть обоснована исполнением договора и не требует отдельного согласия.
В этом случае достаточно одной галочки о принятии оферты, при условии свободного доступа к Политике конфиденциальности (ст. 18.1 № 152-ФЗ). Передача email сервису автоматической отправки писем правомерна при наличии договора поручения на обработку ПД и соблюдении целей обработки (ч. 3 ст. 6 № 152-ФЗ).