Что меняется с 1 сентября
Прежде всего, это ужесточение требований к форме согласия. Теперь в ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» появится строчка о том, что согласие должно непременно быть отдельным документом.
На самом деле так должно было быть и раньше, с самого 2006 года, когда был принят закон о персональных данных. Но как-то так сложилось, что компании стали игнорировать этот факт, совмещая согласие с договором либо еще каким-либо документом. Многочисленные разъяснения Роскомнадзора, однозначно требовавшие разделения документов, особенной роли не сыграли. Так что законодатель напрямую вводит требование оформлять согласие отдельно.
Когда нужно согласие
Многие не осознают, что при наличии договорных отношений согласие чаще всего вообще не нужно. Договор сам по себе является основанием для обработки тех данных, которые включены в договор либо необходимы для исполнения договора.
Например, если вы заключаете с физлицом договор на поставку ему товаров на дом, то и адрес, и телефон, и прочие данные вам необходимы и для оформления договора, и для осуществления самой поставки. Более того, если для доставки вы используете какой-либо сторонний сервис, то при правильно прописанном договоре (или оферте на сайте) вам и согласие на передачу данных третьему лицу не понадобится.
Но если у вас есть желание те же фио и мейл использовать для каких-то маркетинговых активностей, то вот тут уже не обойтись без согласия. Ведь цель обработки будет другая, к договору она отношения не имеет. Вообще, на маркетинговые активности всегда должно быть отдельное согласие.
Согласие на сайте компании
Это же касается и согласия на сайте. Не должно быть подмены согласия на конкретную обработку согласием с Политикой конфиденциальности, не может быть текст согласия размещен внутри Политики. При этом также надо помнить, что каждая цель обработки требует отдельного согласия.
Если в форме на сайте пользователь оставляет имя и мейл для того, чтобы получить от вас ответ на конкретный вопрос по вашему продукту, то он и согласие дает (ставит галочку) именно с этой целью. Хотите его имя и мейл использовать для рекламных рассылок – берите отдельное согласие. То есть должна быть отдельная строка и отдельная галочка. И никогда такое маркетинговое согласие не может быть обязательным.
Да, и проверьте, чтобы квадратики были пустыми, а галочки не предпоставлены. Факт проставления галочки тут имеет юридическое значение. Фактически приравнивается к подписи. Поэтому такое внимание со стороны РКН к этим галочкам. И поэтому ваши ИТ специалисты должны обеспечить хранение логов – записей об активности пользователя на сайте. Это и есть хранение согласий.
И перестаньте уже на сайте размещать огромную простыню согласия в письменной форме. Все равно оно юридической силы не имеет, но чаще всего, содержит несколько целей, которые разделить нельзя. А в такой форме оно скорее вам штрафы принесет.
Что делать бизнесу
Кто-то скажет, что это все усложняет жизнь, проще было бы один документ подписать и все. Но вопрос не только в проще или сложнее, но и в соблюдении закона. И на самом деле, если убрать лишние согласия с кучей целей, которые вы сейчас берете, но сделать отдельные точечные согласия, как того требует закон, то как раз процесс может оказаться куда проще, чем он у вас сейчас.
А если вы понимаете, что сами не сможете разобраться в этом вопросе, приходите к нам на услуги аудита документов и процессов по персональным данным. Мы точно поможем вам и закон исполнить, и процессы сделать удобными для вашего бизнеса.
