Як не порушити закон про персональні дані при роботі з контекстною рекламою

Доброго дня, мене звуть Катерина. Я представляю проект Supl.biz.

Supl.biz – безкоштовний торговий майданчик для малого та середнього бізнесу, «корпоративний Google» для постачальників та споживачів. Замість того, щоб годинами переглядати сайти, прайс-листи та обдзвонювати компанії, можна лише за три хвилини безкоштовно розмістити замовлення, і постачальники самі пропонуватимуть свої умови.

Відразу скажу, що передача персональних даних — за дотримання встановлених процедур — не є порушенням закону.

Під час підготовки відповіді у нас виникли питання, тому ми уточнили у Катерини, хто саме є їх користувачем, і яку інформацію вимагає від них сервіс.

  • фізичні особи;
  • індивідуальні підприємці;
  • представники юридичних.

Зі статті 2 Федерального закону «Про персональних даних» №152-ФЗ (далі — закон) випливає, що цей закон поширює свою дію лише на відносини, що виникають при використанні персональних даних людини та громадянина.

Таким чином, враховуючи статтю 2 та пункт 1 статті 3 закону, де дано ухвалу про те, що таке ПД, керівникам сервісу Supl.biz необхідно розробити документ, який регулює питання використання сервісом персональних даних користувачів, які є фізичними особами з/без статусу індивідуального підприємця.

Питання про необхідність розробки такого документа щодо юридичних осіб будь-якої організаційно-правової форми не стоїть, оскільки при реєстрації на сайті як компанія будь-яких персональних даних про фізичних осіб користувачами не надається.

Очевидно, такі питання раніше виникали в інших ресурсів.

Наприклад, дуже добре проблему закрили HeadHunter.ru. У «Політиці обробкиперсональних даних у ТОВ “Хедхантер”» вони визначили коло інформації, яку збирають, визначили обсяг дій, які роблять із цією інформацією, і, відповідно, визначили цілі, заради яких це робиться. Тобто виконали усі вимоги 152 Федерального закону.

Процитую відповідні положення їх «Політики»:

1.1. Ця Політика визначає порядок обробки персональних даних та заходи щодо забезпечення безпеки персональних даних у ТОВ «Хедхантер»[1] з метою захисту прав і свобод людини та громадянина при обробці його персональних даних, у тому числі захисту прав на недоторканність приватного життя, особисте та сімейне таємницю.

1.3. У цій Політиці використовуються такі терміни та визначення:

— будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних);

- будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;

— дії, спрямовані на розкриття персональних даних невизначеному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, у тому числі оприлюднення персональних даних у засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних будь-яким іншим способом;

- дії, спрямовані на розкриттяперсональних даних певній особі або певному колу осіб;

У самій угоді (пункт 2.2) зазначено, що обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних.

Обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;

Також закріплюється, що «компанія та інші особи, які отримали доступ до персональних даних, зобов'язані не розкривати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом».

Використання та передача персональних даних, цільове використання:

Daimler AG використовує Ваші персональні дані з метою технічного адміністрування сторінок сайту, управління клієнтською базою, проведення анкетних опитувань щодо нашої продукції та маркетингу, причому у виключно необхідному для цього обсязі.

Передача персональних даних державним інстанціям та органам здійснюється виключно на підставі національних правових норм. З наших працівників. Агентств та дилерів взято зобов'язання про суворе дотримання конфіденційності.»

Знову ж таки, прописано, які саме персональні дані збираються, для чого, і що з ними можна робити.