Интернет магазин и "Закон о защите персональных данных" - Юридические вопросы

Добрый день,

Хотелось бы попросить уважаемых, понимающих и разбирающихся людей, прояснить некоторые вопросы связанные с аспектами функцонирования интернет магазина.

Вот основные вопросы.
1. Какие данные можно запросить у клиента в разных случаях.
2. можно ли отказать клиенту в обслуживании при отказе предоставить данные или зарегистрироваться ?
3. обязательно ли согласие клиента для регистарции данных о нем и сохранения их в базе
4. не наказуемо ли хранение данных о клиенте  после выполнения договорных обязательств ? т.е после поставки и периода гарантии.
5. ....

интересуют в первую очередь юридические аспекты, не то что а мне надо знать анализы (кровь, моча) может клиент умрет пока мы поставку сделаеми т.д.

Заранее благодарен за обоснованные профессиональные ответы.

Уважаемый Nevigen, в продолжение нашей беседы по данному вопросу, предлагаю Вам сперва внимательно ознакомиться со следующими документами, после чего готов ответить на Ваши вопросы:

Федеральный закон "Об электронной торговле"

ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ЭЛЕКТРОННОЙ ТОРГОВЛЕ

принят Государственной Думой РФ в первом чтении постановлением N1582-III ГД от 6 июня 2001 года

masterbos мисье, этот законопроект не действует!

masterbos мисье, этот законопроект не действует!

Месье, antony2606, начнем с того, что это не "законоПРОЕКТ", а утвержденный ЗАКОН. Это во-первых, а во-вторых, данный закон никоим образом не противоречит 1. Закону о торговле и 2. Закону Об информации, информационных технологиях и о защите информации. Для начала, научитесь ВНИМАТЕЛЬНО читать предложенный материал. Такие слова, как "ПРИНЯТ" и "УТВЕРЖДЕН" Вам ни о чем не говорят?

Так что, Вы Антон, если не состоятельны в какой-либо сфере, не утруждайтесь впустую. Вам ближе виагра и ВГС, лучше занимайтесь данными вопросами. Без обид.

Поэтому, не надо тролить и флудить не по делу.

Закон относится к РФ я же не резидент РФ.
Потому меня он касается опосредовано, скажем так.
Но мне все равно интересно, просто изучать его досконально ну времени не будет.

просто вот в этом вопросе, я рассчитывал на помощь юристов которые доступным языком объяснит подвыкруты парламентариев, которые придумали свой язык и пытаются заставить чтобы его понимали все люди.

Гы
Вспомнил.... раньше у нас было такое шоу "Шоу долгоносиков" ну не суть названия.. шутка там была зачотная...
"Мне вчера дали звание народного артиста, а сегодня решают проблему по поиску народа, который это признает."

Вы тоже некоторым образом осуществляете подмену понятий, возможно и не умышлено.
Дело в том что Вы привели 2 закона, но есть еще и "О защите персональных данных", мне кажется именно он должен лечь в основу обсуждения.
Тут вопрос не товарообмена и защиты прав потребителей. Основные вопросы (по крайней мере те что я пытался вложить в первый пост) лежат в сфере: требований, сбора, накопления, хранения и использования данных интернет магазинами в отношении клиентов.

Могу ли я отказать в продаже если клиент не предоставил мне медицинскую карту ?
В праве ли я вообще требовать медицинскую карту у клиента ?
Могу ли я без согласия клиента при предоставлении медкарты сделать ее копию и хранить?

Понимаете о чем ?
О правах потребителя я не спорю... я интересуюсь о полномочиями продавца.

Может ли магазин без моего согласия записывать мой мейл и мою фамилию ?
Если имеет то каковы требования к нему, для того чтобы он мог обеспечить сохранность тих данных?
Даже если я поставил согласие с тем чтобы сохранили мой мейл, имею ли я право отказаться от информационных рассылок которые могут осуществляться магазином и вправе ли он их осуществлять ?
Имею ли я право приобрести товар без того чтобы оставлять данные. В гастрономе у вас ничего кроме купюры не потребуют.
Какие вообще поводы могут быть у магазина для того чтобы воспользоваться данными оставленными мной ?
Пример: Могу ли я юридически обосновано, сделать сейчас рассылку по покупателям наших расширений, с маркетинговым предложением по покупке товаров секс-шопа ?
Мне кажется что это должно  быть вне закона. и т.д.

Обсуждали ведь уже...

Обсуждали ведь уже...

