Как оформить чек-бокс для получения согласия на обработку персональных данных? Обязательно ли в согласии перечислять всех лиц, которым передаются данные (Яндекс.Метрике)? Правда ли, что лучше не подавать уведомление в Роскомнадзор, чтобы избежать проверки? Как правильно оформить цели обработки? В этой статье – ответы на самые каверзные вопросы о сборе персональных данных на сайте.
Для ШОРТРИД рассказывает Элина Муханова, юрист Comply
Как правильно оформить на сайте чек-бокс для получения согласия на обработку персональных данных?
Как правило, чек-бокс размещают возле формы сбора данных на сайте оператора персональных данных. Это могут быть такие формы:
Форма обратной связи. Например, «заказать обратный звонок» или «задать вопрос» или форма для оформления заказа. В этой форме субъект предоставляет свои персональные данные, чтобы обратиться к оператору по интересующим его вопросам о продукте или оформить покупку.
В данном случае оператор вправе обрабатывать данные субъекта без каких-либо специальных согласий субъекта на основании законного интереса оператора в предоставлении своего продукта или услуги как можно большему числу потенциальных клиентов, и в конечном счете для получения прибыли, а также заключения договора с ним.
Это связано с тем, что обработка персональных данных возможна без согласия, если у оператора есть иные основания обработки персональных данных, предусмотренные Законом № 152-ФЗ. В рассматриваем случае, например, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект, а также для заключения договора по инициативе субъекта (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ), а также для осуществления прав и законных интересов оператора (п. 7.1 ст. 6 Закона № 152-ФЗ).
Таким образом, если обработка персональных данных субъекта не будет выходить за рамки ответа на запрос или оформления покупки, то получать отдельное согласие субъекта персональных данных не требуется, достаточно разместить оферту или иной документ, в соответствии с которым субъект оформляет покупку на сайте оператора. Но если используете эти данные еще и в других целях (например, для сбора аналитики), то согласие понадобится.
Форма регистрации. В этой форме субъект предоставляет свои персональные данные с целью регистрации в личном кабинете на сайте оператора.
Зачастую процесс регистрации завершается принятием субъектом условий пользовательского соглашения, который в данном случае будет являться основанием обработки его персональных данных (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).
Нередко на шаге регистрации субъекту предлагается предоставить согласие на обработку его персональных данных в дополнительных целях оператора, не связанных с исполнением пользовательского соглашения, например: для улучшения пользовательского опыта, создания и развития существующих и новых сервисов, продуктов, услуг; проведения статистических и иных исследований.
Для таких целей оператору потребуется отдельное согласие на обработку персональных данных. Текст у чек-бокса лучше скорректировать так (на слове «согласен» должна быть гиперссылка на текст согласия):
☐ Согласен на обработку персональных данных
То есть совсем не обязательно указывать у чек-бокса «Я согласен с Политикой конфиденциальности». Политика конфиденциальности может быть опубликована в другом месте (обычно в подвале сайта или другом разделе).
Если вы обрабатываете персональные данные только для исполнения условий пользовательского соглашения, то фактически дополнительное согласие субъекта не требуется, то есть такой чек-бокс не нужен.
Форма для рассылок. Речь идет о подписке на рекламную и информационную рассылку оператора.
Получение такого согласия прямо предусмотрено в ст. 15 Закона № 152-ФЗ. Сам текст у чек-бокса лучше скорректировать так (чтобы одновременно соблюсти и требование ст. 18 Федерально закона от 13.03.2006 № 38-ФЗ «О рекламе»):
☐ Согласен получать рекламу
Отсутствие согласия на обработку персональных данных в этом случае будет нарушением ч. 1 ст. 13.11 КоАП. За него предусмотрен штраф для юридических лиц в размере от 60 000 до 100 000 рублей за первое нарушение и от 100 000 до 300 000 рублей за повторное.
Отдельная ответственность предусмотрена за нарушение законодательства о рекламе. Так, за нарушение установленных законодательством о рекламе требований к рекламе, распространяемой по сетям электросвязи, предусмотрен штраф для юридических лиц в размере от 300 000 до 1 000 000 рублей (ч. 4.1 ст. 14.3 КоАП).
