Сервис, позволяющий контролировать процесс сбора согласий на обработку персональных данных

    image

    Всем привет! Меня зовут Мария, в компании ДомКлик я отвечаю за организацию обработки персональных данных, и сегодня речь пойдёт о процессе сбора согласий на обработку в соответствии с требованиями законодательства.

    На протяжении многих лет компании, обрабатывающие персональные данные (операторы), обсуждают способ сбора согласий на обработку персональных данных в электронной форме. Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это.

    В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект этих самых данных должен самостоятельно принять решение об их предоставлении и согласии на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и не может навязываться субъекту персональных данных со стороны оператора. Согласие должно быть дано субъектом или его представителем в письменной форме, либо в форме электронного документа, подписанного электронной подписью. И оператор обязан предоставить доказательства получения такого согласия.

    Для чего и с какой целью?


    ДомКлик, как и многие другие компании, столкнулся с рядом проблем, связанных с тем, что:

    1. Не было единого подхода к сбору согласий на обработку персональных данных, в том числе:
      • отсутствовала централизованная система, регламентирующая процесс сбора (каждый сервис собирал согласия как хотел и хранил артефакты сбора как мог);
      • применялись разные способы подтверждений (в одной подсистеме сайта ДомКлик использовался чекбокс, в другой — кнопка подтверждения);
      • использовались разнообразны виды и формы согласий.
    2. Были сложности с определением принадлежности полученного согласия конкретному пользователю ДомКлик (субъекту персональных данных).
    3. Поиск доказательств факта получения согласий — трудоёмкий процесс, который не всегда был результативным.

    В результате не в полной мере выполнялись требования законодательства по обработке и защите персональных данных.

    Ради централизованного учета в ДомКлик решили создать единый сервис, позволяющий контролировать процесс сбора/регистрации/хранения/отзыва согласий на обработку персональных данных.

    Что удалось сделать и как это работает?


    В рамках разработки сервиса «Согласий» перед командой ДомКлик стояли основные задачи:

    • реализовать единый подход к сбору, регистрации, хранению и процессу отзыва согласий;
    • разработать универсальный виджет для версий согласий и разных сценариев их сбора;
    • разработать средство администрирования (админку), с удобным интерфейсом!
    • минимизировать правовые риски, связанные с обработкой и защитой персональных данных.

    На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.

    Что мы сделали:

    • реализовали и регламентировали единый подход и контроль согласий;
    • оптимизировали поиск доказательств факта получения согласия, чтобы сократить длительность и трудозатраты;
    • параметризировали согласия, то есть теперь можно узнать, кто дал согласие, какой использовался сценарий сбора, когда и в каких целях было получено согласие, а ещё сроки/статус/тип/версию согласия и т.д.;
    • обеспечили выполнение требований ФЗ-152, тем самым снизили правовые и репутационные риски.


    Дополнительно сервис может регистрировать следующие данные:

    • сведения о согласии (наименование, тип, версия, краткое описание процесса, в котором оно используется и т.п.);
    • статус согласия (принято/отклонено/в ожидании чуда);
    • признак отзыва согласия (дата, время, основание);
    • дату подтверждения согласия для автоматического уведомления о сроке его окончания (реализована автоматическая проверка срока действия согласия);
    • срок действия согласия;
    • способ подтверждения согласия.

    Также мы реализовали сбор согласий в форме электронного документа, подписанного электронной подписью.

    image

    image

    На этапе сбора мы предусмотрели несколько сценариев:

    • ввод полученного кода из SMS-сообщения или голосового сообщения в специальном поле на сайте ДомКлик (если клиент напрямую взаимодействует с сайтом).
    • отправка полученного кода из SMS в ответном SMS (если запрос инициирован третьим лицом, например, сотрудником ДомКлик).
    • гибридный сценарий позволяет подтверждать согласие как ответным SMS, так и через ввод кода по уникальный ссылке из SMS (обычно используется в случаях, когда клиент не находится на сайте ДомКлик, а инициатором выступает третье лицо).

    Во всех сценариях пользователь проинформирован о получении согласия на обработку персональных данных и условиях обработки.

    Кроме того, в сервисе предусмотрена поддержка в актуальном состоянии форм согласий (ранее все согласия были в формате .pdf и не имели версионности). Для этого применяется формат .html, а версионность документов позволяет DPO оперативно корректировать формы согласий (например, в связи с изменениями в законодательстве или в бизнес-процессе). При этом не нарушается клиентский путь.