Да обсуждали.. просто МастерБосс не согласен..
либо я Неправильно понял.
а тему найти блин не могу где все это обсуждали и перечитать соответственно.
помню много было умных постов и помню тему в ЖШ, но оттуда перенесли все или потерли

Как человек, скушавший щенка на законе о ПД (персональные данные) с стороны оператора этими ПД, могу сказать следующее.

Что есть ПД по нашему ФЗ (федеральный закон) 152 - простыми словами, это данные, что могут позволить уникально установить личность субъекта.
Из вики "Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных."
С одной стороны ФИО в полном объеме это как бы и не ПД, ибо однофамильцев хоть плугом жуй. С другой стороны где то в в комментариях к закону находило сноску "включая следующие данные: фамилия, имя, отчество"

Идем далее, сочетание ФИО + номер банковской карты (WebMoney, ЯД и тд) - тоже не ПД, ибо публично сторонние компании не имеют права предоставлять данные о субъекте, что позволили бы достоверно установить его личность. Получение этих данных - опять же в рамках 152 ФЗ по отдельным распоряжениям.

Согласие на обработку ПД - это либо письменный документ с кучей полей, либо ЭЦП, закон по которой вообще весьма смутен, ибо нет единых стандартов. На мой взгляд (да и юристы хабра аналогично высказывались) - галочка "согласен" здесь не работает. Но еще раз - если речь именно о ПД

Далее статья 12 - трансграничная миграция данных - если мы говорим именно про ПД - вообще отдельная история. Ведь у многих сервера находятся за границей (Германия, США, хостинги разные, даже наши хостеры частенько там арендуют оборудование). очень актуальный момент.

Еще - срок хранения данных до их обезличивания. Цитата из последней редакции закона

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных,
не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом,
договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Вообще в этом законе много интересного и удивительного. Но давайте закруглимся.
Мы говорим про интернет магазин. Какие же данные мы там храним в бд: фио, номер карты, адрес email, адрес доставки (возраст, пол, религия и пр - косвенные признаки, не считаются).
Единственные данные из этих, что могут привести к уникальному субъекту - это сочетание ФИО и номера карты. НО - только по запросу в банк, что могут делать только специальные органы.
Итого мое мнение, подтвержденное юристами трех организаций еще 3 года назад - все вышеперечисленные данные не могут считаться ПД.
Нельзя просто так хранить ФИО+серия\номер паспорта (заграна, свид. о рождении)

P.S. я сам не юрист, просто долгое время работал вплотную с этим вопросом, много спрашивал, читал, проводил аттестации и тд. Могу ошибаться где-то.

Вот нашел интересную статью по теме

В частности:

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении веб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

так на три темы ниже же

ой. вот они молодые женские и цепкие глазки
затупил соори.
может объединить 2 темы под старой ?

прочел самый толковый пост в теме от beliyadm
но тоже вопросы возникли...
1. "С одной стороны ФИО в полном объеме это как бы и не ПД, ибо однофамильцев хоть плугом жуй." - ну закон ведь определяет не уникальность скорее, а персонализацию (именно персону).
То что я Иванов из 2млн Ивановых не делает меня деперсонализированым.

например я не могу требовать от любого назваться, потому что он проходит по территории прилегаемой к моему дому и являющейся частной собственностью. Правильно ?
Я тоже дааалеко не юрист но как бы просто задаюсь вопросом.

2. А разве телефон не персональные данные ? Особенно мобильный.
Он уникален, Он имеет привязку с ФИО, он может быть использование для противоправных действий в том числе. И-банкинг, колллекторство, вымогательство, мошейничество и многое другое.

3. е-майл не персональные данные ? он уникален Связка е-Мейл- ФИО тоже как бы сама по себе...

4. Адрес доставки ?

ну как бы если честно я понимаю что законы у нас и у них это разное понятие...
но хотелось бы понимать, что если они существуют, то когда нибудь заработают точно....
вот чтобы понимать к тому времени было бы не плохо.

вот все кто готов может путнее озвучить было бы полезным для всех остальных...
может кто и из помощников параламентариев при написании закона нагуглит чета тут

Я не юрист. Но подобные юридические аспекты - всегда занимали меня. Это же сродни головоломке. И как говорят сами юристы - всегда найдется закон который докажет или опровергнет любой пункт другого закона 

Если читать 152 постановление с пристрастием то вот какую логическую цепочку Я построил.

Ст 3. п1. : персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Т.е. формально все можно принять за персональные данные, так-как информация (например номер мобилы или адрес), можно трактовать как косвенно относящуюся в определенному физическому лицу.

Ст. 8 Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Т.е. существуют общедоступные источники ПД. Например адресные книги. Т.е. формально на использование адреса - не нужно получать согласие субъекта, так как он общедоступен.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.
1. .... Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом......

