Разработка согласия на обработку персональных данных для сайта

Юридическая упаковка сайта

Обсудить проект
1. Согласие на обработку персональных данных для финансовой компании в США.
Финансовая компания, зарегистрированная в США, собирает данные клиентов для предоставления финансовых услуг. При разработке согласия на обработку персональных данных наша команда обращала особое внимание на требования Федерального закона о защите конфиденциальности информации (GLBA) и стандарты безопасности PCI DSS.

В данном кейсе мы особенно подробно расписали цели сбора данных, способы их использования, сроки хранения, а также возможность отзыва согласия.
2. Согласие на обработку персональных данных для медицинской клиники в Германии.
Медицинская клиника в Германии собирает медицинские данные пациентов для оказания медицинской помощи. При подготовке согласия на обработку персональных данных мы учли требования Европейского регулирования GDPR. В согласии на обработку персональных данных сделали акцент на права пациентов по доступу к своим данным, их исправлению, удалению, а также меры безопасности для защиты информации.
3. Согласие на обработку персональных данных для онлайн-ритейлера в Великобритании.
Онлайн-ритейлер из Великобритании собирает данные о покупках клиентов для улучшения сервиса и персонализации предложений. При подготовке согласия на обработку персональных данных необходимо было учитывать требования Закона о защите данных (Data Protection Act) и Общего регламента по защите данных (GDPR). В согласии мы уделили особенно внимание правам клиентов по доступу к своим данным, их исправлению, передаче третьим лицам, а также возможности отказа от обработки данных.
4. Согласие на обработку персональных данных для IT компании в Японии.
IT компания в Японии разрабатывает программное обеспечение и облачные сервисы для бизнеса. При подготовке согласия на обработку персональных данных наша команда опиралась на требования Японского закона о защите персональных данных (APPI) и стандарты безопасности ISO/IEC 27001. В согласии мы указали требуемые законодательством и обычаями делового оборота меры безопасности для защиты данных, права субъектов данных, процедуры уничтожения информации и ответственность за утечку информации.
5. Согласие на обработку персональных данных для платформенного образовательного учреждения.
Образовательное учреждение зарегистрировано в Австралии и собирает личные данные студентов и преподавателей для учета успехов и организации образовательного процесса. При подготовке согласия на обработку персональных данных нами были учтены требования Закона о защите персональных данных (Privacy Act) и стандарты безопасности ISO/IEC 27018. В согласии мы указали цели сбора данных, их использование, сроки хранения, права субъектов данных, а также меры безопасности для защиты информации в соответствии с требованиями вышеперечисленных нормативных актов и пожеланиями клиента.
Фактически согласие представляет собой документ, который подтверждает добровольное информированное решение субъекта передать свою информацию оператору данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

Согласие на обработку персональных данных предполагает уточнение целей обработки личной информации, полный перечень данных, собранных и обработанных, срок действия согласия и другие детали. Если на сайте есть любая форма для сбора информации - обратная связь, подписка на рассылку, регистрация или личный кабинет, это также считается обработкой персональных данных.
Структура согласия на обработку персональных данных:

  1. Данные о субъекте (ФИО, данные паспорта (при необходимости));
  2. Данные об операторе (наименование и адрес оператора, получающего согласие субъекта);
  3. Цели обработки персональных данных;
  4. Перечень персональных данных, на обработку которых дается согласие;
  5. Срок действия согласия;
  6. Обязанность оператора прекратить обработку или обеспечить её прекращение;
  7. Дата согласия.

Финансы (Альфа-Банк)

В согласии на обработку ПД в сфере финансов, помимо требований в общем порядке, должны быть указаны следующие положения:

  1. Возможность обработки за пределами РФ;
  2. Данные о созданном на сайте Банка или мобильном приложении аккаунте;
  3. Используемые сервисы (ЕСИА, СМЭВ);
  4. Метаданные, данные cookie-файлов, cookie-идентификаторы, IP -адреса;
  5. Детализация способов обработки;
  6. Возможность поручения обработки ПД третьим лицам, перечень которых должен быть также доступен для пользователей;
  7. Возможность обработки номеров телефонов;
  8. Форма и способ отзыва согласия;
  9. Возможность получения рекламной информации.

Ритейл (X5ID)

В согласии на обработку ПД в сфере ритейла, помимо требований в общем порядке, должны быть указаны следующие положения:

  1. Полный перечень операторов (данные могут быть предоставлены нескольким операторам, каждому по отдельности и всем в совокупности);
  2. Конкретизация целей, в том числе обеспечение сервиса дистанционной торговли; проведения рекламных акций и акций повышения лояльности клиентов, оповещение клиентов через СМС и иные сервисы, управление доступом в личном кабинете клиента;
  3. Перечень используемых понятий с дефинициями;
  4. Возможность поручения обработки ПД третьим лицам, перечень которых должен быть также доступен для пользователей, а также получения информации от третьих лиц;
  5. Обязанность субъекта проверять содержание правил и изучать возможные изменения перечней Третьих лиц и Сервисов Оператора;
  6. Указание на политику сервиса (при наличии);
  7. Форма и способ отзыва согласия;
  8. Возможность обработки номеров телефонов.

