Персональные данные клиентов в ПВЗ: обязательные документы

Каждый пункт выдачи заказов ежедневно работает с персональными данными клиентов. ФИО, номера телефонов, адреса, паспортные данные при верификации — всё это информация, которая охраняется законом. Если у ПВЗ нет обязательных документов по защите персональных данных, владельцу грозят серьёзные штрафы. Разберёмся, какие именно документы нужны и как привести всё в порядок без юриста.

Почему персональные данные ПВЗ — зона риска

Пункт выдачи заказов — это полноценный оператор персональных данных. Неважно, работаете вы с Wildberries, Ozon, СДЭК или другими сервисами: вы получаете, храните и используете информацию о клиентах.

Закон о персональных данных для бизнеса (152-ФЗ) распространяется на каждый ПВЗ без исключений. При этом ответственность несёт не маркетплейс, а именно владелец конкретного пункта выдачи — как самостоятельный оператор.

Какие данные клиентов обрабатывает типичный ПВЗ:

• ФИО получателя заказа
• Номер телефона
• Код получения или номер заказа, привязанный к личности
• Паспортные данные (при возвратах, верификации, выдаче отдельных категорий товаров)
• Электронная почта
• В некоторых случаях — данные банковских карт

Многие владельцы ПВЗ ошибочно считают, что раз данные поступают через систему маркетплейса, то и ответственность лежит на платформе. Это не так. Роскомнадзор проверяет каждого участника цепочки отдельно.

Какие документы ПДн для пункта выдачи обязательны

Закон требует от каждого оператора персональных данных наличие конкретного пакета документов. Вот полный перечень того, что должно быть у ПВЗ.

1. Политика обработки персональных данных

Политика обработки персональных данных ПВЗ — это базовый документ, без которого работать нельзя в принципе. Он должен быть:

• Составлен в письменной форме
• Размещён в открытом доступе (на сайте, если он есть, и в самом пункте выдачи)
• Доступен для ознакомления любому клиенту

В политике указывается, какие данные вы собираете, зачем, как обрабатываете, кому можете передавать, как храните и когда уничтожаете.

Частая ошибка: скачать шаблон из интернета и подставить своё название. Такие документы не учитывают специфику работы именно ПВЗ и при проверке не выдерживают критики.

2. Согласие на обработку данных пункт выдачи

Получать согласие на обработку данных пункт выдачи обязан в тех случаях, когда обработка выходит за рамки исполнения договора. Например:

• Если вы отправляете клиентам SMS-уведомления от своего имени
• Если ведёте собственную клиентскую базу
• Если используете камеры видеонаблюдения с возможностью идентификации
• Если передаёте данные третьим лицам, не указанным в основном договоре

Форма согласия должна быть конкретной: общие фразы вроде «согласен на всё» не имеют юридической силы.

3. Приказ о назначении ответственного за обработку ПДн

Должен быть конкретный человек, отвечающий за организацию обработки персональных данных. Для ИП с одним ПВЗ это обычно сам предприниматель. Для ООО с несколькими точками — назначенный сотрудник.

4. Уведомление Роскомнадзора

С 1 сентября 2022 года требования ужесточились. Оператор обязан уведомить Роскомнадзор о начале обработки персональных данных. Делается это через портал ведомства, но к уведомлению нужно приложить информацию, которая берётся из уже готовых внутренних документов.

5. Внутренние регламенты и инструкции

Сюда входят:

• Положение об обработке персональных данных (внутренний документ, более детальный, чем политика)
• Регламент реагирования на инциденты (утечки, потери данных)
• Инструкции для сотрудников, имеющих доступ к данным клиентов
• Обязательства о неразглашении для каждого сотрудника
• Журнал учёта обращений субъектов персональных данных

6. Модель угроз и оценка вреда

С 2023 года оператор обязан проводить оценку вреда, который может быть причинён субъектам персональных данных. Документ описывает, какие риски существуют и какие меры приняты для их минимизации.

Штраф за персональные данные: что грозит ПВЗ

Размеры штрафов за нарушение законодательства о персональных данных существенно выросли в последние годы и продолжают расти.

Действующие штрафы:

Важно: с 2024–2025 годов обсуждаются и вводятся оборотные штрафы за утечки — до 3% от годовой выручки компании. Для сети ПВЗ это может означать катастрофические суммы.

Штраф за персональные данные — это не единственная проблема. Роскомнадзор может потребовать прекратить обработку, что фактически парализует работу пункта выдачи. Клиенты также могут подать индивидуальные иски о компенсации морального вреда.

