Верифікація в e-commerce: як технічний збій призводить до запиту паспортних даних у чат

У сучасній електронній комерції процеси антифроду (захисту від шахрайства) є критично важливими. Проте інколи між автоматизованим UX та ручною верифікацією виникає розрив, який підіймає питання щодо дотримання політик обробки персональних даних.

Нижче наведено фактичний розбір ситуації, що сталася в лютому 2026 року під час спроби змінити отримувача вже оплаченого замовлення на маркетплейсі ROZETKA. Усі наведені дані базуються на офіційному листуванні зі службою підтримки, Законі України «Про захист персональних даних» (далі — ЗУ «Про ЗПД») та «Положенні про обробку персональних даних» самої компанії (редакція від 06.02.2026).

Хронологія подій та запит документів

Було оформлено та оплачено замовлення на суму близько 16 000 грн. Виникла необхідність змінити ім’я отримувача, проте мобільний застосунок та сайт видавали технічну помилку.

Під час звернення до текстового чату служби підтримки оператор запропонував провести зміну отримувача вручну. Для цього було надіслано вимогу надати в чат наступні документи:

1. Номер замовлення, ПІБ та номер телефону нового отримувача.
2. Фото паспорта платника.
3. Фото паспорта нового отримувача (третьої особи).
4. Скан-копію або фото заяви в довільній формі.
5. Скан-копію або фото квитанції про оплату.

З моєЇ точки зору, вимога надати фотографію документа, що посвідчує особу іншої людини, створює правову колізію. Згідно зі ст. 11 ЗУ «Про ЗПД», збір та передача персональних даних фізичної особи здійснюється за її згодою. Маркетплейс вимагав ці дані від ініціатора звернення без надання інструментів для належної фіксації згоди власника паспорта.

П’ять запитань до служби підтримки

Щоб з’ясувати процедуру обробки цих вкладень, службі підтримки було поставлено 5 запитань, заснованих на їхньому ж Положенні про обробку даних. Відповіді операторів продемонстрували розбіжності між задекларованими правилами та реальною практикою першої лінії.

1. Технічний захист від копіювання

Запитання: Які технічні гарантії, що оператор не зробить скріншот або не сфотографує надісланий паспорт на особистий телефон?

Відповідь підтримки: «Ми не завантажуємо дані клієнтів собі на телефон — згідно політики конфіденційності. Дії співробітників керуються внутрішніми регламентами і умовами працевлаштування».

Відповідь вказує на використання адміністративних заходів (регламентів), а не технічних обмежень (наприклад, DLP-систем). При цьому Розділ 8 Положення компанії декларує наявність «програмно-технічних засобів... які запобігають копіюванню інформації».

2. Локалізація серверів

Запитання: На яких серверах (внутрішніх чи хмарних) зберігатимуться фото паспортів?

Відповідь підтримки: «Це конфіденційна інформація... У внутрішній системі з високим рівнем захисту».

Відповідно до п. 1 ч. 2 ст. 8 ЗУ «Про ЗПД», суб’єкт має невіддільне право знати місцезнаходження своїх персональних даних. Крім того, Розділ 4 Положення відкрито зазначає: «Персональні дані Покупців знаходяться в Україні».

3. Терміни зберігання

Запитання: Чи будуть фото паспортів автоматично видалені з систем після успішної видачі посилки?

Відповідь підтримки: «Документи не видаляються... Інформація зберігається (точного терміну вказати не можемо)».

Безстрокове зберігання фотокопій документів після досягнення мети збору (ідентифікації) суперечить ст. 6 та 15 ЗУ «Про ЗПД». Також це суперечить Розділу 3 Положення самої компанії: «Персональні дані Покупців зберігаються не довше, ніж це необхідно для досягнення мети їх обробки».

4. Контроль доступу

Запитання: Яка кількість співробітників матиме доступ до файлів з паспортами в чаті?

Відповідь підтримки: «Це запит обробляє один оператор, наступний може випасти іншому оператору. Ми залучаємо супервайзера тільки в разі необхідності». (Попередня відповідь іншого оператора: «Тільки оператор... і співробітник відділу оцінювання — 2»).

5. Юридична відповідальність

Запитання: Яку відповідальність понесе компанія у разі витоку цих даних із чату в мережу?

Відповідь підтримки: «Про відповідальність не вказано — бо Ми не передаємо дані третім особам... відповідно відсутня інформація про матеріальну та юридичну відповідальність».

Згідно зі ст. 27 ЗУ «Про ЗПД», відповідальність за незаконну обробку чи витік даних настає незалежно від намірів компанії передавати їх третім особам. Розділ 9 Положення прямо підтверджує право клієнта на судовий захист.

Раптова зміна правил: «Ми дозволили Вам не надсилати фото...»

Найбільш показовий момент цієї історії стався одразу після того, як службі підтримки були надіслані ці п’ять запитань. Жорстка вимога надати паспортні дані третьої особи, яка до цього подавалася як безальтернативна міра безпеки, раптово зникла.

Оператор повідомив: «Ми дозволили Вам не надсилати фото документів... В даній ситуації співробітник якому був сформований запит дозволив з мінімальною кількістю даних (квитанція і скриншот) змінити дані отримувача, врахувавши Вашу тривогу стосовно документів».

Цей епізод ілюструє системний парадокс. Вимога надати чутливі персональні дані виявилася необов’язковою і була скасована системою одразу, щойно клієнт почав цікавитися технічними та юридичними підставами обробки своїх даних. Незважаючи на те, що проблему з переадресацією фактично «дозволили» вирішити без паспортів, я все ж наполіг на отриманні послідовних відповідей на свої запитання, щоб зафіксувати, як саме працюють протоколи безпеки на першій лінії. Відповіді, які наведені у розборі вище, були отримані вже після мого наполягання.

Фінал ситуації та офіційна позиція компанії

Поки тривала дискусія щодо правомірності надання документів, технічна помилка в мобільному застосунку була усунена. Зміна отримувача відбулася за кілька кліків у системі без надання жодних фотографій, заяв чи паспортних даних.

Останнє повідомлення від служби підтримки, отримане після вирішення питання, зафіксувало переведення комунікації з цифрового формату у виключно формально-паперовий:

«Запит щодо зміни отримувача в рамках даного діалогу не актуальний. Щодо Ваших питань, Вам були надані поверхневі відповіді в межах компетенції оператора відділу підтримки. Для отримання офіційної відповіді, включаючи інформацію щодо технічних та юридичних аспектів обробки даних рекомендуємо звернутися з офіційним запитом... написавши лист-запит на юридичну адресу компанії... Також можна скласти запит, підписати його та відправити його скан на електронну адресу».

Висновок

Цей випадок ілюструє розрив між автоматизованими системами компанії, офіційними юридичними документами та скриптами роботи першої лінії підтримки.

Зіткнувшись із нестандартним запитом щодо гарантій безпеки даних, служба підтримки підтвердила, що надає «поверхневі відповіді» та переадресовує клієнтів до офіційного паперового листування з юридичним відділом. Для користувачів електронної комерції це є нагадуванням про необхідність дотримуватися базових правил цифрової гігієни під час передачі скан-копій документів у текстових чатах.