очень занимательно  .
Т.е. форма то согласия может быть любой (хоть галочка на страничке), но нужно подтвердить факт получения этого согласия. Т.е. практически не реальная задача если это не цифровая подпись или бумажка.
Но вторая часть статьи обнадеживает: " если иное не установлено федеральным законом".  Что же это такое за "иное". Вдруг нечто иное установлено федеральным законом и не требует подтверждение факта получения ПД!?

И есть еще второе условие:

Ст.9  Согласие субъекта персональных данных на обработку его персональных данных.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

Тут самое примечательное это "или доказательство наличия оснований, указанных в пунктах ..."
Т.е. еще нужно доказать что эти данные были необходимы тебе для обработки. Но с этим проще.

Ст. 6 часть 1
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Т.е. мы можем запросить персональные данные, если есть соответствующией федеральный закон, т.е. какой либо закон отличный от 152.

Вот собственно и суть.
К примеру в сфере электронной коммерции, если есть какой либо федеральный закон который говорит что продавец обязан иметь (хранить) информацию о покупателе товара или обязан указывать в бухгалтерской отчетности такую информацию, то это как раз и будет являться тем что существует федеральный закон оперируя которым, оператор сможет доказать что у него есть основания на обработку персональных данных.


Теперь вернемся к "согласию". Как же доказать что согласие дал именно субъект ! А может быть вообще есть нечно что говорит о том что ПД можно получить у субъекта и не доказывать потом что именно он их предоставил?
Тут примечательна снова статья 9

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Во оно как. Т.е. мне как оператору ПД субъекта может предоставить вообще какой либо левый человек (виртуал из сети Интернет), но если он подтвердит мне наличие оснований указанный в п.п.....
Постойте. Но Ст. 6 часть 1 Я уже рассмотрел.
Получается что под эту дудку можно не только основание на обработку доказать, но и обосновать сам факт того что любой может скормить нам любые данные.

Осталось только в каждом конкретном случае найти другие федеральные законы которые обязывают оператора собирать и обрабатывать какую либо информацию.


Запутал совсем
А все вроде просто получается.
Например усть какой либо фед.закон который говорит что при безналичном расчете вы обязаны с точки зрения бухгалтерии указывать ФИО + Адрес + еще все что угодно.
Далее клиент подает на Вас в суд за несанкционированный сбор ПД и их обработку.
Вы оперируя фед. законом о информации которая должна содержаться в какой либо отчетности и ссылаять на 152 Ст. 6 часть 1 п11. Заявляете что так как есть другой фед.закон который обязывает Вас как продавца (оператора) предоставлять данные клиента (например ФИО) в компетентные органы (ФНС и т.п.), то Вы были обязаны запросить эти данные у субъекта. А субъект или третье лицо их предоставило, Вам не важно так как лицо предоставившее данные сделало это на основании все того же "какого либо другого фед. закона".

прочел.
я сейчас наверное похож на бабку после 4-го желания золотой рыбке.

тупо в потере
получается что все таки законы не для работы, а для отмазки в корне своем, потому и не могут быть рабочими.

nevigen ФИО без паспорта и прочего это не ПД
Но вообще этот закон это такая балалайка

Вы тоже некоторым образом осуществляете подмену понятий, возможно и не умышлено.
Дело в том что Вы привели 2 закона, но есть еще и "О защите персональных данных", мне кажется именно он должен лечь в основу обсуждения.
Тут вопрос не товарообмена и защиты прав потребителей. Основные вопросы (по крайней мере те что я пытался вложить в первый пост) лежат в сфере: требований, сбора, накопления, хранения и использования данных интернет магазинами в отношении клиентов.

Могу ли я отказать в продаже если клиент не предоставил мне медицинскую карту ?
В праве ли я вообще требовать медицинскую карту у клиента ?
Могу ли я без согласия клиента при предоставлении медкарты сделать ее копию и хранить?

Понимаете о чем ?
О правах потребителя я не спорю... я интересуюсь о полномочиями продавца.

Может ли магазин без моего согласия записывать мой мейл и мою фамилию ?
Если имеет то каковы требования к нему, для того чтобы он мог обеспечить сохранность тих данных?
Даже если я поставил согласие с тем чтобы сохранили мой мейл, имею ли я право отказаться от информационных рассылок которые могут осуществляться магазином и вправе ли он их осуществлять ?
Имею ли я право приобрести товар без того чтобы оставлять данные. В гастрономе у вас ничего кроме купюры не потребуют.
Какие вообще поводы могут быть у магазина для того чтобы воспользоваться данными оставленными мной ?
Пример: Могу ли я юридически обосновано, сделать сейчас рассылку по покупателям наших расширений, с маркетинговым предложением по покупке товаров секс-шопа ?
Мне кажется что это должно  быть вне закона. и т.д.

