Теперь давайте поговорим о другом страшном слове — согласие. У нас есть сразу три вида согласия, о которых стоит помнить:
Где все это прописано? Правильно, снова открываем федеральный закон — Федеральный закон от 27.07.2006 № ФЗ-152 «О персональных данных».
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Персональные данные — это информация, которая может быть использована для идентификации человека. И вот, что к ним относится:
Проще говоря, персональными данными может быть любая информация, которая позволяет соотнести ее с конкретным человеком. И это наш второй важный момент.
Скажу по секрету: даже IP-адрес пользователя — это тоже персональные данные. Удивлены? Ну что ж, добро пожаловать в мир юриспруденции, где каждую деталь можно (и нужно) учитывать.
Данных много, информации всегда мало. Это именно про нас. Друзья, не забываем про интересную формулировку закона – излишне обрабатываемые персональные данные. Если Роскомнадзор посчитает, что мы берем больше информации, чем нам необходимо для достижения цели обработки … правильно, нас снова накажут!
Теперь, когда организационная подготовка завершена, мы можем перейти к работе с согласиями.
Напоминаю: согласия на обработку персональных данных могут быть переданы как на бумаге, так и в электронной форме (важно отметить, что электронная форма тоже считается письменной).
Но начнем с самого простого — бумажного варианта. Почему именно он? Все очевидно: это наиболее надежный способ, который легко подтвердить при необходимости. Да и «живые» подписи всегда внушают больше доверия.
Теперь о главном.
Конечно, можно пойти творческим путем: придумать форму самостоятельно, расписать ее в красках, распечатать и вручать всем подряд. Звучит весело, но, увы, совершенно неправильно. Ведь уже говорилось: за излишне обрабатываемые персональные данные можно сильно поплатиться.
Каждое согласие должно быть индивидуальным и составляться под конкретную ситуацию: мероприятие, акцию, образовательную программу или любую другую активность.
Приведу пример. Допустим, НКО как образовательная организация собирает данные для зачисления на обучение: уровень образования, стаж работы, квалификацию. В этом случае сбор таких данных полностью оправдан. Но если НКО организует новогодний утренник, тот же самый перечень данных будет выглядеть как минимум избыточным, а как максимум — нарушением закона.
Или другой случай: акция «Спасем котика», а в форме согласия вдруг появляются пункты о СНИЛС, ИНН и паспортных данных. Где логика?
Поэтому при составлении формы задаем себе два простых, но важных вопроса:
На сайте Роскомнадзора появился новый официальный раздел: «Согласие на обработку персональных данных, разрешенных для распространения». Теперь все проще: вы можете зайти на сайт, заполнить форму, выбрать подходящие пункты и отправить ее на проверку. После проверки вам выдадут утвержденную форму согласия, которую можно использовать как шаблон.
Это, конечно, облегчает жизнь, но помните: каждое согласие должно быть индивидуальным для конкретной цели.
Даже если форма согласия адаптирована под задачу, есть минимальный перечень обязательных данных, которые нужно включить:
Тут важно иметь ввиду, если цель обработки персональных данных не связана с рассылкой рекламных материалов, необходимо брать отдельное согласие на рассылку рекламных материалов.
А если получено согласие на получение рекламы, это еще не значит, что автоматически получено согласие на обработку персональных данных.
Согласия хранятся столько, сколько обрабатываются персональные данные. Где и как они хранятся — прописывается в ваших внутренних положениях и инструкциях.
Если указано, что согласия должны храниться в сейфе, значит, сейф должен быть опечатан. Если в электронном виде, то диск или сервер обязаны быть защищены паролем, а все используемое ПО — соответствовать регламентам ФСТЭК или ФСБ. В общем, все должно быть строго в рамках закона. Что написали в документах — то и соблюдаем.
Теперь о вариантах получения бумажного согласия. Оно может быть получено как лично, так и удаленно.