Типичные нарушения в ПВЗ, которые выявляют проверки

На практике Роскомнадзор и прокуратура чаще всего фиксируют следующие проблемы:

Отсутствие документов как таковых. Владелец ПВЗ вообще не знал, что нужна политика обработки, согласия и внутренние регламенты. Это самая распространённая ситуация.

Документы есть, но формальные. Скачанные из интернета шаблоны, которые не отражают реальные процессы конкретного ПВЗ. В политике написано одно, а на практике происходит другое.

Сотрудники не проинструктированы. Нет подписанных обязательств о неразглашении, нет инструкций по работе с данными. Сотрудник может обсуждать заказы клиентов, оставлять экраны с данными без присмотра, фотографировать накладные.

Данные хранятся дольше, чем нужно. Клиент забрал заказ, а его данные остаются в тетрадке или локальной базе ПВЗ без ограничений по сроку.

Нет уведомления в Роскомнадзор. Многие операторы просто не подали уведомление, хотя обязаны были это сделать.

Камеры видеонаблюдения без оформления. Если камера фиксирует лица клиентов, это тоже обработка биометрических персональных данных, требующая отдельного оформления.

Как подготовить документы: пошаговый план

Шаг 1. Аудит текущей ситуации

Определите, какие именно данные вы собираете и обрабатываете. Пройдите весь путь клиента от момента, когда он приходит в ПВЗ, до получения заказа. Зафиксируйте каждую точку, где возникает контакт с персональными данными.

Шаг 2. Подготовка полного пакета документов

На основании аудита нужно составить:

• Политику обработки персональных данных
• Положение об обработке ПДн
• Формы согласий
• Приказы
• Инструкции для сотрудников
• Обязательства о неразглашении
• Оценку вреда
• Регламент реагирования на инциденты

Шаг 3. Уведомление Роскомнадзора

Подайте уведомление через портал Роскомнадзора. Для этого понадобятся данные из уже подготовленных документов.

Шаг 4. Обучение сотрудников

Проведите инструктаж, соберите подписи под обязательствами о неразглашении и инструкциями.

Шаг 5. Внедрение и контроль

Разместите политику в доступном месте, внедрите регламенты в повседневную работу, назначьте контрольные проверки.

Платформа Bejure.ru: документация для ПВЗ без лишних затрат

Подготовка полного пакета документов по персональным данным — задача, которая требует глубокого знания законодательства и понимания специфики работы ПВЗ. Обращение к юристу может стоить десятки тысяч рублей, а самостоятельная подготовка грозит ошибками, которые обнаружатся только при проверке.

Платформа Bejure.ru решает все сложности с документацией по персональным данным для пунктов выдачи заказов.

Что вы получаете:

• Готовый пакет документов, разработанный с учётом специфики работы ПВЗ и актуального законодательства
• Политику обработки персональных данных, адаптированную под ваш бизнес, а не формальную отписку
• Формы согласий на обработку данных, которые действительно защищают в случае проверки
• Внутренние регламенты и инструкции, готовые к немедленному внедрению
• Приказы, обязательства о неразглашении и журналы учёта — всё, что требует Роскомнадзор
• Актуальность документов: при изменении законодательства вы получаете обновлённые версии

На Bejure.ru вам не нужно разбираться в тонкостях 152-ФЗ и десятков подзаконных актов. Платформа формирует полный комплект документов, который соответствует требованиям закона и готов к предъявлению при любой проверке. Это быстрее, дешевле и надёжнее, чем самостоятельное составление или разовая консультация юриста.

Итог

Персональные данные ПВЗ — это не абстрактная тема, а конкретная зона ответственности каждого владельца пункта выдачи. Без правильно оформленных документов вы рискуете получить штрафы, предписания и даже приостановку деятельности. Закон о персональных данных для бизнеса не делает исключений для маленьких точек — требования одинаковы для всех.

Не откладывайте оформление документов до момента проверки. Подготовьте полный пакет документов ПДн для пункта выдачи заранее — с помощью платформы Bejure.ru это можно сделать быстро, правильно и без лишних затрат.

Защита персональных данных при работе с разными маркетплейсами

Работа ПВЗ почти всегда связана с одним или несколькими маркетплейсами, и каждая платформа предъявляет собственные требования к обращению с данными клиентов. Важно понимать, что юридически владелец пункта выдачи находится на стыке двух зон ответственности: требований федерального законодательства и договорных обязательств перед маркетплейсом. Игнорирование любой из этих зон создаёт риски — от штрафов Роскомнадзора до расторжения партнёрского договора с платформой.

