Обработка персональных данных посредством сайта: частые ошибки и советы по обработке данных

Если у вашей компании есть сайт, для ведения бизнеса важно не только сделать его привлекательным и удобным в использовании, но и позаботиться о том, как обеспечить защиту и конфиденциальность персональных данных, полученных при пользовании сайтом.

Посредством сайта собираются большие массивы данных – при регистрации личного кабинета, оформлении онлайн-заказа, мониторинге поведения пользователей. Все это – обработка персональных данных и каждая такая обработка должна быть приведена в соответствие с требованиями законодательства.

Как не нужно делать при обработке персональных данных посредством сайта? Юристы REVERA law group подготовили для вас 5 наиболее частых нарушений порядка обработки персональных данных, встречающихся на сайтах белорусских компаний и варианты их устранения.

Политика обработки персональных данных «для галочки»

Политика обработки персональных данных (далее – Политика) – один из важнейших и обязательных документов, который должен быть размещен на вашем сайте.  

Утверждений типа «Ваши персональные данные важны для нас», «Мы уважаем Ваше право на конфиденциальность и соблюдаем принцип прозрачности при обработке Ваших персональных данных» и поверхностной информации об обработке недостаточно для реального соблюдения требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон).

Основное предназначение Политики – информирование пользователя о том, кто собирает, использует или иным образом обрабатывает персональные данные, в каком объеме и для каких целей осуществляется обработка, какие права есть у пользователя, в связи с этим, и каков механизм реализации таких прав.

Важно!

При разработке Политики нужно руководствоваться Рекомендациями по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, подготовленными Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД). Так, необходимо обратить внимание на следующие моменты: 
 

  • Политика должна быть написана простым и понятным для обычного пользователя языком, не перегружена нерелевантной для пользователя информацией и сложными терминами. 

Например, в Политике правильно будет отразить положения об обработке персональных данных пользователей сайта, участников программ лояльности (при наличии), потребителей (если у компании есть торговые объекты), контрагентов (если через сайт возможно направить предложение о сотрудничестве), кандидатов на вакантные должности (при наличии на сайте соответствующих форм для отправки CV). 

Не рекомендуется нагружать Политику информацией о порядке обработки персональных данных работников, родственников работников, аффилированных лиц. Такая информация должна содержаться в отдельном документе.
 

  • Политику необходимо разместить на странице сайта не ниже второго уровня, т.е. на главной странице или на странице, на которую можно перейти с главной. 

Например, распространенная и правильная практика – размещение Политики в конце главной страницы сайта для обеспечения ее доступности для пользователей.

На сайте не размещен cookie-баннер

Информация, получаемая с помощью файлов cookie – это тоже персональные данные, при обработке которых необходимо соблюдать требования Закона. 

Если компания использует файлы cookie, то на сайте компании необходимо разместить:

  • политику обработки файлов cookie (в виде отдельного документа или включить положения об обработке файлов cookie в Политику обработки персональных данных),
  • cookie-баннер. 

Cookie-баннер важный элемент сайта, который помогает информировать пользователей об обработке файлов cookie и получить согласие на такую обработку для конкретных типов файлов cookie. 

Cookie-баннер, который использовать нельзя.

Рисунок 1

Корректный cookie-баннер.

Рисунок 2

После нажатия на кнопку «Настроить» должен появиться баннер, который будет предусматривать возможность выбора активации конкретных файлов cookie.

Cookie-баннер не работает

Просто разместить cookie-баннер – ещё не означает надлежащее соблюдение требований к обработке персональных данных. Важно, чтобы такой cookie-баннер работал. 

При размещении cookie-баннера не забудьте проверить следующее:

  • предусмотреть с технической стороны возможность настройки пользователем своих предпочтений в отношении обработки конкретных файлов cookie (при даче согласия пользователя на обработку только обязательных и аналитических файлов cookie, не обрабатывать иные типы файлов cookie, например, рекламные),
  • обеспечить фактическое отключение тех файлов cookie, согласие на обработку которых получено не было,
  • проверить кликабильность всех кнопок, расположенных на cookie-баннере;
  • отключить активацию файлов cookie до получения согласия пользователя.

Не обеспечено получение согласия пользователя для обработки персональных данных, где такое согласие необходимо 

При сборе персональных данных посредством сайта в большинстве случаев для такой обработки необходимо получить согласие у пользователя. Например, при регистрации на сайте, заполнении анкеты для отклика на вакансию, подписки на рассылку, заполнении формы «Обратная связь».

Пример ненадлежащего получения согласия при осуществлении рекламной рассылки. 
рисунок 3
Пример формы согласия, которую можно использовать при осуществлении рекламной рассылки. 

рисунок4
Согласие не является свободным и информированным

В случае обработки персональных данных пользователей на основании согласия, необходимо убедиться, что такое согласие соответствует требованиям Закона. Далеко не любое согласие считается надлежащим. 

При получении согласия необходимо предусмотреть, в частности, следующее:

  • на конкретную обработку пользователь должен самостоятельно дать согласие. Не допустимо понуждение пользователя к даче такого согласия под угрозой наступления неблагоприятных для него последствий.
  • Согласие не будет являться свободным, если «галочка» в чек-боксе напротив конкретной цели проставлена за пользователя, а также в случае, когда одно согласие получается для достижения нескольких самостоятельных целей (например, для принятия участия в программе лояльности, а также для получения рекламной рассылки).
  • пользователю перед получением согласия должны предоставить информацию: о компании-операторе, целях обработки данных, перечень данных, которые будут обрабатываться, о сроке, на который дается согласие и иную информацию. Не допускается ограничиться фразой «Я согласен на обработку персональных данных».

Мы рекомендуем разработать форму (текст) согласия, которая будет содержать всю требуемую законодательством информацию, и которая будет предоставляться пользователям в удобной для них форме (соответствующей форме даче согласия) до момента, когда он сможем выразить свое согласие, как это продемонстрировано выше.

 

Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera

 

Читайте по теме

публикации в СМИ

Чем грозит бизнесу нарушение требований по обработке и защите персональных данных

Чем грозит бизнесу нарушение требований по обработке и защите персональных данных новости

Лицо просит раскрыть информацию, кому предавались его персональные данные: что делать оператору?

Лицо просит раскрыть информацию, кому предавались его персональные данные: что делать оператору? новости

Новые разъяснения: содержание и объем обрабатываемых персональных данных

Новые разъяснения: содержание и объем обрабатываемых персональных данных