Криптовалюта (AlfaBit)

В согласии на обработку ПД в сфере криптовалют, помимо требований в общем порядке, должны быть указаны следующие положения:

  1. Обязанность субъекта проверять содержание правил и изучать возможные изменения перечней Третьих лиц и Сервисов Оператора;
  2. Перечень используемых понятий с дефинициями;
  3. Согласие на обработку персональных данных пользователь дает при регистрации на сайте, прохождении процедуры верификации, а также в ходе сбора информации;
  4. Конкретизация целей обработки (запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ));
  5. Возможность трансграничной передачи данных;
  6. Ограничение территории действия;
  7. Обязанность пользователя прохождения KYC верификации;
  8. Возможность проведения AML и KYC проверок для соблюдения Пятой директивы по борьбе с легализацией преступных доходов и финансирования терроризма (5AMLD) (или иных актов).

Европейский союз (ЕС)

На территории ЕС действует GDPR. GPPR - это регламент ЕС 2016/679 от 27 апреля 2016 года, устанавливающий правила обработки ПД в Европе. В рамках GDPR:

  • Согласие должно быть информированным;
  • Согласие должно включать в себя информацию о контролере
  • Согласие должно иметь следующую структуру:

    1. Цели обработки;
    2. Виды данных;
    3. Право субъекта на отзыв согласия;
    4. Способы обработки информации.

      В соответствии со ст. 32 GDPR, cогласие должно даваться посредством ясного утвердительного действия, устанавливающего свободно предоставленное, конкретное, обоснованное и однозначное указание на согласие субъекта данных относительно обработки персональных данных, касающихся его/ее, среди которых письменное заявление, поданное, в том числе, в электронной форме, либо устное заявление.

      Согласно ст.42, в случаях, когда обработка основана на согласии субъекта данных, контролёр должен быть способен подтвердить, что субъект данных дал согласие на процедуру обработки данных.
  • США

    Среди общих актов, регулирующих и защищающих персональные данные, можно выделить следующие:

    1. COPPA, устанавливающий требования о конфиденциальности данных несовершеннолетних.
    2. GLBA, устанавливающий требования для фин.сегмента.
    3. HIPPA, устанавливающий требования для мед.сферы.

      В каждом отдельном сегменте регуляция отличается. Так, в рамках COPPA (Children’s Online Privacy Protection Act), согласие требуется от родителей.

      1 этап: уведомление о намерении обработать ПД ребенка (ст. 312.4 акта).
      2 этап: получение согласия родителей.

      В каждой отдельной сфере действуют особые правила получения согласия.
    В рамках законодательства для того, чтобы оператор данных (государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными) имел законные основания для проведения любых манипуляций с персональными данными, необходимо получение согласия со стороны субъекта.

    Наличие согласия является обязательным условием для обработки данных. Фактически, согласие снижает риск судебных споров и помогает значительно упростить взаимодействие.

    Юридическая упаковка сайта

    Обсудить проект
    Основной и главный риск при отсутствии согласия – незаконность проведения любых действий с персональными данными клиента. Согласие является обязательным документом наряду с политикой по обработке ПД.

    Незаконность обработки, сбора, хранения информации и пр. фактически является серьезным основанием для обращения в суд, поскольку в данном случае нарушаются права граждан. Возникает и угроза конфиденциальности персональных данных, и невыполнение оператором персональных данных обязанности перед уполномоченным органом.
    Например, в российском правопорядке действуют нормы, предусмотренные №152-ФЗ «О персональных данных».

    Согласно п.1 ст.9, согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Согласно п.3, обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

    Следовательно, отсутствие согласия будет рассматриваться как невыполнение оператором своей обязанности и будет квалифицироваться как обработка персональных данных без согласия субъекта, за что на оператора распространяется ответственность, предусмотренная КоАП РФ, а именно ст.13.11.

    Юридическая упаковка сайта

    Обсудить проект
    Согласие на обработку ПД является обязательным документом для интернет-ресурсов, которые ведут сбор данных и осуществляют их обработку.

    Данный документ является определенной гарантией для пользователя и позволяет четко отследить границы использования персональных данных, конфиденциальной информации.

    Связанные услуги

    Юридическая упаковка сайта
    Узнать подробнее

    Защита интеллектуальных прав

    Узнать подробнее

    Регистрация юридического лица в МФЦА

    Узнать подробнее
    Регистрация IT компании в технопарке Астана Хаб
    Узнать подробнее
    Регистрация юридического лица в Казахстане
    Узнать подробнее

    Нам доверяют

    Не смогли найти интересующую информацию?

    Оставьте свой e-mail и мы свяжемся с вами в ближайшее время

    Не смогли найти интересующую информацию?

    Оставьте свой e-mail и мы свяжемся с вами в ближайшее время