Автор статьи: Людмила Харитонова
Про легендарный 152-ФЗ (закон о персональных данных) слышали все. Но вот как привести свой сайт в соответствие с ним – до сих пор не всем понятно.
1. Что такое персональные данные
Закон предусматривает очень широкую трактовку, относя к категории персональных любые данные, которые прямо или косвенно позволяют идентифицировать конкретное лицо.
Традиционно к персональным данным относят группы данных «ФИО и телефон», «ФИО и электронная почта» или просто паспортные данные.
Больше вопросов возникает относительно одиночных данных – телефон, электронная почта. Но и тут нет однозначного ответа. Например, адрес электронной почты kotik19@mail.ru вряд ли можно отнести к персональным данным, а вот адрес kharitonova.l@zarlaw.ru, который содержит фамилию, инициалы и корпоративный домен, уже будет персональными данными.
То же самое и с телефоном. Номер мобильного телефона можно отнести к персональным данным, а вот городской – уже с натяжкой. Суды тоже придерживаются аналогичной позиции. Так, в решении по делу № 2-1772/2018 от 20.06.2018 Заельцовский районный суд г. Новосибирска (Новосибирская область) указано, что Абонентский номер телефона гражданина относится к категории персональных данных».
При этом, когда пользователь заполняет форму, мы не знаем, какую почту он нам оставит или какой телефон, поэтому целесообразно относить и то и другое к персональным данным и получать согласие на их обработку.
2. Как получить согласие
Вторым по важности вопросом, когда мы выяснили, что относится к персональным данным, является вопрос о том, как получить согласие на обработку, если пользователь заполняет формы на сайте и подписать документ лично не может.
Закон позволяет нам делать это путем подписания согласия простой электронной подписью, к которой можно отнести введение кода, полученного по смс, или проставление галочки в чек-боксе.
Но тут нужно придерживаться нескольких правил:
- Галочка не должна быть проставлена автоматически. Иначе мы не сможем доказать, что пользователь «подписал» согласие, ведь галочка (т. е. подпись) уже была проставлена и не пользователем.
- Обязательно следует сохранять log-файл, посредством которого можно доказать факт акцепта, его время, дату.
- Согласие на обработку должно располагаться рядом с каждой формой, в которой мы собираем данные, и содержать одну цель обработки. Например, у вас есть форма заказа и форма заказа обратного звонка. Цели сбора в обоих случаях разные: в форме заказа звонка цель – информирование пользователя о ваших услугах, а форма заказа уже предполагает заключение договора.
- Согласие лучше не включать в договор (соглашение), а выделять отдельно.
- Текст согласия должен соответствовать 152-ФЗ.
И следует помнить, что закон не предусматривает возможности получения согласия по телефону.
3. Что нужно разместить на сайте
На сайте вам необходимо разместить:
- Согласие на обработку персональных данных (выше правила составления уже описали).
- Политика обработки персональных данных. Такой документ устанавливает общие принципы работы с персональными данными в компании и размещается в подвале сайта (для пользователей он должен быть доступен с любой страницы). Соглашаться с документом пользователь не должен, поэтому акцептовать его галочкой не нужно.
Теперь давайте разберем все описанное на примерах.
Сайт М.Видео.При заполнении формы регистрации нам предлагается акцептовать вот такой текст:
Это согласие с политикой конфиденциальности (она же Политика обработки персональных данных), но почему-то активной ссылки нет.
И одновременно дается согласие на обработку персональных данных. Но целей сразу две: заключение договора и информирование о товарах. Согласие на получение рассылки лучше размещать отдельно, чтобы в случае спора с ФАС мы могли доказать, что пользователь осознанно согласился на рассылку.
Аналогичная ошибка в магазине PichShop: при заполнении формы регистрации пользователь соглашается с Политикой обработки персональных данных (но нужно заметить, что ссылка на нее активна), но вот согласия на обработку не дает.
А вот на OZONE другая ошибка – автоматически проставленная галочка рядом с согласием на обработку данных.
Ну и, конечно, если «провалиться» в согласие, мы видим стандартную ошибку «множества целей», в том числе согласие на рассылку, которое дается одновременно с согласием на обработку персональных данных.
Как видите, ошибки совершают даже крупные компании, но по стартапам штрафы за нарушение законодательства о персональных данных ударят больнее. Поэтому не откладывайте – посмотрите, что творится на вашем сайте ))