152-ФЗ для маркетплейсов: продавцы, покупатели и курьеры
Маркетплейс обрабатывает сразу несколько потоков персональных данных: покупатели, продавцы, представители юрлиц, курьеры, сотрудники ПВЗ и участники споров.
152-ФЗ для маркетплейса сложен тем, что данные постоянно передаются между ролями. Ошибка в настройке кабинета или API быстро превращается в массовый инцидент.
Какие данные есть на площадке
- профили покупателей, адреса доставки, телефоны;
- данные продавцов и их представителей;
- история заказов, возвратов, претензий и чатов;
- данные курьеров и сотрудников пунктов выдачи;
- платёжные и бонусные данные;
- логи действий в личных кабинетах и API.
Риск — лишняя видимость данных
Покупатель не должен видеть больше данных продавца, чем нужно для сделки. Продавец не должен получать лишние данные покупателя. Курьеру нужен адрес и контакт для доставки, но не полная история заказов.
Для маркетплейса особенно важны роли доступа, журналы, ограничения выгрузок и быстрый отзыв доступа у партнёров.
Чек-лист маркетплейса
- описать роли субъектов и цели обработки;
- проверить кабинет покупателя и продавца;
- ограничить выгрузки заказов и клиентских баз;
- закрыть лишние поля в API и интеграциях;
- проверить подрядчиков доставки, ПВЗ, поддержки;
- вести журнал инцидентов и обращений субъектов.
Коротко
Маркетплейс всегда оператор ПДн?
Чаще всего да, но конкретные роли нужно смотреть по модели площадки и договорам. В сложных схемах могут быть несколько операторов и обработчиков.
Можно ли продавцу выгружать базу покупателей?
Только если это соответствует цели, договору и информации для субъекта. Массовая выгрузка без ограничения создаёт высокий риск.
Практический следующий шаг
Проверьте кабинеты и API
Бесплатное превью покажет базовые проблемы сайта. Полный аудит 152-ФЗ стоит 700 ₽, месячный мониторинг — 1 490 ₽.