Разграничение ролей: оператор и обработчик

В терминах 152-ФЗ существует два ключевых понятия — оператор персональных данных и лицо, обрабатывающее данные по поручению оператора. Маркетплейс, как правило, выступает основным оператором: именно он собирает данные клиента при оформлении заказа на сайте или в приложении. Однако в момент, когда информация о заказе поступает в систему ПВЗ — на экран терминала, в накладную, в сканер — пункт выдачи становится либо самостоятельным оператором, либо обработчиком по поручению.

Статус зависит от конкретного договора с маркетплейсом и от того, какие дополнительные действия с данными совершает ПВЗ. Если пункт выдачи просто отображает информацию из системы платформы и не сохраняет её в собственных базах, он может квалифицироваться как обработчик. Но если ПВЗ ведёт собственный учёт клиентов, фиксирует данные в журналах, собирает подписи, хранит копии документов — это уже полноценный оператор с полным набором обязанностей.

На практике большинство ПВЗ являются самостоятельными операторами, потому что так или иначе фиксируют данные за пределами системы маркетплейса. Даже бумажная тетрадка с записями «Иванов — заказ 12345 — выдан» — это обработка персональных данных.

Wildberries: что нужно учитывать владельцу ПВЗ

Wildberries — крупнейший маркетплейс в России по числу пунктов выдачи. Партнёрский договор с платформой содержит пункты об обязанности соблюдать законодательство о персональных данных, но конкретный перечень документов, которые должен подготовить владелец ПВЗ, в договоре, как правило, не расшифрован.

Это означает, что ответственность за формирование полного пакета документации ложится на самого предпринимателя. Wildberries передаёт в систему ПВЗ минимально необходимый набор данных для идентификации заказа и получателя, но даже этот минимум — ФИО и номер телефона — уже является персональными данными и требует надлежащего оформления.

Особые моменты при работе с Wildberries:

• Возвраты товаров часто требуют дополнительной верификации клиента, что может включать проверку паспортных данных. Если сотрудник ПВЗ видит паспорт и фиксирует данные из него — это обработка, которая должна быть отражена в документах.
• Система Wildberries фиксирует выдачу по QR-коду или пин-коду клиента. Сам код привязан к конкретному человеку, а значит является персональными данными в связке с другой информацией.
• Фото- и видеофиксация процесса выдачи и возврата, которую ведут многие ПВЗ для защиты от спорных ситуаций, — это отдельный пласт обработки, требующий правового обоснования.

Ozon: специфика работы с данными

Ozon использует несколько иную модель работы с ПВЗ. Пункты выдачи могут быть как собственными, так и партнёрскими, и договорные условия различаются. Для партнёрских ПВЗ Ozon предусматривает передачу данных через собственную информационную систему, однако обязанности по защите этих данных на стороне пункта выдачи остаются на владельце.

Что важно учитывать:

• Ozon может передавать более расширенный набор данных клиента в зависимости от категории товара и способа доставки. Для некоторых заказов требуется полная верификация личности, что увеличивает объём обрабатываемых ПДн.
• Партнёрское соглашение с Ozon обычно содержит требование о соответствии 152-ФЗ. При выявлении нарушений платформа вправе приостановить сотрудничество — то есть даже без проверки Роскомнадзора можно потерять бизнес.
• Интеграция с системой Ozon предполагает использование конкретного программного обеспечения. Владелец ПВЗ должен убедиться, что это ПО соответствует требованиям по защите данных, и отразить это в модели угроз.

СДЭК и другие логистические службы

ПВЗ, работающие как пункты выдачи СДЭК и других логистических операторов, обрабатывают ещё более широкий спектр данных. Здесь клиенты нередко предъявляют паспорт для получения посылки, оставляют подписи на бумажных бланках, а иногда — заполняют формы с указанием полного адреса, даты рождения и паспортных реквизитов.

Ключевые особенности:

• Бумажные бланки с подписями клиентов и паспортными данными — это физические носители персональных данных. Они требуют отдельного порядка хранения: запирающийся шкаф или сейф, ограниченный доступ, установленные сроки хранения и порядок уничтожения.
• Если ПВЗ принимает отправления (а не только выдаёт), то объём собираемых данных возрастает: отправитель указывает данные получателя, и пункт выдачи фиксирует их в своей системе.
• Взаимодействие с несколькими логистическими партнёрами одновременно означает, что потоки данных множатся, и документация должна учитывать каждый из этих потоков отдельно.

Мультибрендовые ПВЗ: суммирование рисков

Распространённая модель бизнеса — пункт выдачи, который одновременно работает с несколькими маркетплейсами и логистическими службами. Такой ПВЗ получает данные клиентов из разных источников, обрабатывает их в разных системах и подчиняется разным договорным условиям.

