Согласие на обработку ПД — что это, зачем и от кого получать
Все компании, ИП и госучреждения, которые собирают персональные данные физлиц — это операторы персональных данных, обладающие следующими признаками:
включены в реестр Роскомнадзора (работают в статусе «оператор персональных данных»);
соблюдают требования закона от 27.07.2006 № 152-ФЗ (предпринимают меры по защите данных — используют защищенные базы данных, разрабатывают политику конфиденциальности и локальные НПА, проводят внутренние расследования в случае происшествий, работают с запросами владельцев ПД и т.д.).
К операторам ПД в том числе относятся компании, которые в интернете продают товары, оказывают услуги, собирают статистические данные. Эти данные они используют в коммерческих или иных целях.
Для сбора данных используются:
онлайн-анкеты;
формы обратной связи;
файлы cookie.
Владельцы сайтов получают сведения о ФИО, местах проживания, IP-адресах, датах рождения, номерах телефонов, email. Передача данных регулируется на законодательном уровне: операторы могут собирать, хранить и использовать информацию о физлицах только с их согласия (ст. 9 закона № 152-ФЗ).
Согласие на обработку персональных данных — это подтверждение, что человек добровольно разрешает использовать свои личные данные. Например, курьерская служба собирает адреса, чтобы доставлять товары. Компания, оказывающая онлайн-услуги, может попросить адрес электронной почты, чтобы прислать клиенту проект договора.
Порядок сбора персональных данных на сайте
В онлайн-пространстве регулярно появляются мошеннические сайты, которые собирают персональные данные людей для использования в жульнических схемах. Из-за этого у пользователей возникает недоверие даже к добросовестным компаниям и интернет-продавцам.
Как работают добросовестные операторы ПД (владельцы сайтов):
Обеспечивают доступ к Политике обработки персональных данных. Политика — это один из основных документов, который разрабатывают операторы. Они должны обеспечить к ней доступ всем заинтересованным лицам. Например, разместить на сайте магазина, который продает товары через интернет.
Открыто заявляют о своем статусе. Если компания включена в реестр Роскомнадзора, на своем сайте она может разместить плашку, что работает в статусе оператора персональных данных.
Получают согласие от пользователей. Закон позволяет получать согласие от субъектов ПД как в письменной, так и в электронной форме (ч. 4 ст. 9 закона № 152-ФЗ).
Не скрывают реквизиты компании. Часто в «подвале» сайта размещают реквизиты и контакты компании (ИНН, наименование юрлица, номер телефона, адрес электронной почты). По ИНН или наименованию можно проверить, включена ли компания в реестр Роскомнадзора.
По сути это и есть простая инструкция для владельцев сайтов, как организовать сбор данных: опубликовать на сайте политику, разместить информационную плашку (о статусе оператора), использовать форму сбора данных с уведомлением для владельцев ПД. И, конечно, не скрывать реквизиты и контакты компании.
Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными
Подробнее о Политике
В политике указывают:
цель сбора и обработки ПД (образовательные услуги, рассылки и т.д.);
категории владельцев данных (соискатели, сотрудники, покупатели, клиенты);
способы обработки и хранения информации;
ссылка на сайт (на каком ресурсе происходит сбор данных);
сведения о получателе (наименование компании-оператора, ФИО предпринимателя).
Политика размещается на сайте компании, чтобы пользователи в любой момент могли с ней ознакомиться и решить, согласны ли они на передачу своих персональных данных или нет.
Если владелец сайта не обеспечивает должным образом доступ к политике, то ему грозят штрафы по ч. 3 ст. 13.11 КоАП: предпринимателю — до 20 тыс. руб., организации — до 60 тыс. рублей.
Разработать политику обработки персональных данных для сайта компания может самостоятельно или обратиться к специалистам. На сайте «Роском Онлайн» вы можете заказать разработку политики — это одна из услуг для операторов ПД, соблюдающих требования закона № 152-ФЗ.
Предупреждающая надпись
На сайтах данные пользователей собирают через специальную форму. Например, человек указывает свое имя и телефон, чтобы менеджер компании с ним связался и рассказал об услуге.
Рядом с такой формой должна быть возможность выразить согласие на обработку ПД. Обычно это «галка» или «флажок». Пользователь ставит отметку в окошке или двигает специальный тумблер, подтверждая, что не против предоставить сведения о себе.
Важный элемент всего этого процесса — текст, который предупреждает о сборе данных. Например, при совершении какого-либо действия на сайте пользователь видит на экране надпись: «Нажимая кнопку [...], я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных политикой конфиденциальности». Пользователь соглашается, проставляя «галку» в соответствующем окошке или нажимая кнопку «Согласен».
