Подтверждение на обработку персональных данных (152-ФЗ)

Зашел в данный модуль, а там что то про регистрацию на сайте Роскомнадзора написано.
Что, интернет-магазину надо там регистрироваться?? Например при регистрации есть пункт - Цель обработки личных данных и там список всяких вещей, где действительно данные требуются. Но мне же это ничего не нужно.

И вот еще. А почему этот модуль по умолчанию отключен? Разве не важен? Вроде бы они с GDPR не одно и то же?

Меня сейчас озаботила эта тема, апну. Мож у кого накопился опыт, тем более и законодательство и судебная практика появилась.

@ikoshkin те-же самые вопросы.
– на РФ рынке какой модль ставить “Подтверждение на обработку персональных данных (152-ФЗ)” или GDPR?!

Юридическую консультацию, особенно по законодательству и правоприменительной практике я тут дать не смогу. Но поделюсь тем, что знаю про возможности CS-Cart. В основном мой опыт касается именно GDPR; но законы о персональных данных сильно пересекаются, и развиваются примерно в одном направлении. Многое что я скажу, будет универсальным.

• Персональными данными считается любая совокупностьи информации, по которой можно определить, что тот или иной пользователь/посетитель сайта — конкретный человек.

• Персональными данными потенциально может быть не только ФИО, паспортные данные и номер телефона. При определённых условиях ими могут стать даже файлы cookie браузера. Дальше пример очень условный, за него не ручаюсь на 100%:

  Например, условный Google или Яндекс предоставляют сервисы для аналитики на сайте. Но при этом они же дают возможность пользователю зарегистрировать электронную почту. В теории, им никто не мешает, сопоставив эти данные, понять, что пользователь с таким-то email заходил в такой-то магазин.

  Поэтому европейский закон GDPR довольно давно начал требовать, чтобы на сайте была возможность указывать, на какие куки пользователь согласен или не согласен. Так как это могло бы рассматриваться как передача третьим лицам. В РФ на тот момент было достаточно предупреждать, что сайт использует куки.

• Регистрироваться в РКН, насколько я знаю, должны все, кто планирует обработку персональных данных. - Но эту информацию лучше перепроверьте в более надёжных источниках.

• Модули 152-ФЗ и GDPR мы развивали параллельно.

  • Первый появился в 2017, под требования РФ на тот момент. Там требовалась просто галка на согласие на обработку персональных данных + ссылка на политику конфиденциальности.

  • Второй появился в 2018, под требования GDPR на тот момент. Правоприменительной практики тогда ещё не сложилось, поэтому перестраховывались сильно:

    • Галка “Согласие на обработку персональных данных” тоже есть. Но согласия там сделаны атомарно. Т.е. в настройках модуля перечислены все места, где галка появляется, можно прописать свой текст, и каждое такое согласие трекается отдельно.

      Это было вызвано требованием GDPR “не обсуславливать одно согласие другим”. Мы тогда перестраховались и в каждом месте прописали разные тексты: как данные именно в этом месте используются, кто и для чего их увидит. В настройках GDPR вы можете это посмотреть.

      В итоге оказалось, что правоприменение было не таким строгим, и вроде как было достаточно оставить ссылку на общую политику конфиденциальности. Но более сложная система осталась.

    • Все согласия фиксируются в отдельной таблице в БД (чтобы была возможность сказать, кто и когда на что согласился).

    • Есть возможность по кнопке в профиле запросить анонимизацию персональных данных. Администратору приходит сообщение, и уже он решает, анонимизировать ли пользователя. Может и не анонимизировать — т.к. иногда персональные данные нужны для выполнения целей законодательства или обязательств перед клиентом (например, доставить заказ на адрес клиента).

    • ПОЗЖЕ появилась возможность запретить тем или иным сервисам ставить куки. Но это реализовано, только если разработчик соответствующего модуля подключил в своём модуле этот механизм CS-Cart. Например, мы для штатной интеграции Гугл-аналитики (и других сервисов, которые ставят куки) подобное сделали.