Более подробно о требованиях к согласию на рекламу, его фиксации мы писали в отдельном материале для Шортрид.
Таким образом, только в определенных случаях оператор обязан разработать и разместить согласие на обработку персональных данных и зафиксировать его предоставление субъектом.
Для ШОРТРИД рассказывает Элина Муханова, юрист Comply
Как правильно оформить на сайте чек-бокс для получения согласия на обработку персональных данных?
Как правило, чек-бокс размещают возле формы сбора данных на сайте оператора персональных данных. Это могут быть такие формы:
Форма обратной связи. Например, «заказать обратный звонок» или «задать вопрос» или форма для оформления заказа. В этой форме субъект предоставляет свои персональные данные, чтобы обратиться к оператору по интересующим его вопросам о продукте или оформить покупку.
В данном случае оператор вправе обрабатывать данные субъекта без каких-либо специальных согласий субъекта на основании законного интереса оператора в предоставлении своего продукта или услуги как можно большему числу потенциальных клиентов, и в конечном счете для получения прибыли, а также заключения договора с ним.
Это связано с тем, что обработка персональных данных возможна без согласия, если у оператора есть иные основания обработки персональных данных, предусмотренные Законом № 152-ФЗ. В рассматриваем случае, например, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект, а также для заключения договора по инициативе субъекта (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ), а также для осуществления прав и законных интересов оператора (п. 7.1 ст. 6 Закона № 152-ФЗ).
Таким образом, если обработка персональных данных субъекта не будет выходить за рамки ответа на запрос или оформления покупки, то получать отдельное согласие субъекта персональных данных не требуется, достаточно разместить оферту или иной документ, в соответствии с которым субъект оформляет покупку на сайте оператора. Но если используете эти данные еще и в других целях (например, для сбора аналитики), то согласие понадобится.
Форма регистрации. В этой форме субъект предоставляет свои персональные данные с целью регистрации в личном кабинете на сайте оператора.
Зачастую процесс регистрации завершается принятием субъектом условий пользовательского соглашения, который в данном случае будет являться основанием обработки его персональных данных (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).
Нередко на шаге регистрации субъекту предлагается предоставить согласие на обработку его персональных данных в дополнительных целях оператора, не связанных с исполнением пользовательского соглашения, например: для улучшения пользовательского опыта, создания и развития существующих и новых сервисов, продуктов, услуг; проведения статистических и иных исследований.
Для таких целей оператору потребуется отдельное согласие на обработку персональных данных. Текст у чек-бокса лучше скорректировать так (на слове «согласен» должна быть гиперссылка на текст согласия):
☐ Согласен на обработку персональных данных
То есть совсем не обязательно указывать у чек-бокса «Я согласен с Политикой конфиденциальности». Политика конфиденциальности может быть опубликована в другом месте (обычно в подвале сайта или другом разделе).
Если вы обрабатываете персональные данные только для исполнения условий пользовательского соглашения, то фактически дополнительное согласие субъекта не требуется, то есть такой чек-бокс не нужен.
Форма для рассылок. Речь идет о подписке на рекламную и информационную рассылку оператора.
Получение такого согласия прямо предусмотрено в ст. 15 Закона № 152-ФЗ. Сам текст у чек-бокса лучше скорректировать так (чтобы одновременно соблюсти и требование ст. 18 Федерально закона от 13.03.2006 № 38-ФЗ «О рекламе»):
☐ Согласен получать рекламу
Отсутствие согласия на обработку персональных данных в этом случае будет нарушением ч. 1 ст. 13.11 КоАП. За него предусмотрен штраф для юридических лиц в размере от 60 000 до 100 000 рублей за первое нарушение и от 100 000 до 300 000 рублей за повторное.
Отдельная ответственность предусмотрена за нарушение законодательства о рекламе. Так, за нарушение установленных законодательством о рекламе требований к рекламе, распространяемой по сетям электросвязи, предусмотрен штраф для юридических лиц в размере от 300 000 до 1 000 000 рублей (ч. 4.1 ст. 14.3 КоАП).
Более подробно о требованиях к согласию на рекламу, его фиксации мы писали в отдельном материале для Шортрид.