Nevigen, вся проблема Ваша именно в том, что Вам лень перечитать данный Закон и написан он не на "парламентском" языке, ибо не парламентарии пишут законы - их задача утвердить или внести правки, изучив его и обсудив. Законы составляют другие люди, поставленные на это.

По второй части вопроса. Вы несколько передергиваете. Причем тут медицинская карта?... Я Вам уже в двух словах пытался объяснить. Процесс купли-продажи - это договорной процесс. Вы же не в розничный магазин идете, где договор между продавцом (магазином) и покупателем является составляющей Закона о розничной торговле, Закона о правах потребителя и закрепляется кассовым чеком.

В нашем с Вами случае ситуация несколько иная. А, учитывая, что Вы реализуете свои услуги в том числе и российски клиентам, Вам также необходимо знать этот вопрос, т.к. Вы заведомо этот договор заключаете.

Вы обязаны предоставить полную и достоверную информацию своему клиенту, а клиент должен предоставить Вам информацию о себе, достаточную для того, чтобы Ваша сделка была юридически правомочна и для того, чтобы Вы товар либо услугу по данной сделке могли предоставить именно клиенту, оплатившему Вам стоимость товара или услуг, а не Фоме Фомичу с дальгнего забугорья.

В связи с этим, Вы обязаны проинформировать в той или иной форме своего клиента о необходимости предоставить некие данные о себе - контактные или регистрационные. Если Вы проинформировали об этом пользователя (клиента) и он Вашей услугой воспользовался, то он автоматически дал свое согласие на использование своих данных.

Однако, если пользователь (клиент) не предоставил Вам официального согласия на использование его данных, то Вы ОБЯЗАНЫ обеспечить их сохранность и не имеете права на их распространение без ведома клиента (пользователя), либо передачу этих данных третьим лицам.

В то же самое время, Вы обязаны предоставить качественный товар (услугу), оплаченный клиентом (пользователем) по вашему договору, коим является ваша с ним сделка.


Постарался расписать как можно подробнее и на более-менее человеческом языке.

P.S. И по-поводу рассылок и прочего.

Уважаемый Nevigen, если Вы хотите все сделать полностью по закону, то Вам необходимо всего-навсего ДОСТОВЕРНО проинформировать клиента (пользователя) о всех нюансах и о возможных рассылках (исключительно от Вашего имени или имени магазина) в том числе.
Вам следует проинформировать пользователя, что все покупки АВТОМАТИЧЕСКИ заносятся в БД, что при этом будет производится автоматическая регистрация, что данные не будут никак использоваться без ведома клиента, однако, если клиент готов пройти полноценную регистрацию, то он может сделать то-то и то-то, дать согласие на то-то и то-то, получив при этом такую-то выгоду для себя.

P.S.S. Обратил внимание ,что все судорожно вцепились в 152 закон и все.... Ребяты, дело в том, что законы не работают по отдельности и все законы работают не только в комплексе, а исключительно дополняют друг-друга. Один и тот же закон применим в рамках одной, либо другой группы законов для принятия решения по той, либо другой деятельности, либо ситуации.

Мы с вами говорим о торговле. Поверьте, человек, который работает Управленцем в сфере продаж уже более 20 лет, который за свою жизнь уже такое количество договоров заключил, скорректировал, подписал, не стал бы говорить о чем-то, в чем совсем не разбирается.

Все, что необходимо сделать на сайте, чтобы Вам не нашлепали а-та-та, я описал выше. Если есть желание досконально разобраться в данном вопросе, могу проконсультировать, но и посоветую получить ответ от юридических компаний, чтобы вам просто было спокойнее и легче дышалось.

прочел.
я сейчас наверное похож на бабку после 4-го желания золотой рыбке.

тупо в потере
получается что все таки законы не для работы, а для отмазки в корне своем, потому и не могут быть рабочими.

Не расстраивайтесь. Данные законы вполне рабочие и ни коим образом не затрудняют жизнь, поверьте. Я Вам более того скажу - если Вы не заключили какого-либо договора с клиентом, то автоматически ваша с ним сделка работает исключительно в рамках законодательства и никакие иные договоренности, о которых вы с клиентом не договорились, не имеют силы, если о них ничего не сказано в законе. Хотите, чтобы они имели силу, вписывайте их в договор, но при этом ваша с ним договоренность не может противоречить законодательству.

Все, что необходимо сделать на сайте, чтобы Вам не нашлепали а-та-та, я описал выше....

Вот кстати обратите внимание как Yandex обосновывает сбор данных при регистрации почты - внизу нажать "Политика конфиденциальности".

2.1. Яндекс собирает и хранит только те персональные данные, которые необходимы для предоставления Сервисов и оказания услуг (исполнения соглашений и договоров с пользователем).

Т.е. они ссылаются на соглашение и договор.

Примерно тоже можно найти и у Google.

И Я уже приводил ссылку в которой фигурируют понятия оферта и акцепт. Это статьи 432-445 ГК ФР. Полезно ознакомиться.
Т.е. фактически вы предлагаете публичную оферту, а пользователь соглашаясь (ставив галку в checkbox и жмя на кнопку) производит Акцепт.

Применительно в интернет торговле действует 612 постановление.
В частности

14. В случае если покупатель передает продавцу сообщение о своем намерении приобрести товар, в сообщении должны быть обязательно указаны:
а) полное фирменное наименование (наименование) и адрес (место нахождения) продавца, фамилия, имя, отчество покупателя или указанного им лица (получателя), адрес, по которому следует доставить товар;
б) наименование товара, артикул, марка, разновидность, количество предметов, входящих в комплект приобретаемого товара, цена товара;
в) вид услуги (при предоставлении), время ее исполнения и стоимость;
г) обязательства покупателя.

Т.е. Вы обязаны тем самым требовать от покупателя его ФИО и адрес доставки, так как эти данные должны быть указаны в обязательном порядке.

Вот кстати обратите внимание как Yandex обосновывает сбор данных при регистрации почты - внизу нажать "Политика конфиденциальности".Т.е. они ссылаются на соглашение и договор.

Примерно тоже можно найти и у Google.

И Я уже приводил ссылку в которой фигурируют понятия оферта и акцепт. Это статьи 432-445 ГК ФР. Полезно ознакомиться.
Т.е. фактически вы предлагаете публичную оферту, а пользователь соглашаясь (ставив галку в checkbox и жмя на кнопку) производит Акцепт.

Применительно в интернет торговле действует 612 постановление.
В частности Т.е. Вы обязаны тем самым требовать от покупателя его ФИО и адрес доставки, так как эти данные должны быть указаны в обязательном порядке.

Собственно, содержание данного постановления я привел выше в полном объеме. Обо всем этом и писал. Подвожу краткий итог - Вы обязаны проинформировать пользователя обо всех действиях и объяснить причину этих действий. Вы должны гарантировать сохранность данных, если на иное нет согласия со стороны пользователя. Вы обязуетесь использовать данные исключительно в рамках договоренности (информации об использовании).
Любая сделка через ваш магазин - это уже ДОГОВОР.
Любой договор действует в рамках соглашения между сторонами и в рамках действующего законодательства.
В случае реализации товара (услуги) представителю иного государства, Вам необходимо информировать обо всех нюансах по договорным обязательствам вашего государства и/или учитывать все нюансы по договорным обязательствам государства клиента, а также ориентироваться на международные правила и нормы. (Самый простой пример - незаконность со стороны разработчиков JoomShooping при продаже своих компонентов заказчикам из других государств, с требованием оплатить НДС своего государства). Однако, если клиент соглашается и оплачивает, это уже становится правомочным, т.к. разработчики проинформировали о данном налоге при оплате, но нарушением является факт, что налог не включен в стоимость заведомо.

Однако, если я клиент и я знаю, что действия продавца являются незаконными, т.е., с меня незаконно удержали налог, я могу обратиться и в суд, по результатам решения которго мне могут не только компенсировать излишне потраченные мной средства, но и удержать в мой адрес различного рода компенсации с продавца, а продавца еще и наказать по внутренним законам страны, если, к примеру, выяснится, что данный налог еще и не перечислялся в казну...

А теперь самое важное - с чего наша беседа с уважаемым Nevigen началась. Законно ли использование плагинов автоматической регистрацией пользователя при оформлении заявки?
Отвечаю - несомненно законно, при условии обеспечения пользователя всей необходимой информацией об этом, т.к. пользователь (клиент) заведомо дал согласие на осуществление торговой операции, предоставил минимально-необходимые данные о себе, произвел оплату и тем самым "подписал" договорные обязательства.

Вторая сторона вопроса. Имеет ли право продавец использовать в дальнейшем эти данные в своих целях - рассылка информации, продажа и распространение информации о клиенте и т.д.?
Только при условии согласия пользователя. Посему, законным будет исключительно предоставление возможности подтвердить свое согласие, иными словами - "подписать" дополнительное соглашение к "подписанному" ранее договору купли-продажи.

Примерно так. Если не все понятно, спрашивайте.