Если человек находится на другом конце Интернета, он может распечатать форму, заполнить ее вручную, подписать и отправить вам фото или скан любым удобным способом: по электронной почте, в мессенджере и т.д. Ваша задача — скачать полученный документ, сделать скриншот сообщения, в котором видно, откуда, как и когда вы получили согласие. Затем это все нужно сохранить в соответствии с правилами хранения, описанными выше.
Как видите, процесс несложный, но требует внимательности и дисциплины. И, что самое главное, все взаимосвязано: правила хранения согласий опираются на внутренние инструкции, а сами согласия формируются исходя из целей обработки персональных данных.
В данном случае вы получили электронный образ бумажного документа, это не электронный документ (в понимании того самого Закона о защите информации)
Определение электронного документа приведено в Федеральном законе «Об информации, информационных технологиях и о защите информации»:
Ст.2. пп. 11.1: электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
Продолжим с разбором электронных согласий? Или углубимся в нюансы хранения и проверки?
Как часто вы видели формы регистрации и согласий на сайтах?
Практически везде. Заполняешь форму, ставишь галочку — и готово. Все просто и доступно. Помните, мы говорили о кофе и безе? Отложим этот момент, ведь сейчас не до расслабления.
Форма электронного согласия должна в точности повторять письменное. Просто пустые строчки для ввода данных и галочка «Я согласен» — это недостаточно. Основное правило закона остается неизменным: согласие на обработку персональных данных должно быть четким, понятным и полным.
А в случае с электронными согласиями, нужно иметь возможность доказать, что именно от субъекта ПДн это согласие получено.
Мы обязаны предоставить пользователю полный текст согласия, чтобы он мог внимательно ознакомиться с ним. И только после этого он может принять или отклонить его.
Как технически обеспечить это требование? Здесь на помощь придут программисты и администраторы вашего сайта, группы или блога. Веб-технологии — не моя специализация, поэтому здесь доверимся профессионалам.
Теперь поговорим о действительно важном моменте, который часто упускают из виду. Это вопрос идентификации пользователя, которого вы не видите.
Из практики рассмотрения дел в Федеральной антимонопольной службе (ФАС) могу сказать, что эта тема становится «камнем преткновения» для нарушителей закона о рекламе. Однажды на заседании один рекламодатель заявил, что я сам заполнил анкету на его сайте, и поэтому он имел право присылать мне свои коммерческие предложения. Один мой вопрос — о доказательствах идентификации, что именно я дал согласие, — разрушил все его планы избежать наказания.
Когда ваш пользователь заполняет анкету, ставит галочку и отправляет согласие, ваш сайт фиксирует это событие. Все это записывается в виде логов действий пользователя и ответов сервера.
Что такое логи? Это своего рода цифровая память сайта, которая сохраняет:
Да, IP-адрес — это персональные данные. Именно он играет роль электронного паспорта в Интернете. Если возникнет спорная ситуация, вы всегда сможете доказать, что в конкретный день и в конкретное время с определённого IP-адреса было отправлено согласие.
Не согласны? Запрашиваем у провайдера данные о том, какой IP-адрес был у устройства в этот момент. Провайдеры хранят эти сведения до трех лет и с радостью их предоставят по запросу.
Как хранить логи?
Важно не просто фиксировать логи, но и своевременно их сохранять. Где именно хранятся логи и как их настроить, подскажет администратор вашего сайта. Если у вас нет доверия к технической части, не стесняйтесь проконсультироваться с профессионалами.
Помните, обработку ip-адреса также нужно указать в объеме персональных данных в согласии.
Каждое согласие должно быть четко идентифицировано с человеком, который его передал. Если вы не уверены в точности данных или есть сомнения, запросите повторное согласие или откажитесь от обработки данных. Здесь хорошо спасает двухфакторная аутентификация. Если в последующем пользователь (субъект Пдн) заявит, что не предоставлял номер телефона заполнен не им, то при двухфакторной аутентификации (подтверждение номера посредством смс, например), довод пользователя будет менее правдоподобным.
Доверие и точность — главные принципы работы с персональными данными.
Email-рассылки — это мощный инструмент взаимодействия с аудиторией, но он требует строгого соблюдения законодательства.
Основные выводы:
Давайте и в этом случае разберем кейс из практики.