Таким образом, только в определенных случаях оператор обязан разработать и разместить согласие на обработку персональных данных и зафиксировать его предоставление субъектом.
ВАЖНО
Будем честны, Роскомнадзор не охотно верит во что-либо, кроме согласия субъекта в случае обработки персональных данных на сайте, и по традиции ищет слово «согласие / согласен» возле форм сбора данных.
Как же минимизировать риски оператору?
Первый вариант: уважить мнение Роскомнадзора и разместить у каждой формы чек-бокс со ссылками на согласия, но это может быть не удобно для оператора.
Второй вариант: в случаях, когда у оператора есть иные основания обработки персональных данных, добавить дисклеймер об обработке персональных данных к формам. В нем можно указать минимальную информацию об условиях обработки персональных данных – целях, сроках обработки и сослаться на политику конфиденциальности.
Такой дисклеймер не обязательно показывать сразу, можно добавить текст с гиперссылкой, например: «Нажимая кнопку «Заказать звонок», вы подтверждаете, что ознакомлены с Политикой конфиденциальности. Подробнее». По нажатию на «подробнее» может всплывать pop-up с дисклеймером или же может открываться другая страница сайта с его текстом.
Можно ли включить согласие об обработке персональных данных в политику конфиденциальности?
Лучше не надо. Некоторые операторы персональных данных включают в текст политики конфиденциальности положения, которые по своей сути являются согласием на обработку персональных данных.
В таком случае мы рекомендуем оператору выделить согласие на обработку персональных данных в отдельный документ. Детализацию некоторых положений согласия, которые по каким-либо причинам не включены в его текст, можно предусмотреть в политике конфиденциальности. В согласии должна быть гиперссылка на раздел политики конфиденциальности, содержащий эту детализированную информацию.
Можно ли не указывать все цели обработки персональных данных в политике конфиденциальности?
Согласно позиции Роскомнадзора в политике конфиденциальности по каждой цели обработки персональных данных должны быть отражены все те данные, которые предусмотрены в п. 2 ч. 1 ст. 18.1 Законы № 152-ФЗ, а именно:
Если оператор не хочет раскрывать всю эту информацию в отношении внутренних целей обработки персональных данных (трудовые отношения, юридическая поддержка бизнеса и т.д.), то допустимо указать в политике на сайте только «внешние» цели обработки персональных данных. Например, цели обработки персональных данных клиентов, соискателей, посетителей сайта. Но рекомендуем прописать в публичной политике, что описание всех иных целей обработки персональных данных закреплено в отдельных локальных-нормативных актах оператора. Это соответствует позиции Роскомнадзора.
Важно, чтобы цели в политике конфиденциальности были отражены так же, как они отражены в реестре операторов персональных данных. В противном случае, при установлении Роскомнадзором трех и более расхождений в информации, указанной оператором в реестре операторов персональных данных и информации в политике конфиденциальности, Роскомнадзор может провести внеплановые контрольные (надзорные) мероприятия (Приказ Минцифры от 17.08.2023 № 720).
Нужно ли в согласии или в политике конфиденциальности указывать, кому конкретно могут передаваться персональные данные (Яндекс. Метрика, Юнисендер и т.д.)?
Формально нет, но Роскомнадзор считает, что нужно.
Закон требует указывать информацию о лицах, осуществляющих обработку персональных данных по поручению оператора только в согласиях, для которых законом определена строгая письменная форма. Для политики конфиденциальности таких требований нет. Оператор может указать список таких третьих лиц по своему желанию – это хорошая практика.
К тому же список таких третьих лиц у оператора все равно должен быть на случай получения запроса субъекта о передаче его персональных данных третьим лицам, а также для своевременной актуализации внутренних документов и соглашений с третьими лицами, которые обрабатывают персональные данные по поручению оператора.
Для нестрогих согласий фактически такие требования тоже отсутствуют. Но у Роскомнадзора есть мнение, согласно которому информацию о третьих лицах, обрабатывающих персональных данных, следует собирать в отдельный список по ссылке из согласия. Такой список должен быть опубликован на официальном сайте оператора. В этом списке должны быть указаны не только третьи лица, но и указаны цели передачи им персональных данных.