    Также именно в попапе выбора кук мы впервые для европейского модуля добавили ссылку на общую политику конфиденциальности (а не на отдельные плашки в разных местах).

• Мы сейчас рассматриваем вариант в одном из ближайших релизов объединить эти модули. Где-то дополнить их возможности, где-то упростить работу с ними, и т.п.

• Если выбирать, какой модуль ставить и как вообще быть, то я бы для максимально возможной перестраховки:

  • Зарегистрировался как оператор ПД.
  • Поставил модуль GDPR как более гибкий.
  • Прописал на сайте политику конфиденциальности целиком, на отдельной странице.
  • Добавил бы в текст каждой галки согласия ещё и ссылку на общую политику конфиденциальности.

Повторюсь, что это не юридическая рекомендация. Тонкостей в законодательстве (и российском, и зарубежном) много: тут и хранение ПД на определённой территории, и правила по трансграничной передаче данных, и по передаче данных третьим лицам.

1/ Очень круто, спасибо за ликбез

2/ Вот тут были бы признательны:

и еще этот JS модуль klaro который используется в GDPR считается устаревшим. Это единственный код в cs-cart который гугол помечает так.
Увидеть можно в LightHouse → Производительность → Устаревший код JavaScript

Спасибо за развернутый ответ, но я немного подушню.

О юридической составляющей роли не идет. Как раз юрист спрашивает технические вопросы. Тут просто банк предложил проверить сайты на соответствие закону

1. Для простоты давайте сайт без корзины и обратной связи. Или когда собирается только почта. Почта сама по себе не является Пд. Суть, как сделать из сайта на cs-cart сайт не собирающий никаких Пд … т е нулевой. Что бы потом легче описывать какие опции какие Пд собирают
2. Пользователь может запросить, какие персональные о нем собраны или удалить их. Где такая информация хранится и как ее можно удалить: ip, куки?
3. Служебные куки это технические куки, хорошо. Но когда клиент заходит на сайт еще до всяких уведомлений и так определяется и IP и куки … т е все определяется и так без всяких согласий. Если это технические то к персональным данным не относится, а эти технические куки как то привязаны к определяемому IP? … эту информацию нужно знать, и как это узнать как не от разработчика. В принципе это должно быть описано в характеристиках продукта как и требования к хостингу.

С метриками да, это понятно … гугул метрику уже снес, запрашивать трансграничную передачу Пд еще та затея.

По поводу телефона и мыла есть решение ВС, что сами по себе они персональными данными не являются т е если на сайте используется форма обратной связи с емайлом, то пожалуйста, можно.

Просто зарегистрироваться, евреев в германии тоже сначала попросили просто зарегистрироваться. Есть же требования к хранению персональных данных … все их соблюдают?

Я отвечу на те пункты, на которые могу быстро ответить. Некоторые вопросы всё-таки подпадают под “юридическую консультацию”; а некоторые вопросы скорее относятся к компетенциям нашей службы поддержки и требуют довольно глубокого погружения.

Прокомментирую то, что могу прокомментировать сейчас, в основном конкретику.

Это как раз одна из вещей, которые реализует модуль GDPR. Подробнее описано вот тут: Соответствие GDPR (Общему регламенту по защите данных в ЕС) — Документация docs.cs-cart.ru 4.20.x

Пока пользователь не ввёл какие-то данные, по которому мы его можем однозначно определить как то или иное физлицо, то согласие мы не запрашиваем. Оно запрашивается при регистрации пользователя и при оформлении заказа (и в некоторых других случаях, описанных в настройках модуля GDPR), а вы уже можете прописать, какие данные вы запрашиваете (например, какие поля профиля у вас есть), и зачем.

Мы постарались сделать так, чтобы тексты согласий из GDPR понятно объясняли клиентам, что и зачем мы запрашиваем. И если сервисы проставляют куки, то мы тоже пишем, что это за сервис, и даём ссылку на его политику конфиденциальности.