С точки зрения законодательства о персональных данных, мультибрендовый ПВЗ остаётся единым оператором. Но его документация должна покрывать все каналы поступления данных. Политика обработки персональных данных должна перечислять все источники, все цели обработки, все категории данных по каждому партнёру.

Что это означает на практике:

• Политика обработки ПДн не может быть одностраничным документом. Она должна детально описывать процессы для каждого направления работы.
• Формы согласий могут потребоваться разные — в зависимости от того, какие данные и для каких целей обрабатываются в рамках каждого партнёрства.
• Модель угроз должна учитывать все информационные системы, используемые в ПВЗ: терминал Wildberries, приложение Ozon, систему СДЭК, локальную CRM (если есть), видеонаблюдение, мессенджеры (если через них идёт коммуникация с клиентами).

Передача данных между системами: скрытая зона риска

Отдельная проблема, которую владельцы ПВЗ часто не осознают, — это передача данных между информационными системами. Например, сотрудник копирует номер телефона клиента из системы маркетплейса в мессенджер, чтобы отправить уведомление. Или выгружает список невостребованных заказов с ФИО в Excel-файл на обычном компьютере без пароля.

Каждое такое действие — это передача и дополнительная обработка персональных данных. И каждое должно быть предусмотрено внутренними документами. Если регламент не описывает, какими каналами можно передавать данные, а какими нельзя, — это нарушение.

Примеры ситуаций, создающих риск:

• Отправка клиенту SMS или сообщения в WhatsApp с личного телефона сотрудника. Номер клиента оказывается на устройстве, которое не контролируется работодателем, не защищено паролем и может быть утеряно.
• Хранение фотографий накладных в галерее смартфона. Сотрудники иногда фотографируют документы «для удобства» или «на всякий случай». Эти фото содержат персональные данные и могут попасть в облачное хранилище, к которому имеют доступ посторонние.
• Использование общих учётных записей. Если несколько сотрудников ПВЗ работают под одним логином в системе маркетплейса, невозможно установить, кто именно получил доступ к конкретным данным в случае инцидента.
• Переписка в рабочих чатах. Обсуждение проблемных заказов с указанием ФИО и номеров телефонов в групповом чате — это распространение персональных данных среди лиц, которые могут не иметь на то правовых оснований.

Как правильно оформить документы с учётом мультиплатформенности

Чтобы документация по персональным данным действительно защищала бизнес, она должна отражать реальные процессы, а не быть формальной отпиской. Для мультибрендового ПВЗ это означает:

В политике обработки ПДн необходимо указать все категории субъектов данных (клиенты каждого маркетплейса, отправители и получатели логистических служб, собственные клиенты, если ПВЗ оказывает дополнительные услуги), все категории обрабатываемых данных, все цели обработки и все правовые основания.

В положении об обработке ПДн следует подробно описать информационные системы, используемые для обработки, порядок доступа к каждой из них, правила работы с бумажными носителями и порядок их уничтожения.

В инструкциях для сотрудников должны быть чёткие запреты: нельзя копировать данные из одной системы в другую без необходимости, нельзя использовать личные устройства для связи с клиентами, нельзя фотографировать экраны и документы, нельзя обсуждать данные клиентов с посторонними.

В оценке вреда следует описать последствия возможной утечки для каждой категории субъектов данных с учётом объёма и характера обрабатываемой информации.

Договоры с маркетплейсами и поручения на обработку

Если по договору с маркетплейсом ПВЗ выступает обработчиком данных по поручению, то между сторонами должно быть оформлено поручение на обработку персональных данных. Этот документ определяет, какие данные передаются, для каких целей, какие действия с ними допустимы и какие меры защиты обязан обеспечить обработчик.

На практике крупные маркетплейсы включают элементы такого поручения в партнёрский договор или в приложения к нему. Но владельцу ПВЗ стоит проверить, насколько полно этот вопрос урегулирован. Если в договоре нет прямых указаний на порядок обработки ПДн, это не освобождает ПВЗ от обязанности оформить всё самостоятельно — скорее наоборот, повышает риск.

Рекомендация: сохраняйте все версии договоров с маркетплейсами и логистическими партнёрами. При проверке Роскомнадзора вам может потребоваться доказать, на каком основании вы обрабатываете данные конкретных клиентов. Договор с платформой — одно из таких оснований, но только если в нём прописаны соответствующие условия.