Для большинства бизнесов необходимость в сборе у клиентов согласий на обработку персональных данных в строгой письменной форме встречается редко, следовательно, и список третьих лиц, которым передаются персональных данных, не требуется.
Но мы в свою очередь уже рекомендуем клиентам формировать список якорных третьих лиц, которыми оператор регулярно передает персональные данные и взаимодействует условно на постоянной основе. Этот список может быть опубликован на отдельной странице сайта, а ссылка на него может быть представлена в политике конфиденциальности или согласиях.
Если на сайте есть отзывы клиентов с указанием ФИО и фото (или просто ФИО), то считается ли это распространением персональных данных?
Да, публикация отзывов клиентов с указанием его ФИО и фото или с указанием только ФИО является распространением персональных данных и должна соответствовать ст. 10.1 Закона № 152-ФЗ. Согласно этой статье, согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку персональных данных субъекта.
Роскомнадзор отмечает (таймкод 2:52:28), что способы получения согласия разрабатываются на усмотрение оператора с учетом возможностей и функционала его сайта. В качестве примеров Роскомнадзор выделяет:
Также важно помнить, что оператор обязан опубликовать информацию об установленных субъектом условиях обработки персональных данных и о наличии запретов и условий на обработку неограниченным кругом лиц его персональных данных (ч. 10 ст. 10.1 Закона № 152-ФЗ).
На практике мало кто из субъектов пользуется этой возможностью. Поэтому при отсутствии удобной функциональности сбора согласий субъектов, отслеживания установленных ими запретов и условий обработки персональных данных, можно воспользоваться промежуточной мерой. Например, включить в политику конфиденциальности общее положение об отсутствии запретов и условий на обработку персональных данных неограниченным кругом лиц. Отдельно стоит прописать в документе положение об изменении политики конфиденциальности и публикации соответствующих условий и запретов субъекта при их появлении в будущем. Такой подход позволит минимизировать затраты оператора.
При этом, как кажется, публикация отзывов возможна с указанием только имени клиента, что позволит оператору избежать сбора согласий на обработку персональных данных, разрешенных для распространения.
Читайте также: «Фото и видео человека как биометрические персональные данные. Когда нужно согласие на их обработку?»
Как правильно указывать, до какого момента действует согласие на обработку персональных данных?
Согласно общему принципу, закрепленному в ст. 5 Закона № 152-ФЗ, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В части срока действия согласия на обработку персональных данных это значит, что он должен соответствовать цели обработки персональных данных и не быть избыточным по отношению к нему.
Продолжительность действия согласия должна быть ограничена конкретным сроком (например, день, месяц, год) или определена условием ее прекращения. Об этом говорит и Роскомнадзор (таймкод 1:09:14).
Таким образом, если оператор точно знает срок обработки персональных данных, лучше указывать его в согласии. К примеру, точный срок может быть указан в согласии на обработку персональных данных с целью направления рекламных рассылок. Зачастую в таком согласии указываются сроки в 5 или 10 лет, что соответствует действующей практике.
Бывают случаи, когда невозможно заранее определить срок действия согласия. Такое может происходить при длительном предоставлении услуг клиентам. Если оператор персональных данных собирает согласия на обработку персональных данных дополнительно к заключаемому договору, то срок обработки персональных данных может быть привязан к сроку действия договора с субъектом персональных данных или оказания ему услуги.
Срок действия согласия «до достижения цели обработки персональных данных» будет ошибкой, поскольку такое согласие не считается информированным. У субъекта отсутствует информация, когда оператор персональных данных решит, что цель обработки персональных данных достигнута.
В согласии на обработку персональных данных и политике конфиденциальности оператор может указать любые удобные каналы для направления отзыва или отказа от обработки персональных данных (запроса субъекта). Это может быть специальный адрес электронной почты, ссылка на отдельную форму на сайте, отдельный абонентский ящик и т.д.
Вместе с тем, если субъект направит запрос не по тем каналам, которые были указаны, оператор все равно будет обязан на него отреагировать. Поэтому указание в политике конфиденциальности специальных каналов для направления запросов по персональным данным – это возможность для оператора максимально упорядочить процесс реагирования на запросы субъектов, но никак не возможность их ограничить.
Какую дату обработки персональных данных указывать в уведомлении в Роскомнадзор, если компания давно существует, но только сейчас отправляет уведомление?
Нужно указать конкретную фактическую дату начала совершения действий с персональными данными с использованием средств автоматизации или без использования таких средств (методические рекомендации Роскомнадзора). Как правило, это дата начала осуществления оператором деятельности, закрепленной в учредительных документах. Зачастую дата начала обработки совпадает с датой присвоения ОГРН (ОГРНИП).
Включение компании в реестр операторов персональных данных не является триггером для проверки Роскомнадзора. Также не известны случаи, когда Роскомнадзор привлек бы оператора к ответственности при поздней подаче уведомления.
Что делать, если компания пользуется Гугл аналитикой или другими иностранными сервисами, в которые передаются персональные данные?
Использование Google Analytics или иных иностранных сервисов без каких-либо дополнительных настроек со стороны оператора скорее всего будет сопряжено с трансграничной передачей персональных данных, а также с необходимостью соблюдения требований о локализации персональных данных.
Оператор до начала осуществления трансграничной передачи персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу (ч. 3 ст. 12 Закона № 152-ФЗ). Неуведомление Роскомнадзора является нарушением законодательства.
Но подача уведомления также несет за собой ряд последствий:
Целесообразность уведомления Роскомнадзора необходимо рассматривать в контексте оценки рисков отдельного оператора. Есть различные аргументы «за» и «против» уведомления Роскомнадзора. Поэтому мы в Comply подготовили анонимную анкету, которая поможет операторам принять взвешенное решение по этому вопросу.
При этом, даже при подаче уведомления в Роскомнадзор о трансграничной передаче персональных данных следует не забывать о вопросе локализации персональных данных, наличие которой у оператора станет еще более явным фактом для Роскомнадзора.
О трансграничной передаче читайте также: «Персональные данные в 2023 году: что нужно сделать по новым правилам?»
Должен ли ИП публиковать политику конфиденциальности?
Да, Роскомнадзор считает, что индивидуальных предпринимателей это требование тоже касается.
В соответствии с п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ оператор, являющийся юридическим лицом, обязан издать документ, определяющий политику оператора в отношении обработки персональных данных. Несмотря на приведенную норму, Роскомнадзор считает, что операторы персональных данных – индивидуальные предприниматели также должны размещать (следовательно, и предварительно издать) на сайте документ, определяющий политику в отношении обработки персональных данных.
Ссылка на статью в ШОРТРИД.
Лучше не надо. Некоторые операторы персональных данных включают в текст политики конфиденциальности положения, которые по своей сути являются согласием на обработку персональных данных.
В таком случае мы рекомендуем оператору выделить согласие на обработку персональных данных в отдельный документ. Детализацию некоторых положений согласия, которые по каким-либо причинам не включены в его текст, можно предусмотреть в политике конфиденциальности. В согласии должна быть гиперссылка на раздел политики конфиденциальности, содержащий эту детализированную информацию.
Можно ли не указывать все цели обработки персональных данных в политике конфиденциальности?
Согласно позиции Роскомнадзора в политике конфиденциальности по каждой цели обработки персональных данных должны быть отражены все те данные, которые предусмотрены в п. 2 ч. 1 ст. 18.1 Законы № 152-ФЗ, а именно:
- категории и перечень обрабатываемых персональных данных,
- категории субъектов, персональные данные которых обрабатываются,
- способы, сроки обработки и хранения персональных данных,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Если оператор не хочет раскрывать всю эту информацию в отношении внутренних целей обработки персональных данных (трудовые отношения, юридическая поддержка бизнеса и т.д.), то допустимо указать в политике на сайте только «внешние» цели обработки персональных данных. Например, цели обработки персональных данных клиентов, соискателей, посетителей сайта. Но рекомендуем прописать в публичной политике, что описание всех иных целей обработки персональных данных закреплено в отдельных локальных-нормативных актах оператора. Это соответствует позиции Роскомнадзора.
Важно, чтобы цели в политике конфиденциальности были отражены так же, как они отражены в реестре операторов персональных данных. В противном случае, при установлении Роскомнадзором трех и более расхождений в информации, указанной оператором в реестре операторов персональных данных и информации в политике конфиденциальности, Роскомнадзор может провести внеплановые контрольные (надзорные) мероприятия (Приказ Минцифры от 17.08.2023 № 720).
Нужно ли в согласии или в политике конфиденциальности указывать, кому конкретно могут передаваться персональные данные (Яндекс. Метрика, Юнисендер и т.д.)?
Формально нет, но Роскомнадзор считает, что нужно.
Закон требует указывать информацию о лицах, осуществляющих обработку персональных данных по поручению оператора только в согласиях, для которых законом определена строгая письменная форма. Для политики конфиденциальности таких требований нет. Оператор может указать список таких третьих лиц по своему желанию – это хорошая практика.
К тому же список таких третьих лиц у оператора все равно должен быть на случай получения запроса субъекта о передаче его персональных данных третьим лицам, а также для своевременной актуализации внутренних документов и соглашений с третьими лицами, которые обрабатывают персональные данные по поручению оператора.
Для нестрогих согласий фактически такие требования тоже отсутствуют. Но у Роскомнадзора есть мнение, согласно которому информацию о третьих лицах, обрабатывающих персональных данных, следует собирать в отдельный список по ссылке из согласия. Такой список должен быть опубликован на официальном сайте оператора. В этом списке должны быть указаны не только третьи лица, но и указаны цели передачи им персональных данных.
Для большинства бизнесов необходимость в сборе у клиентов согласий на обработку персональных данных в строгой письменной форме встречается редко, следовательно, и список третьих лиц, которым передаются персональных данных, не требуется.
Но мы в свою очередь уже рекомендуем клиентам формировать список якорных третьих лиц, которыми оператор регулярно передает персональные данные и взаимодействует условно на постоянной основе. Этот список может быть опубликован на отдельной странице сайта, а ссылка на него может быть представлена в политике конфиденциальности или согласиях.
Если на сайте есть отзывы клиентов с указанием ФИО и фото (или просто ФИО), то считается ли это распространением персональных данных?
Да, публикация отзывов клиентов с указанием его ФИО и фото или с указанием только ФИО является распространением персональных данных и должна соответствовать ст. 10.1 Закона № 152-ФЗ. Согласно этой статье, согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку персональных данных субъекта.
Роскомнадзор отмечает (таймкод 2:52:28), что способы получения согласия разрабатываются на усмотрение оператора с учетом возможностей и функционала его сайта. В качестве примеров Роскомнадзор выделяет:
- личный кабинет,
- веб-форму на сайте,
- скачиваемый образец, который субъект заполнит и направит на электронную почту оператора.
Также важно помнить, что оператор обязан опубликовать информацию об установленных субъектом условиях обработки персональных данных и о наличии запретов и условий на обработку неограниченным кругом лиц его персональных данных (ч. 10 ст. 10.1 Закона № 152-ФЗ).
На практике мало кто из субъектов пользуется этой возможностью. Поэтому при отсутствии удобной функциональности сбора согласий субъектов, отслеживания установленных ими запретов и условий обработки персональных данных, можно воспользоваться промежуточной мерой. Например, включить в политику конфиденциальности общее положение об отсутствии запретов и условий на обработку персональных данных неограниченным кругом лиц. Отдельно стоит прописать в документе положение об изменении политики конфиденциальности и публикации соответствующих условий и запретов субъекта при их появлении в будущем. Такой подход позволит минимизировать затраты оператора.
При этом, как кажется, публикация отзывов возможна с указанием только имени клиента, что позволит оператору избежать сбора согласий на обработку персональных данных, разрешенных для распространения.
Читайте также: «Фото и видео человека как биометрические персональные данные. Когда нужно согласие на их обработку?»
Как правильно указывать, до какого момента действует согласие на обработку персональных данных?
Согласно общему принципу, закрепленному в ст. 5 Закона № 152-ФЗ, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В части срока действия согласия на обработку персональных данных это значит, что он должен соответствовать цели обработки персональных данных и не быть избыточным по отношению к нему.
Продолжительность действия согласия должна быть ограничена конкретным сроком (например, день, месяц, год) или определена условием ее прекращения. Об этом говорит и Роскомнадзор (таймкод 1:09:14).
Таким образом, если оператор точно знает срок обработки персональных данных, лучше указывать его в согласии. К примеру, точный срок может быть указан в согласии на обработку персональных данных с целью направления рекламных рассылок. Зачастую в таком согласии указываются сроки в 5 или 10 лет, что соответствует действующей практике.
Бывают случаи, когда невозможно заранее определить срок действия согласия. Такое может происходить при длительном предоставлении услуг клиентам. Если оператор персональных данных собирает согласия на обработку персональных данных дополнительно к заключаемому договору, то срок обработки персональных данных может быть привязан к сроку действия договора с субъектом персональных данных или оказания ему услуги.
Срок действия согласия «до достижения цели обработки персональных данных» будет ошибкой, поскольку такое согласие не считается информированным. У субъекта отсутствует информация, когда оператор персональных данных решит, что цель обработки персональных данных достигнута.
В согласии на обработку персональных данных и политике конфиденциальности оператор может указать любые удобные каналы для направления отзыва или отказа от обработки персональных данных (запроса субъекта). Это может быть специальный адрес электронной почты, ссылка на отдельную форму на сайте, отдельный абонентский ящик и т.д.
Вместе с тем, если субъект направит запрос не по тем каналам, которые были указаны, оператор все равно будет обязан на него отреагировать. Поэтому указание в политике конфиденциальности специальных каналов для направления запросов по персональным данным – это возможность для оператора максимально упорядочить процесс реагирования на запросы субъектов, но никак не возможность их ограничить.
Какую дату обработки персональных данных указывать в уведомлении в Роскомнадзор, если компания давно существует, но только сейчас отправляет уведомление?
Нужно указать конкретную фактическую дату начала совершения действий с персональными данными с использованием средств автоматизации или без использования таких средств (методические рекомендации Роскомнадзора). Как правило, это дата начала осуществления оператором деятельности, закрепленной в учредительных документах. Зачастую дата начала обработки совпадает с датой присвоения ОГРН (ОГРНИП).
Включение компании в реестр операторов персональных данных не является триггером для проверки Роскомнадзора. Также не известны случаи, когда Роскомнадзор привлек бы оператора к ответственности при поздней подаче уведомления.
Что делать, если компания пользуется Гугл аналитикой или другими иностранными сервисами, в которые передаются персональные данные?
Использование Google Analytics или иных иностранных сервисов без каких-либо дополнительных настроек со стороны оператора скорее всего будет сопряжено с трансграничной передачей персональных данных, а также с необходимостью соблюдения требований о локализации персональных данных.
Оператор до начала осуществления трансграничной передачи персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу (ч. 3 ст. 12 Закона № 152-ФЗ). Неуведомление Роскомнадзора является нарушением законодательства.
Но подача уведомления также несет за собой ряд последствий:
- придется периодически актуализировать информацию в реестре операторов персональных данных,
- нужно быть готовым в любой момент получить запрет передачи персональных данных в ту или иную страну и перестроить свои внутренние процессы для соблюдения запрета.
Целесообразность уведомления Роскомнадзора необходимо рассматривать в контексте оценки рисков отдельного оператора. Есть различные аргументы «за» и «против» уведомления Роскомнадзора. Поэтому мы в Comply подготовили анонимную анкету, которая поможет операторам принять взвешенное решение по этому вопросу.
При этом, даже при подаче уведомления в Роскомнадзор о трансграничной передаче персональных данных следует не забывать о вопросе локализации персональных данных, наличие которой у оператора станет еще более явным фактом для Роскомнадзора.
О трансграничной передаче читайте также: «Персональные данные в 2023 году: что нужно сделать по новым правилам?»
Должен ли ИП публиковать политику конфиденциальности?
Да, Роскомнадзор считает, что индивидуальных предпринимателей это требование тоже касается.
В соответствии с п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ оператор, являющийся юридическим лицом, обязан издать документ, определяющий политику оператора в отношении обработки персональных данных. Несмотря на приведенную норму, Роскомнадзор считает, что операторы персональных данных – индивидуальные предприниматели также должны размещать (следовательно, и предварительно издать) на сайте документ, определяющий политику в отношении обработки персональных данных.
Ссылка на статью в ШОРТРИД.