На платформе Wildberries для пользователей из Узбекистана стала доступна авторизация через OneID – Единую систему идентификации пользователей «Цифрового правительства». Это означает, что войти в личный кабинет маркетплейса теперь можно с помощью государственной цифровой учётной записи, которая ранее применялась преимущественно для доступа к государственным и подключённым сервисам.
Интеграция фактически объединяет государственный механизм подтверждения личности и коммерческую платформу: после аутентификации через OneID пользователь получает доступ к функционалу сайта без отдельной регистрации.
Factchecknet.uz изучил пользовательские документы и политику конфиденциальности сервиса, чтобы понять, какие данные могут обрабатываться при использовании платформы и в каких случаях допускается их передача.
Трансграничная передача персональных данных в Россию и другие государства
В Политике конфиденциальности сервисов ООО «WB INT EXPORT» указано, что под «передачей» понимаются «любые действия и операции, в результате совершения которых происходит передача персональных данных третьим лицам, в том числе трансграничная передача персональных данных».
Компания сообщает, что «может осуществлять трансграничную передачу Ваших персональных данных исключительно при наличии законных оснований и при наличии Вашего Согласия».
При этом отдельно зафиксировано: «Компания осуществляет трансграничную передачу Посетителей Сервиса, Пользователей в Российскую Федерацию в ООО «РВБ» (…) являющееся обработчиком на основании заключенного с Компанией договора».
Также в документе указано, что при оформлении заказов и их последующей доставке или возврате «Компания осуществляет трансграничную передачу персональных данных продавцам, службам доставки, логистическим компаниям в зарубежные страны, где такие третьи лица находятся, в случае если это необходимо для исполнения Соглашений Сервисов».
Дополнительно отмечается, что передача может осуществляться «на территорию иностранных государств, обеспечивающих адекватную защиту прав Субъектов», а также «на территорию иностранных государств, не обеспечивающих адекватную защиту персональных данных» — при наличии согласия пользователя, в случаях, связанных с защитой общественного порядка и прав граждан, либо когда это предусмотрено международными договорами.
Кому могут передаваться персональные данные
Политика определяет «Третьих лиц» как «любые третьи лица (…) включая юридические лица, входящие с Компанией в одну группу компаний, профессиональные консультанты (юридические, финансовые, технические и другие консультанты), аудиторы, поставщики услуг, государственные органы, государственные и негосударственные организации, юридические и физические лица, в том числе кредитные организации и иные лица, оказывающие Компании информационные и/или аналитические услуги для поддержания, улучшения информационных ресурсов Компании, обеспечения безопасности».
Уточняется, что такие лица могут находиться «в Республике Узбекистан или в любом иностранном государстве».
Компания также сообщает, что передает данные «при наличии законных оснований передачи, поручая обработку третьим лицам, а также без поручения обработки», включая специальные условия об обработке персональных данных в договорах.
Какие данные собираются и обрабатываются
Для посетителей сервисов обрабатываются «данные о просмотрах страниц и техническая информация об устройствах», включая IP-адрес, сведения о браузере, версии приложения и файлы cookies.
Для пользователей перечень может включать «номер телефона; идентификатор Пользователя; ник Пользователя; Ф.И.О.; пол; адрес электронной почты; данные о заказах; иные данные, предоставленные Вами», а также «данные о просмотрах страниц и техническая информация об устройствах: IP, браузере, версии приложения, информация о местоположении, в т. ч. файлы cookies».
При оформлении заказов дополнительно обрабатываются «адреса доставки; данные о заказе; данные чека; номер телефона; идентификатор Пользователя; данные о способе оплаты: реквизиты банковской карты или иная платежная информация».
В отдельных случаях, «если указано в интерфейсе Сервиса», могут запрашиваться «Ф.И.О.; данные документов, удостоверяющих личность; ПИНФЛ». При этом компания указывает, что такие данные «получаем напрямую от Пользователя и передаем продавцам, службам доставки, логистическим компаниям, если необходимо».
Как ограничить передачу своих персональных данных через OneID
В системе предусмотрен сервис «Управление данными», который позволяет пользователю разрешать или блокировать передачу персональных данных организациям, подключенным к Платформе цифровых данных.
Через этот механизм можно блокировать или разрешать запросы, включающие ПИНФЛ и номер ID-карты. Организации, которым доступ заблокирован, не смогут получать данные через соответствующие запросы.
В качестве примера указывается, что коммерческие банки получают персональные данные граждан через Платформу цифровых данных. Если пользователь ограничит доступ для конкретного банка, тот не сможет проводить операции, требующие проверки персональных данных, включая оформление кредитов.
При этом важно учитывать техническую особенность сервиса: при первоначальной активации функции блокируются запросы для всех организаций, подключенных к Платформе. Для восстановления доступа потребуется отдельно разрешать передачу данных каждой организации.
Как защитить аккаунт OneID: что рекомендует система
OneID используется для доступа более чем к 300 государственным и негосударственным информационным системам. Это означает, что персональный кабинет в системе становится ключевой точкой доступа к цифровым сервисам. В официальных рекомендациях по безопасности указаны следующие меры.
Пользователям советуют не передавать логин и пароль третьим лицам и не сохранять их в браузере. Рекомендуется регулярно менять пароль и использовать сложные комбинации, которые невозможно угадать на основе личной информации.
Отдельно подчеркивается необходимость подключения двухфакторной аутентификации через официальное мобильное приложение OneID. Это снижает риск несанкционированного входа при компрометации пароля.
В рекомендациях также указано, что нельзя передавать SIM-карту и мобильное устройство третьим лицам, поскольку через них возможен доступ к приложению OneID и процедуре восстановления учетных данных.
Пользователям советуют отслеживать историю авторизаций и активные сессии, а при подозрении на утечку данных немедленно менять пароль или проходить процедуру восстановления доступа.
Отдельно отмечается, что не следует передавать паспортные данные и ПИНФЛ посторонним лицам, а также рекомендуется отключать способы авторизации, которые пользователь не планирует использовать.
Обязателен ли вход через OneID
На платформе предусмотрены альтернативные способы авторизации. Пользователь может войти в аккаунт как через систему OneID, так и с помощью номера телефона.
Это означает, что использование государственной системы идентификации не является единственным способом доступа к сервису, а выступает дополнительным вариантом входа.
В подобных условиях выбор способа авторизации остается за пользователем и может зависеть от личных предпочтений в области удобства и управления персональными данными.