Согласие владельца данных — это не просто две строчки текста, под которыми он ставит отметку. Нужно подготовить текст и дать на него ссылку, чтобы пользователь мог его изучить.
В согласии указывают:
название компании или ФИО ИП (оператора ПД — владельца сайта);
цель сбора данных;
перечень ПД, в отношении которых пользователь выражает согласие на обработку и использование;
способы обработки данных;
наименование третьих лиц, которые вправе использовать эти данные;
срок действия согласия;
способ, которым владелец ПД может отозвать согласие.
Если ИП или компания обрабатывает данные пользователей без их согласия, ей грозят штрафы по ч. 2 и 2.1 ст. 13.11 КоАП: организации — до 700 тыс. рублей. А при повторном нарушении — до 1 млн руб. на ИП; до 1,5 млн руб. — на организацию.
Персональные данные — это любая информация о физлице, по которой его можно прямо или косвенно идентифицировать (ст. 3 закона № 152-ФЗ). В том числе к таким данным относятся и файлы cookie — формы на сайте, которые собирают информацию о посетителях.
Файлы cookie «запоминают» пользователя и подстраиваются под него. Например, при следующем посещении сайта человеку не придется вводить логин и пароль или указывать регион проживания — все это остается в памяти сайта.
При этом владельцы сайтов могут собирать данные о посетителях только с их согласия. Нужно разместить всплывающее окно с информацией, что сайт собирает файлы cookie. Человек может согласиться или отказаться раскрывать свои данные. В уведомление включите ссылку на политику обработки ПД.
Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными
Регламент ответов на запросы
Пользователь вправе направить запрос владельцу сайта на уточнение информации — зачем собирают его данные, как будут обрабатываться и храниться. Законом установлен срок ответа на запросы субъектов ПД — не более 10 рабочих дней (ч. 1 ст. 20 закона № 152-ФЗ). Если у оператора есть обоснованные причины, этот срок он может продлить еще на 5 рабочих дней.
Для правильной работы с запросами пользователей сайта следует разработать специальный регламент и утвердить правила работы с обращениями. Разработкой регламента занимается ответственное лицо, в обязанности которого входит, в том числе, организация приема и обработки запросов (п. 3 ч. 4 ст. 22.1 закона № 152-ФЗ).
Операторы ПД не могут запрашивать данные, которые не относятся к исполнению договора. Если человек при покупке товара указывает, что желает получить товар в пункте выдачи, нельзя требовать у него адрес проживания.
Владельцы сайта должны разместить на своем ресурсе публичную оферту с перечнем персональных данных, которые предоставляет пользователь для оказания услуг.
Шпаргалка: порядок действий для владельцев сайтов
Владельцы сайтов могут собирать данные пользователей только с их согласия. При этом пользователь не обязан предоставлять сведения о себе и может в любой момент покинуть сайт.
Собрали чек-лист для владельцев сайтов:
Определите, какие персональные данные будете собирать через сайт. Например, email для рассылок или адрес проживания для доставки товара.
Разработайте политику обработки ПД в соответствии со своими целями и требованиями закона № 152-ФЗ. Актуализируйте политику под специфику своего бизнеса. Например, укажите новые категории субъектов ПД, если бизнес расширился. Разместите ссылку на документ в «подвале» сайта.
Разместите форму для сбора ПД и дайте возможность посетителям выразить свое согласие — поставить «галку» или нажать кнопку. В форму добавьте ссылку на пользовательское соглашение.
Добавьте на сайт баннер, информирующий о сборе файлов cookie.
Составьте договор оферты с перечнем данных, которые собираете. Собирать можно только данные, связанные с оказанием услуги, избыточные — запрещено.
Назначьте ответственное лицо за организацию приема и работы с обращениями пользователей. Разработайте регламент по работе с запросами.
На сайте «Роском Онлайн» вы можете получить следующую помощь:
Подготовка документов. Закажите полный пакет документов или разработку локального регламента (например, политику обработки ПД), полное соответствие требованиям закона 152-ФЗ.
Чек-лист. Скачайте инструкцию со списком регламентов и НПА (более 60 форм).
Бесплатная консультация. Эксперты «Роском Онлайн» ответят на ваши вопросы и подскажут, как действовать в конкретной ситуации. Например, как правильно организовать сбор персональных данных на сайте.
Не знаете, с чего начать? Запишитесь на консультацию и получите рекомендации от специалистов.
Читайте также:
Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным
Организуйте в своей компании работу с персональными данными согласно требованиям закона
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFHCEgHn
Начать дискуссию