Вы решили запускать новый успешный бизнес, работаете не покладая рук, создали сайт и ждёте с него горячие лиды и новых пользователей, но вот вопрос: можете ли вы быть точно уверены, что посетители вашего сайта точно разрешили вам обрабатывать их персональные данные (ПДн) и вы обрабатываете их законно?
В этой статье мы поговорим о том, как правильно организовать сбор и обработку данных на сайте так, чтобы конверсия не упала под давлением десятков чек-боксов, а пользователи и РКН остались довольны!
В целом, у вас есть большое количество оснований на обработку ПДн, которые не требуют сбора отдельного согласия, например обработка ПДн по договору или для исполнения какого-либо федерального закона. В этой статье мы будем говорить о согласии, как основании, упоминаемом в пункте 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»(ФЗ-152) . Основной нормой, регулирующей сбор согласий, является статья 9 ФЗ-152. Анализируя её мы можем выделить 7 основных требований к согласию, оно должно быть:
Важнее всего обратить внимание на три ключевых аспекта:
Первым и самым важным условием является то, что субъект ПДн сам принял решение предоставить вам данные. Предварительно проставленные чек-боксы, автозаполненные согласия и запрет на оказание услуг без дачи согласия – недопустимы. Если вы оказываете на сайте услуги по договору, и вам необходимы персональные данные клиента, стоит подумать о другом законном основании на обработку ПДн, например, в пункте 1 части 1 статьи 6 ФЗ-152 (обработка ПДн по договору).
Согласие на обработку персональных данных должно быть конкретным, то есть выраженным явно через активные действия пользователя. Молчание, бездействие или предустановленные галочки не считаются допустимым согласием, поскольку пользователь мог их просто не заметить. Аналогично использование устройства или сервиса с настройками конфиденциальности по умолчанию не является достаточным подтверждением согласия. Это важно понимать, когда вы будете интегрировать cookies-баннер на сайте. Использование сайта само по себе недостаточное основание для обработки, например, маркетинговых cookies.
Кроме того, согласие должно быть информированным, это значит, что пользователю должна быть представлена полная и понятная информация о целях, объеме, сроках обработки данных, а также о лицах, которые будут с ними работать. Стоит разместить всю эту информацию в самом дисклеймере под формой сбора ПДн, например следующим образом:
Каждое из выделенных слов может быть гиперссылкой, ведущей на документ, размещённый на сайте или сверстанную страницу сайта, содержащую документ. Важно, чтобы документ (политика, согласие) размещался на том же домене, где происходит сбор ПДн.
Без разъяснения основных терминов согласие рискует быть признанным недействительным. Рекомендуем всегда указывать ссылки на политику конфиденциальности в футере сайта и под каждой формой сбора ПДн.
Наконец, согласие должно быть сознательным, то есть обдуманным и отражающим реальные намерения пользователя. Вынужденное или формальное согласие не соответствует требованиям. Только при выполнении всех этих условий согласие является законным и действительным.
Важно отметить, что в каждой уникальной форме сбора ПДн стоит предусмотреть свою цель и свой набор данных, указываемых в согласии.
Форма 1.
Форма 2.
В форме 1 будет своя отдельная цель, например, «Публикация статьи», и своё отдельное согласие. В форме 2 будет своя цель «Направление обратной связи» и индивидуализированное согласие именно под эту форму.
На сладкое мы оставили самое интересное. Вы оформили все формы сбора красивыми дисклеймерами, разработали хорошую форму согласия (ниже мы приведём конкретный пример) и разместили чек-боксы. Кажется, что всё хорошо. Но вот приходит РКН с запросом и сообщает, что Иванов И.И. обратился с жалобой о незаконной обработке. Есть ли у вас законные основания обработки? Кажется, что все действия на сайте должны были защитить вас, но без должного подтверждения сбора согласий от каждого конкретного пользователя вряд ли можно спать спокойно.
Мы рекомендуем внедрить на вашем сайте систему логирования, которая точно и однозначно поможет вам в фиксации согласия каждого отдельного пользователя.
Субъект персональных данных или его представитель, по общему правилу, могут дать согласие в любой форме, которая позволяет подтвердить факт его получения оператором. Подтверждение факта сбора согласий чрезвычайно важно, так как без такого подтверждения согласие не считается действительным.
Для сбора логированного согласия на обработку персональных данных необходимо следовать нескольким ключевым шагам:
Форма согласия: создайте модульную форму согласия (по возможности, под каждого субъекта ПДн) для получения согласия, которая должна содержать все пункты, описанные нами выше. Логирование действий: настройте систему для автоматического логирования действий пользователей при получении согласия:Журнал логирования: опционально: разработайте и внедрите электронный журнал логирования согласий. Это поможет в дальнейшем при выстраивании архитектуры privacy.
Обучение сотрудников: объясните IT-специалистам как вести логирование данных и как заполнять журнал логирования.
Регулярный аудит: проводите регулярные проверки и аудит процессов сбора и хранения согласий, чтобы гарантировать их соответствие законодательным требованиям.
Теперь, когда у вас в руках есть полный арсенал данных для подготовки согласия, давайте разберём пример типового согласия на обработку ПДн, которое позволит вам максимально исполнять все требования статьи 9 ФЗ-152.
В шапке самого согласия мы рекомендуем указать наименование вашей компании, способ предоставления согласия и способ контактирования с вами для отзыва согласия.
Согласно части 2 статьи 9 ФЗ-152 субъект имеет право в любое время отозвать согласие на обработку ПДн. Мы рекомендуем создать отдельную почту по вопросам privacy, доступ к которой будет у ответственного за обработку ПДн в вашей компании. Эту почту можно указать в самом согласии, так субъекту ПДн будет проще контактировать с вами.
В тексте согласия необходимо указать наименование оператора, цель и способ обработки ПДн. Основной текст вашего согласия должен соответствовать целям и срокам, указанным вами в политике. Мы рекомендуем описывать цели обработки как можно более точно, чтобы затем на каждую отдельную цель сбора ПДн у вас было своё отдельное согласие.
Отдельно в согласии на обработку можно предусмотреть согласие на передачу данных третьим лицам с указанием таких третьих лиц. Отдельно можно предоставить ссылки на их политики конфиденциальности.
Не забудьте указать в согласии срок обработки ПДн согласно конкретной цели, указанной в политике. Также, если на вашем сайте предусмотрена возможность сбора данных от третьих лиц (например данные для лизинга, аренды или покупки билетов для третьих лиц), вы можете предусмотреть гарантию сбора (наличия) согласий от таких лиц.
Мы можем помочь в данном вопросе и провести аудит вашего сайта, чтобы в дальнейшем провести на нём все процессы сбора и обработки ПДн в полное соответствие с требованиями закона.
Нужна помощь юриста для подготовки документов по обработке ПДн - обращайтесь к нашим экспертам.