IP-адрес, даже в сочетании со служебными куками скорее всего ещё не являются персональными данными. Особенно раз вы говорите, что есть решение ВС по телефону и email.

Согласие на необязательные куки (и запрет на проставление кук от сторонних сервисов) реализует модуль GDPR, как раз через Klaro, о котором выше писали. При этом некоторые куки там относятся к категории обязательных, т.е. необходимых для того, чтобы сайт функционировал. Например, куки платёжных систем, без которых оплата не сработает.

По поводу ВС Определение Верховного Суда РФ от 21 июля 2023 г. N 305-ЭС23-12160 по делу N А40-139096/2022 Об отказе в передаче жалобы в Судебную коллегию Верховного Суда Российской Федерации | Документы ленты ПРАЙМ: ГАРАНТ.РУ можно посмотреть само дело А40 … там более подробнее описано.(Постановление от 30 марта 2023 г. по делу № А40-139096/2022 :: СудАкт.ру)

Модуль GDPR сделан хорошо, единственно удалив метрику яндекса он все равно про нее спрашивает. eComLabs предложил способ исправить, пока не пробовал.

Назовем обязательные куки техническими, их не нужно заявлять … IP сколько по времени их хранит и куда то записывает в базу? насколько я понимаю не записывает и не привязывает к пользователю.

Или вот, ab_device я так понял куки АБ, они трансграничные?

Хотелось бы вообще видеть инструкцию по кукам cs-cart. А то опять пинпонг, юрист: ты узнай у программистов, а программисты: ты узнавай у юристов. А суды периодически меняют свое мнение.

PS. метрику яндекса удалил, отключил все сторонние модули, модуль GDPR переустановит а уведомления яндекса (в усеченном виде, все равно вылазит) Отключить собирать cookie - #4 от пользователя alexsei_8
версия 4.17.2 sp3
на 4.16.2 тоже упоминает яндекс хотя там он тоже удален …

Да GDPR глючит когда удаляешь модули, не перестраивается.

спасибо, а то я перебрал все возможные вариант
значит дождемся понедельника и ikoshkin … посмотрим, что он порекомендует.

@ikoshkin когда будете наводить порядок в GDPR пожалуйста обновите по возможности саму библиотеку klaro

Вопрос к @ikoshkin … это действительно так? ИИ выдал:

Klaro, как инструмент управления согласиями (Consent Management Platform - CMP), часто используется на веб-сайтах для обработки файлов cookie. Поскольку Klaro часто является зарубежным сервисом или хранит настройки пользователей, это может считаться трансграничной передачей персональных данных

Это не так. Никакие данные по кукам из вашего сайта в сервисы и на сервера Klaro не передаются. Когда мы делали согласие на куки, мы специально искали варианты, которые не добавят зависимости от какого-то сервиса и не требуют дополнительной платы.

Klaro действительно предлагает облачные решения по персональным данным. Т.е. сканировать за вас куки, которые на сайте использовать; хранить согласия клиентов, и т.п. На их сайте можете подробнее посмотреть.

Но также Klaro предлагают и Open-Source вариант своего решения, который можно встраивать в продукты, и который на их серверы не завязан. Мы реализовали именно такой вариант — с облачными онлайн-сервисами Klaro никакого взаимодействия нет.

Это накладывает на разработчиков сторонних модулей определённые требования: надо знать, проставляют ли модули куки; и учитывать механизмы ограничения кук, как это сделано в штатных модулях CS-Cart. Но зато клиентам не нужно дополнительно платить за сторонний сервис или как-то взаимодействовать с ещё одной компанией.

@ikoshkin Большое спасибо за развернутый ответ. Вот хотелось бы больше такой информации. Кто как не разработчик может предоставить такие данные.
По хорошему в описании каждого модуля указывать подобные характеристики: обрабатываются ли персональные данные, какие, как и где хранятся.
Гугл капча штатная, что у нее по ПП?