    Также при сборе согласий мы проверяем, давал ли пользователь уже такое согласие или нет. Если давал и в той же редакции, то повторно не надо соглашаться, нельзя дважды подтвердить одно и то же согласие.

    В серверной части сервиса «Согласий» использован Kotlin, а фронтендная часть написана на React.

    Новый сервис принял уже более 8 000 000 согласий от пользователей ДомКлик.

    Какие планы на будущее?


    Для пользователей:

    • Добавим в личный кабинет на сайте ДомКлик информационный блок о согласиях, которые дали пользователи (со статусом, датой, версией).
    • Добавим в личный кабинет возможность отозвать согласие.

    Для сервисов ДомКлик:

    • Начнём применять сервис «Согласий» в иных целях и для других документов (например, для согласий на получение рекламно-информационных материалов о продуктах, товарах и услугах ДомКлик, и т.д.).
    • Будем использовать в тексте согласий динамические параметры (например, наименование третьего лица, чьи персональные данные были переданы).
    • Автоматизируем и упростим процесс отзыва согласий на обработку персональных данных.
    ДомКлик
    Место силы

    Комментарии 22

      –1
      прочитал вроде несколько раз но так и не понял в чем заключается
      «электронная подпись согласия»
      для меня электронная подпись это когда я купил
      квалифицированный сертификат электронной подписи у одного из аккредитованных удостоверяющих центров
      и с генерировал на своем компьютере пару закрытый/открытый ключ
      и подписываю этим колючем юридически значимые документы.
      а у Вас?
      СМС-кой согласие берется?
      возможно у меня проблемы с пониманием
        0

        В законодательстве есть такая штука: простая электронная подпись. Для неё достаточно смс-сообщения с кодом. Понятно, что это совершенно небезопасно, но закон есть закон.

          0
          по моему чтобы использовать простую электронную подпись нужно это как регламентировать
          или какое то соглашение между участниками сторон о том по каким правилам это будет использоваться

          Просто в смс-ке не будет текста согласия, а просто сам факт подписи непонятно чего.
          а на стороне сервера можно и подделать текст согласия итд итп со всеми вытекающими.
          и подписанный КЭП документ думаю подделать невозможно.
          ничего личного возможно это моя фантазия…
            0
            Вы правы:
            1) Использование ПЭП должно быть регламентировано между участниками обмена. Это должно быть зафиксировано на бумаге собственноручными подписями или подписано КЭП (порочный круг :). Не уточнено, как в данном случае реализовано если учесть, что клиент по сути первым подписывает Согласие и до этого никаких соглашений не подписывал.
            2) Если договорились подписывать OTP-SMS, то в тексте СМС должна быть или ссылка на подписываемый документ или его реквизиты, позволяющие клиенту однозначно понять, что он подписывает (можно еще весь текст документа, но это сложно реализуемо).
              0
              2) Согласен с Вами.
              Я об этом сразу подумал после того как отправил коммент.
              Клиент должен как то удостовериться что подписывает и то что он подписал сейчас не измениться.
              Я думаю в данном случае ПЭП должна соответствовать свойствам КЭП как целостность, авторство, неотказуемость.
              Возможно этот вопрос как то и решили.
              В общем мало технических деталей в статье.
                0
                Процесс между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью регламентируется соглашением об использовании простой электронной подписи в соответсвии с ФЗ-63 «Об электронной подписи».
                  0
                  … регламентируется соглашением…

                  Никакого соглашения клиент до «Согласия на обработку ПДн» (как я предполагаю) не подписывал.
          –1
          Т.е., теперь достаточно сломать только один централизованный сервер, чтобы получить все собранные персональные данные граждан России?
            +2
            Не путайте сами персональные данные и согласия на их обработку.
            0
            На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.

            Больше уникальных идентификаторов для бога уникальных идентификаторов. А как же ЕСИА?

            ps: а ещё же надо будет постоянно следить за бешенным принтером rg.ru/2021/01/11/personalnie-dannie-dok.html
              0
              Вот с учетом того, что в тексте проскальзывает, что на данный момент обработка ПД не производится в целях рекламы, то есть большое подозрение, что с обработкой персональных данных есть определенные проблемы.

              Скорее всего брать согласие на обработку ПД вообще не требуется, а если следовать логике авторов комментариев к европейскому закону, то взятие согласия, когда оно не требуется, само по себе является нарушением.

              Из статьи:
              Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это.