НКО организовало акцию помощи пожилым людям и собирало данные волонтеров (ФИО, контактные данные, адрес). При проверке Роскомнадзор установил, что в анкетах волонтеров также запрашивались паспортные данные, которые не были необходимы для акции. Итог: НКО было оштрафовано за избыточный сбор данных (статья 6 ФЗ № 152).
Собирайте только те данные, которые действительно необходимы для реализации проекта. Если для акции нужен только телефон волонтера, не запрашивайте у него паспортные данные. Лучше в лишний раз написать или позвонить человеку, нежели запросить полное досье и получить за это штраф.
Согласия — ключ к законности. Нужно получить три вида согласия:
Все согласия должны быть явными и зафиксированными.
Например, согласие, озвученное по телефону и записанное оператором call-центра, также имеет законную силу доказательства получения согласия.
При этом ФАС и суды придерживаются следующего:
Реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.
Техническая сторона. Храните согласия (письменные или электронные) и логи, фиксирующие действия пользователей на сайте, как доказательства законности рассылок.
Особенности для НКО. Для некоммерческих организаций важно учитывать специфику работы с волонтерами (заключение договоров о конфиденциальности) и избегать избыточного сбора данных.
Несоблюдение требований может привести к серьезным санкциям:
Штрафы ФАС за незаконную рекламу – до 500 000 рублей.
Ответственность за утечку данных – до 90 000 рублей для организаций.
А с 30.05.2025г. вносятся очередные изменения в Кодекс об АП, и размеры станут еще больше.
Отлично, с согласиями мы разобрались. Но остался еще один интересный момент. Мы говорили о согласии на обработку персональных данных и получение человеком рекламной информации от нас. Согласие мы получили, мероприятие провели и радостные пишем красивый пост в соцсетях или на сайте упоминая всех тех, кто участвовал, победил и поделился позитивчиком.
Отлично! Давайте добавим еще туда фотографий.
А нет, стоп. Вы взяли согласие на распространение персональных данных? Ведь когда вы упомянули человека, назвали его по имени и фамилии, опубликовали его фото – это и есть распространение тех самых персональных данных.
В этом случае необходимо взять согласие на распространение персональных данных, с включением в текст того, что Вы хотите распространить – имя, фамилия, место работы, фотографии.
Наши с вами работники и удивительные волонтеры, о которых мы рассказываем на сайте. Дело благое и замечательное, но зададим себе вопрос, согласие на распространение мы получили? Тут многие путают, что согласия на обработку персональных данных достаточно. Скажем сразу – нет. Вывод – берем с работников и волонтеров о ком упоминаем на сайте согласие на распространение персональных данных и храним их пока обрабатываем.
Тут стоит остановиться и сказать, что общие фотографии с мероприятий, где не выделяется конкретный человек, распространять можно спокойно без согласий – это публичное мероприятие и в силу закона дополнительных согласий не требует.
И последнее. Передача персональных данных. Если вы данные передаете – берите согласие на передачу персональных данных. Когда мы можем передавать персональные данные? Мы проводим мероприятие и должны предоставить отчет куда включаем благополучателей. Вот тут мы передаем данные другому юрлицу. Согласие в этом случае необходимо. Наше правило не действует, если передача происходит от НКО государственному органу в силу обязательных требований.
Например. Моя НКО — образовательная организация. В силу закона все сведения о выданных документах об образовании я должен передать в Федеральные реестр сведений о документах об образовании (ФИС ФРДО). Если не передам – мне штраф 300 тысяч рублей. Вот в этом случае согласие моего слушателя не требуется, потому как я исполняю требование законодательства.
Время подходит к концу, а поэтому резюмируем сказанное.
Email-рассылки – эффективный инструмент коммуникации с подписчиками, но его использование сопряжено с рядом юридических аспектов. Неправильная организация рассылок может привести к значительным штрафам со стороны ФАС или Роскомнадзора...
Подробнее
Существует ещё один значимый Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот документ — как второй слой защиты в сфере работы с информацией в интернете...
Подробнее