Персональные данные: Как интернет-проекту соответствовать требованиям закона?

Автор статьи: Людмила Харитонова

Про легендарный 152-ФЗ (закон о персональных данных) слышали все. Но вот как привести свой сайт в соответствие с ним – до сих пор не всем понятно.

1. Что такое персональные данные

Закон предусматривает очень широкую трактовку, относя к категории персональных любые данные, которые прямо или косвенно позволяют идентифицировать конкретное лицо.

Традиционно к персональным данным относят группы данных «ФИО и телефон», «ФИО и электронная почта» или просто паспортные данные.

Больше вопросов возникает относительно одиночных данных – телефон, электронная почта. Но и тут нет однозначного ответа. Например, адрес электронной почты kotik19@mail.ru вряд ли можно отнести к персональным данным, а вот адрес kharitonova.l@zarlaw.ru, который содержит фамилию, инициалы и корпоративный домен, уже будет персональными данными.

То же самое и с телефоном. Номер мобильного телефона можно отнести к персональным данным, а вот городской – уже с натяжкой. Суды тоже придерживаются аналогичной позиции. Так, в решении по делу № 2-1772/2018 от 20.06.2018 Заельцовский районный суд г. Новосибирска (Новосибирская область) указано, что Абонентский номер телефона гражданина относится к категории персональных данных».

При этом, когда пользователь заполняет форму, мы не знаем, какую почту он нам оставит или какой телефон, поэтому целесообразно относить и то и другое к персональным данным и получать согласие на их обработку.

2. Как получить согласие

Вторым по важности вопросом, когда мы выяснили, что относится к персональным данным, является вопрос о том, как получить согласие на обработку, если пользователь заполняет формы на сайте и подписать документ лично не может.

Закон позволяет нам делать это путем подписания согласия простой электронной подписью, к которой можно отнести введение кода, полученного по смс, или проставление галочки в чек-боксе.

Но тут нужно придерживаться нескольких правил:

• Галочка не должна быть проставлена автоматически. Иначе мы не сможем доказать, что пользователь «подписал» согласие, ведь галочка (т. е. подпись) уже была проставлена и не пользователем.
• Обязательно следует сохранять log-файл, посредством которого можно доказать факт акцепта, его время, дату.
• Согласие на обработку должно располагаться рядом с каждой формой, в которой мы собираем данные, и содержать одну цель обработки. Например, у вас есть форма заказа и форма заказа обратного звонка. Цели сбора в обоих случаях разные: в форме заказа звонка цель – информирование пользователя о ваших услугах, а форма заказа уже предполагает заключение договора.
• Согласие лучше не включать в договор (соглашение), а выделять отдельно.
• Текст согласия должен соответствовать 152-ФЗ.

И следует помнить, что закон не предусматривает возможности получения согласия по телефону.

3. Что нужно разместить на сайте

На сайте вам необходимо разместить:

• Согласие на обработку персональных данных (выше правила составления уже описали).
• Политика обработки персональных данных. Такой документ устанавливает общие принципы работы с персональными данными в компании и размещается в подвале сайта (для пользователей он должен быть доступен с любой страницы). Соглашаться с документом пользователь не должен, поэтому акцептовать его галочкой не нужно.

Теперь давайте разберем все описанное на примерах.

При заполнении формы регистрации нам предлагается акцептовать вот такой текст:

Это согласие с политикой конфиденциальности (она же Политика обработки персональных данных), но почему-то активной ссылки нет.

И одновременно дается согласие на обработку персональных данных. Но целей сразу две: заключение договора и информирование о товарах. Согласие на получение рассылки лучше размещать отдельно, чтобы в случае спора с ФАС мы могли доказать, что пользователь осознанно согласился на рассылку.

Аналогичная ошибка в магазине PichShop: при заполнении формы регистрации пользователь соглашается с Политикой обработки персональных данных (но нужно заметить, что ссылка на нее активна), но вот согласия на обработку не дает.

А вот на OZONE другая ошибка – автоматически проставленная галочка рядом с согласием на обработку данных. 

Ну и, конечно, если «провалиться» в согласие, мы видим стандартную ошибку «множества целей», в том числе согласие на рассылку, которое дается одновременно с согласием на обработку персональных данных.

Как видите, ошибки совершают даже крупные компании, но по стартапам штрафы за нарушение законодательства о персональных данных ударят больнее. Поэтому не откладывайте – посмотрите, что творится на вашем сайте ))