              Вот это само по себе не правильно. В большинстве случаев основанием для законной обработки ПД являются исключения прописанные в законе, при которых брать согласие не требуется.
                0
                В большинстве случаев в отношениях организаций с гражданами основанием для обработки ПДн является договор, одной из сторон которого является субъект ПДн. Правда тут есть одно «но», если ПДн передаются третьим лицам (любой другой организации, кроме различных узаконенных передач — в ПФР, в ходе оперативно-розыскной деятельности и тд), то нужно брать согласие, несмотря на исключение. А сейчас очень редко бывает, когда ПДн никуда дальше не передается. В статье конечно корявенько сформулировано, согласен.

                Кстати, общепринятое сокращение «персональных данных» это все-таки ПДн, а не ПД. На этом в свое время настояли ФСТЭК России, тк у них сокращение ПД уже занято по ПротивоДействие. Например, ПД ИТР — ПротивоДействие Иностранным Техническим Разведкам. Странно конечно, но уж как есть.
                  0
                  5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;


                  3) обработка персональных данных — любое действие (операция) или совокупность действий (операций),… передачу (распространение, предоставление, доступ), ...


                  Вот из этих двух положений закона следует, что и при передачи третьим лицам исключительно в целях исполнения договора брать согласие не следует.
                    0
                    Дальше в этой же статье:

                    3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).


                    Да, написано коряво. И можно подумать, что если есть договор есть, то согласие не нужно в этих случаях. Но практика проверок наших клиентов показала, что наличие договора не отменяет обязательность согласия на передачу третьим лицам. Отменяют только положения других ФЗ.
                      0
                      От того, что есть незаконные требования конкретных региональных отделений РКН, положения закона никак не меняются. Аргументировать в суде придется. Но… Надо поставить 2 вопроса:

                      1) Если я взял согласие на обработку ПД при наличии договора, а клиент взял и сразу отозвал это согласие. Что мне делать?

                      2) А если я вообще не знаю, кому буду передавать данные клиента? А это часто встречающаяся ситуация ситуация при агентских договорах. А я в правильном согласии обязан указать всех, кому я буду передавать.

                      В целом в законе вынесены в исключения все случаи, когда обработка ПД неизбежна и производится в интересах клиента. Аргументацию для суда легко можно получить из европейских разъяснений аналогичного закона. Я не говорю, что надо ссылаться, но они там очень логично все описывают, почему это именно так, а не иначе.
                0
                А как Вы доказываете получение согласия, если оно дано не в письменной форме и без использования ЭЦП? Вот, допустим, некто дал согласие через SMS или по уникальной ссылке, а потом заявил, что ничего не давал, РКН требует доказательств, что у Вас реально есть? Только логи собственного сервера? Так Вы можете в них нарисовать что угодно (это не обвинение, а просто констатация факта). Кто практически может выступить независимым и незаинтересованным «арбитром»? Под фактически я подразумеваю, что вопрос не стоит о подрыве госстроя и делом не занимается ФСБ/МВД с выемкой логов у операторов связи на обоих концах.
                  0
                  Согласие дается в форме электронного документа, подписанного простой электронной подписью (ПЭП) в соответствии с ФЗ-63 «Об электронной подписи». Все аспекты взаимоотношения между участниками электронного обмена, которые возникают в связи и в процессе формирования, отправки и получения электронного документа определяются Соглашением об использовании ПЭП.

                  В соответсвии с ч.1 ст. 8 ФЗ-152 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
                    0
                    Я имел в виду практику. Некто отказывается от ПЭП, мол не я это был, Ваши действия?
                      0
                      Доказывать в суде, что не верблюд. Тут уже оператор ПДн взвешивает риски или получать согласие путем галочки «Я согласен» или обязать своих потенциальных клиентов обзавестись квалифицированной ЭП и тем самым этих клиентов распугать. Обычно выбирают первое, штрафы за отсутствие согласия пока все еще мизерные.
                  0

                  А как Вы отрабатываете ситуацию если идет отказ от подписания?
                  Откажете в предоставлении услуги?
                  Является такой отказ правомерным?

                    0
                    Обработка персональных данных в ДомКлик осуществляется с соблюдением принципов и правил, предусмотренных ФЗ-152 «О персональных данных». Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
                      0
                      По объяснению европейского регулятора фраза: «свободно, своей волей и в своем интересе» означает, что согласие может быть дано или не дано при заключении договора. Если контора отказывается заключить договор без согласия на обработку ПД, тогда считается, что согласие навязано. И вы хоть упишитесь в тексте согласия, что оно дано «свободно».

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое