За последний год существенный сегмент рынка перешел в онлайн. В результате компании начали гораздо активнее работать с персональными данными своих клиентов – при оформлении заказов, рассылке рекламных материалов и даже при функционировании сайта. В чем специфика сбора данных пользователей через сайт? Какие данные относятся к персональным? Как соблюсти требования законодательства?
Рассказывает:
Ирина Ахмедова,
руководитель практики интеллектуальной собственности и персональных данных юридической фирмы КЛИФФ
Какая информация, собираемая через сайт, является персональными данными?
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Федерального закона от 27.07.2006 № 52-ФЗ «О персональных данных», далее – Закон о ПД).
Например, компания может запрашивать на сайте ФИО, телефон и адрес электронной почты пользователей. В этом случае однозначно считается, что она собирает персональные данные. Поэтому если, допустим, на сайте предусмотрена форма обратной связи, в которой физлицо может заполнить такие данные, то компания будет являться оператором персональных данных, ей нужно будет подготовить всю документацию, а в ряде случаев — уведомить Роскомнадзор о сборе и обработке персональных данных
На заметку
Не все компании, которые являются операторами персональных данных, должны уведомлять об этом Роскомнадзор. Есть исключения, предусмотренные Законом о ПД (ч. 2 ст. 22). Например, если компания обрабатывает только ПД соискателей, работников и клиентов – физических лиц (в том числе через сайт) и никому их не передает, то уведомлять Роскомнадзор не требуется.
Но есть и неоднозначные ситуации. Например, если компания собирает на сайте только адреса электронной почты (допустим, есть опция «Подписаться на рассылку») и файлы cookie без ФИО пользователя. До сих пор нет единой позиции, считать ли номер телефона, адрес электронной почты и иные данные персональными.
Представители Роскомнадзора в комментарии к Закону о ПД указывали, что не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных данных фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Такие данные можно относить к персональным данным, только если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо (с. 17).
При этом, согласно позиции Минкомвязи (Письмо Минкомсвязи от 07.07.2017 № П11-15054-ОГ), адрес электронной почты могут признать персональными данными в случае, когда он относится к прямо или косвенно определенному или определяемому физическому лицу.
Закон о ПД говорит не об установлении личности лица, а о его обособлении. Поэтому и номер телефона, и частный адрес электронной почты можно признать персональными данными. Эти данные обособляют их владельца от других лиц. Кроме того, обратившись к третьим лицам (например, правоохранительным органам) на основании этих данных можно непосредственно идентифицировать личность. Ирина Ахмедова рекомендует исходить из того, что такие данные являются персональными, и выполнять в отношении них требования Закона о ПД.
Кроме того, в России в последнее время наблюдается тенденция к тому, чтобы относить к персональным данным:
-
- файлы cookie (Определение Мосгорсуда от 10.11.2016 по делу № 33-38783/2016, Решение АС г. Москвы по делу № А40-14902/2016-84-126);
- ID пользователей (Постановление 13 ААС от 01.07.2016 по делу № А56-6698/2016);
- аналитические данные, например, из сервисов Google.Analytics и Яндекс.Метрика (Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 2-4261/18).
На заметку
Европейское законодательство прямо признает файлы cookie персональными данными. В ст. 4(1) GDPR прямо указано, что онлайн-идентификаторы являются персональными данными.
Что такое удаленный сбор персональных данных?
Закон о ПД не содержит определения понятия «сбор персональных данных». Согласно разъяснениям Минкомсвязи и Роскомнадзора под сбором понимается целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных.
При удаленном сборе персональных данных нет прямого взаимодействия (физического присутствия в одном месте) оператора и субъекта персональных данных. Как следствие, у оператора нет возможности удостовериться в личности субъекта, который предоставляет персональные данные, и получить «бумажное» согласие на обработку.
Удаленный сбор будет иметь место, если персональные данные собираются:
-
- через сайт в интернете или мобильное приложение,
- с использованием электронной почты,
- через телефонный звонок,
- через почтовую связь.
Как решить проблему с подтверждением личности субъекта при удаленном сборе?
Подтверждение личности необходимо только в случаях, когда требуется письменное согласие на обработку ПД.
При обычном сборе, как правило, есть возможность проверить личность субъекта, предоставляющего свои персональные данные, например, посмотреть паспорт. На «бумажном» согласии субъект персональных данных ставит собственноручную подпись. При удаленном сборе эту проблему решить довольно трудно.
Варианты подтверждения, которые допускает закон:
-
- усиленная квалифицированная электронная подпись (п. 1 ст. 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»),
- нотариальное удостоверение подписи (ст. 80 Основ законодательства Российской Федерации о нотариате, утв. ВС РФ 11.02.1993 № 4462-1).
Но можно попробовать и другие варианты:
-
- использовать технические меры подтверждения через почту/смс/пин-код (по сути, это простая электронная подпись),
- запрашивать оригинал согласия по почте,
- государственный опыт: подтверждение в Единой системе идентификации авторизации (ЕСИА),
- практический опыт (не вполне отвечающий требованиям закона): идентификация по «живой» фотографии с паспортом в руках.
Как решить проблему получения персональных данных через третьих лиц?
В качестве третьих лиц могут действовать представители субъекта персональных данных и не представители («передающие»).
Закон о ПД обязывает оператора проверять полномочия представителя давать согласие от имени субъекта персональных данных (ч. 1 ст. 9 Закона о ПД). Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (ч. 3 ст. 9 Закона о ПД).
Оператор может получить персональные данные от лица, не являющегося субъектом или его представителем, при условии, что получит подтверждение наличия оснований обработки персональных данных без согласия субъекта (ч. 8 ст. 9 Закона о ПД). Например, это могут быть персональные данные выгодоприобретателя по договору.
Удачным примером чек-бокса для подобных случаев можно назвать форму с сайта РЖД со следующей формулировкой: «Настоящим подтверждаю, что в случае оформления мною проездных документов на третьих лиц, предоставляю персональные данные с их согласия».
Что нужно предусмотреть, собирая персональные данные через сайт?
Проверьте:
-
- Размещена ли политика обработки персональных данных на сайте (ч. 2 ст. 18.1 Закона о ПД). Особое внимание нужно уделить разделу с контактами и обращениями (отзыв, уточнение, получение информации), поскольку отсутствие или недостаточное содержание данных разделов является наиболее частым предметом жалоб субъектов персональных данных и запросов со стороны Роскомнадзора.
-
- Предусмотрены ли чек-боксы для получения:
-
-
- согласия на обработку персональных данных и ознакомления с политикой (ч. 1 ст. 9 Закона о ПД),
- согласия на использование файлов cookie (ч. 1 ст. 9 Закона о ПД),
- согласия на рекламную рассылку / подписку (ч. 1 ст. 15 и ч. 2 ст. 5 Закона о ПД).
-
Обратите внимание, что не допускается обработка персональных данных, не совместимая с целями сбора персональных данных. Поэтому согласие на рассылку и на обработку персональных данных нужно получать отдельно.
Закон и практика требуют получать отдельное согласие на каждую цель обработки ПД. Цель должна быть законной и следовать из правоотношения, в которое оператор вступает с субъектом ПД. Целесообразно реализовать на сайте несколько чек-боксов согласий, в которых пользователь будет проставлять галочки по мере использования сайта. Например, при оформлении заказа – один чек-бокс, для создания личного кабинета – другой, для обсуждений на форуме – третий, для заказа звонка – еще один. Для аналитики действий пользователя на сайте и для функционирования сайта оформляется согласие на использование cookie. В Политике обработки персональных данных при этом могут быть указаны сразу все цели.
Обратите внимание: Политика никакого отношения к согласию не имеет, согласие выражается в форме «Я даю согласие…..». Неверно писать «Я согласен с Политикой» или «Я ознакомился с Политикой». Согласие предоставляется в момент проставления галочки и предоставляется в конкретных обусловленных обстоятельствами целях.
-
- Опубликованы ли сведения о реализуемых требованиях к защите персональных данных (ч. 2 ст. 18.1 Закона о ПД). Они могут быть оформлены как раздел Политики обработки персональных данных, как приложение или как самостоятельный документ.
-
- Установлен ли защищенный протокол получения персональных данных на сайте (HTTPS c сертификатом SSL). SSL-сертификат необходим для защиты и шифрования персональных данных. Для передачи персональных данных через интернет требуется применение средств криптографической защиты информации (например, КриптоПро). Это требование следует из раздела 2 Методических рекомендаций, утв. ФСБ России 31.03.2015 № 149/7/2/6-432.
На заметку
Обратите внимание, что для оформления подписки и направления пользователю рекламной рассылки в обязательном порядке необходимо получать предварительное согласие в соответствии с п. 1 ст. 18 Закона о рекламе.
Как правильно получить согласие при сборе персональных данных через сайт?
Субъект персональных данных может дать согласие на их обработку в любой позволяющей подтвердить факт его получения форме (ч. 1 ст. 9 Закона о ПД). Основная цель оператора – подтвердить факт получения согласия. С учетом этой цели собирать согласия можно несколькими способами:
-
- электронная форма с проставлением обычной «галочки». Этот вариант применяется, когда нет личного кабинета и, соответственно, не происходит формирования простой электронной подписи;
- электронная форма с простой электронной подписью в виде «галочки». Логин и пароль при регистрации выступают в качестве ключа простой электронной подписи. При осуществлении действий, для которых передаются персональные данные, с использованием логина и пароля формируется электронный документ, в котором средствами сайта / мобильного приложения указывается лицо, осуществившее действие (например, заказ товара, участие в мероприятии). По сути, это будет простой электронной подписью, сгенерированной при помощи логина и пароля.
- электронный документ, подписанный простой электронной подписью в виде СМС. Ключом простой электронной подписи считается СМС-код, отправленный на телефон субъекта персональных данных при регистрации на сайте / в мобильном приложении (Определение Приморского краевого суда от 07.04.2015 по делу № 33-2865/2015, Апелляционное определение Свердловского областного суда от 04.07.2019 по делу № 33-10451/2019).
- электронная форма в виде согласия, выраженного в электронном письме с электронной почты субъекта персональных данных. Ключом выступает письмо, отправленное на электронную почту, указанную при регистрации, со ссылкой для перехода и переход по ссылке для подтверждения регистрации.
Статьи по теме
Соцсети смогут передавать данные пользователей третьим лицам только при наличии специального согласия
В законе больше не будет понятия общедоступных персональных данных. Вместо него появятся данные, которые пользователь разрешил распространить неопределенному кругу лиц....
Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?
Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не...
Юридический аудит сайта: что проверить в первую очередь?
Провести аудит сайта и оценить юридические риски – комплексная задача. Есть некоторые общие требования для всех сайтов и есть индивидуальные...
Ошибки в работе с персональными данными. За какие нарушения штрафует Роскомнадзор?
В 2017 году в КоАП РФ внесли поправки, ужесточающие административную ответственность за нарушения законодательства в области персональных данных. В результате...