Недавно получил хороший вопрос от подписчика моего телеграмм-канала. Решил поделиться разбором и тут.
Ситуация следующая:
две организации (назовём их А и Б) решили провести совместный вебинар. Регистрацию делают на сайте компании А. Собирают ФИО, телефон, email, должность, компанию. А после вебинара обе организации хотят звонить участникам, рассылать рекламу и проводить опросы.
Вопрос: как всё это оформить, чтобы не нарваться на штрафы?
Давайте разберемся по порядку.
Главное: это не «поручение», а «передача»
Первое, что нужно определить - какие отношения между А и Б с точки зрения 152-ФЗ.
Многие путают два механизма: - Поручение на обработку (ст. 6 ч. 3) - когда одна компания обрабатывает данные по заданию другой, в её интересах и по её правилам. - Передача третьему лицу (ст. 7) - когда вторая компания получает данные и использует их в своих собственных целях.
В нашей ситуации компания Б хочет сама звонить, сама рассылать рекламу, сама проводить опросы - от своего имени и в своих интересах. Это однозначно передача, а не поручение.
Почему это важно? При поручении - Б не обязана получать отдельное согласие, но и не может использовать данные для себя. При передаче - Б становится самостоятельным оператором ПДн со всеми обязанностями.
Что должно быть на сайте при регистрации
Здесь пересекаются два закона: 152-ФЗ «О персональных данных» и 38-ФЗ «О рекламе». И каждый требует своё.
1️⃣ Согласие на обработку ПДн (требование 152-ФЗ)
По ст. 9 согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Это не пустые слова - суды и Роскомнадзор проверяют каждый критерий.
В тексте согласия обязательно указать: - кто оператор (полное наименование организации А, ИНН, адрес) - цели обработки: организация вебинара, связь с участниками, проведение опросов, маркетинговые коммуникации - перечень ПДн: ФИО, телефон, email, должность, наименование компании - действия с данными: сбор, хранение, использование, передача - кому передаются данные: полное наименование организации Б, её ИНН, адрес и цели, для которых Б будет использовать данные - срок действия согласия и способ его отзыва
❗ С 2025 года согласие должно быть оформлено отдельно от других документов (пользовательских соглашений, оферт и т.д.). Нельзя «зашить» согласие внутрь оферты.
2️⃣ Согласие на получение рекламы (требование 38-ФЗ)
Ст. 18 ч. 1 закона «О рекламе» прямо говорит: распространение рекламы по сетям электросвязи допускается только при условии предварительного согласия адресата.
Это отдельное согласие. Его нельзя объединять с согласием на обработку ПДн в одну галочку. Два разных закона — два разных согласия.
При этом согласие на рекламу должно покрывать рассылки от обеих организаций - и А, и Б.
3️⃣ Политика обработки ПДн
По ст. 18.1 ч. 2 152-ФЗ организация А обязана опубликовать на своём сайте свою Политику в отношении обработки персональных данных. Публиковать политику организации Б на сайте А закон не требует, но рекомендуется дать на неё ссылку в тексте согласия - для обеспечения информированности субъекта.
Что оформить между организациями А и Б
Между компаниями нужен договор (или соглашение) о передаче ПДн, в котором закрепить: - перечень передаваемых данных - цели передачи и дальнейшей обработки - обязанности Б по обеспечению конфиденциальности и безопасности (ст. 19) - порядок действий при отзыве согласия субъектом - порядок уведомления об инцидентах и утечках - ответственность сторон
Организация Б после получения данных - полноценный оператор ПДн. Она обязана: - подать уведомление в Роскомнадзор (если ещё не подано) - иметь опубликованную Политику обработки ПДн - обеспечивать все права субъектов (доступ, уточнение, удаление) - обеспечивать безопасность ПДн.
Итого — чек-лист
Для организации А (сайт с регистрацией):
✓ Два раздельных чекбокса: обработка ПДн + реклама
✓ Текст согласия с указанием организации Б
✓ Опубликованная Политика обработки ПДн
✓ Ссылка на Политику Б (рекомендация)
✓ Уведомление в РКН
Между А и Б: ✓ Договор о передаче ПДн
Для организации Б:
✓ Уведомление в РКН
✓ Политика обработки ПДн на своём сайте