Что делать, если маркетплейс изменил правила

Маркетплейсы регулярно обновляют условия партнёрских договоров, оферт и правил работы. Эти изменения могут затрагивать порядок обработки персональных данных: расширение или сужение перечня передаваемых данных, изменение требований к хранению, новые обязательства по уведомлению об инцидентах.

Владелец ПВЗ обязан отслеживать такие изменения и своевременно корректировать свою внутреннюю документацию. Если маркетплейс начал передавать новую категорию данных (например, добавил в систему email клиента, которого раньше не было), политика обработки ПДн должна быть дополнена.

Это ещё одна причина, по которой использование шаблонных документов опасно: они создаются один раз и не обновляются при изменении условий работы. Живой бизнес требует живой документации.

Bejure.ru: готовые документы по персональным данным для пунктов выдачи

Подготовка полного пакета документов по персональным данным — задача, которая требует глубокого знания законодательства и понимания специфики работы ПВЗ. Обращение к юристу может стоить десятки тысяч рублей, а самостоятельная подготовка грозит ошибками, которые обнаружатся только при проверке.

Платформа Bejure.ru решает все сложности с документацией по персональным данным для пунктов выдачи заказов.

Что вы получаете:

• Готовый пакет документов, разработанный с учётом специфики работы ПВЗ и актуального законодательства
• Политику обработки персональных данных, адаптированную под ваш бизнес, а не формальную отписку
• Формы согласий на обработку данных, которые действительно защищают в случае проверки
• Внутренние регламенты и инструкции, готовые к немедленному внедрению
• Приказы, обязательства о неразглашении и журналы учёта — всё, что требует Роскомнадзор
• Актуальность документов: при изменении законодательства вы получаете обновлённые версии

На Bejure.ru вам не нужно разбираться в тонкостях 152-ФЗ и десятков подзаконных актов. Платформа формирует полный комплект документов, который соответствует требованиям закона и готов к предъявлению при любой проверке. Это быстрее, дешевле и надёжнее, чем самостоятельное составление или разовая консультация юриста.

Подведём итоги

Персональные данные ПВЗ — это не абстрактная тема, а конкретная зона ответственности каждого владельца пункта выдачи. Без правильно оформленных документов вы рискуете получить штрафы, предписания и даже приостановку деятельности. Закон о персональных данных для бизнеса не делает исключений для маленьких точек — требования одинаковы для всех.

Не откладывайте оформление документов до момента проверки. Подготовьте полный пакет документов ПДн для пункта выдачи заранее — с помощью платформы Bejure.ru это можно сделать быстро, правильно и без лишних затрат.

Часто задаваемые вопросы

Обязан ли ПВЗ регистрироваться в Роскомнадзоре как оператор персональных данных?

Да, большинство пунктов выдачи обязаны подать уведомление об обработке персональных данных в Роскомнадзор. Это требование действует с 1 сентября 2022 года и распространяется на всех операторов, обрабатывающих данные физических лиц. Исключения предусмотрены законом, но они не распространяются на типичный ПВЗ, работающий с данными клиентов маркетплейсов и логистических служб. Отсутствие уведомления грозит штрафом до 50 000 рублей для ИП и до 50 000 рублей для организации.

Достаточно ли скачать готовую политику обработки персональных данных из интернета?

Нет, шаблонные документы не подходят для реального использования. Политика обработки персональных данных должна отражать конкретные процессы вашего ПВЗ: какие данные вы получаете, из каких источников, для каких целей, как храните и уничтожаете. Шаблон из интернета, как правило, описывает абстрактный бизнес и не учитывает специфику работы с маркетплейсами — при проверке такой документ не защитит от штрафа.

Что грозит ПВЗ, если клиент пожалуется на нарушение своих прав в отношении персональных данных?

Жалоба клиента может повлечь за собой внеплановую проверку Роскомнадзора. По её результатам выносится предписание об устранении нарушений и назначается штраф — от 20 000 до 500 000 рублей в зависимости от вида нарушения и организационно-правовой формы бизнеса. Помимо административной ответственности, клиент вправе обратиться в суд с иском о компенсации морального вреда, и такие иски суды всё чаще удовлетворяют.

Нужно ли оформлять отдельные документы, если ПВЗ работает одновременно с несколькими маркетплейсами?

Отдельных комплектов документов не требуется, но единый пакет должен охватывать все направления работы. Политика обработки персональных данных и внутренние регламенты должны описывать все источники получения данных, все категории обрабатываемой информации и все информационные системы, используемые в ПВЗ. Если вы добавляете нового партнёра или маркетплейс начинает передавать новые категории данных, документацию необходимо актуализировать.