471 подписчик
Не одним согласием едины: что изменилось в хранении и обработке персональных данных с сентября
Нововведения в сфере персональных данных не отступают. Только закончилась волна подачи уведомлений в РКН, прогремели новые изменения: с сентября нельзя включать условие о согласии на обработку данных в пользовательские соглашения, договоры с потребителями или любые другие общие документы. Согласие должно выражаться отдельным волеизъявлением, чтобы пользователь точно понимал, на что он соглашается. Кроме этого, в согласии нужно понятно идентифицировать лицо, которое дало согласие и хранить доказательства получения согласий.
⤵️Разбираемся подробнее вместе с Антониной Шишановой, адвокатом в сфере ИС, медиа и ИТ, что это значит для онлайн-бизнеса и как менять процессы.
Отдельные согласия: что поменялось и как получать?
Теперь для получения согласий особенно важно убедиться, что:
📍 Пользователь прочитал это согласие и понимает, с чем соглашается. Именно поэтому оно не должно быть «вшито» в другие документы, которые пользователь может и вовсе не дочитать до конца и не увидеть условий обработки его данных;
📍Пользователь выражает согласие на обработку отдельно от любых других согласий. Никаких: «принимая условия пользовательского соглашения, я даю согласие на обработку» и «создавая личный кабинет, я соглашаюсь на обработку». Пользователь должен выражать такое согласие отдельно: он должен всегда ставить «галочку» согласия с конкретной обработкой, а ни с чем-то другим, что влечет и его согласие на обработку.
Как идентифицировать субъекта персональных данных?
Согласие должно исходить от конкретного лица, которое можно определить.
Если Иванов Ивановых много, потом может быть сложно доказать, какой Иван такое согласие дал.
При вопросе подтверждения сбора данных от конкретного лица, многие решают, что надо в обязательном порядке запрашивать у такого субъекта паспортные данные. Ведь это как раз то, что точно отличит одного Ивана от другого.
Чем такой подход плох?
Если вам для целей обработки нужны только имя и номер телефона, но вы еще просите паспортные данные для идентификации - это лишнее и не соответствует вашим целям обработки. Кроме этого, это может отпугнуть и пользователей - никто обычно не хочет светить свои персональные данные при регистрации на сайте. РКН тоже отзывается критично о сборе персональных данных просто так.
Лучше выбирать другие пути для отличия одного Ивана от другого: например, запрашивать дату рождения. Это также поможет идентифицировать конкретного субъекта. Конечно, мы не спасены от полных тезок, родившихся в один день, но таких совпадений точно не множество. А сбор таких данных как дата рождения можно оправдать направлением клиентам поздравлений.
Как собирать доказательства согласия на обработку?
Если вы не обрабатываете биометрию и специальные категории данных, то согласие может быть получено в любой форме. Поэтому соблюдение всех обязательных маркеров для письменного согласия (ч. 4 ст. 9 ФЗ «О персональных данных») необязательно. Соответственно, и личная подпись субъекта для простого согласия не требуется.
Здесь все в порядке и изменения никак не затронули возможность сбора согласия путем получения «галочки» в чек-боксе от пользователя.
Важное здесь: обеспечивать хранение подтверждения полученной «галочки». Это можно делать за счет сохранения системных лог-файлов, в которых будет информация о дате получения согласии и с какого устройства/от какого пользователя оно было получено. Рекомендуется лог-файлы систематически выгружать и сохранять, чтобы в случае жалобы пользователя можно было их представить как доказательство в РКН.
Ставьте лайк ❤️ если было полезно и не забывайте поделиться материалом с коллегами
3 минуты
24 октября