Все это — онлайн, с заботой о вас и по отличным ценам.
Вопросы – если нарушения в данной схеме ФЗ 152?
Мы правообладатели программы для ЭВМ (Saas, база данных находится на наших серверах, все данные хранятся именно там), по лицензионному договору предоставляем право использование программы юридическим лицам (управляющим компаниям ЖКХ). В состав программы входит чат-бот в Telegram, с помощью которого управляющие компании выполняют сбор персональных данных физ лиц. При регистрации в чат боте физ лицо обязано поставить галку "Принимаю" (+ссылка на политику для изучения) политику конфиденциальности (если отказывается, то доступ к боту не предоставляется).
Договорные условия об обработке персональных данных. В лицензионном договоре между нами и юр лицами указано, что мы являемся оператором обработки персональных данных. В политике конфиденциальности в чат боте указан оператор – юр лицо (наш заказчик – это сделано для того чтобы физ лица понимали кому они передают свои данные, т.е. своей управляющей организации. Если там будет указана наша организация – большая часть физ лиц не будут регистрироваться в боте). При этом в политике конфиденциальности указано «1.6. Предоставляя свои персональные данные Оператору Бота, Пользователь соглашается на их обработку Оператором, а также на их передачу Оператором третьим лицам, выполняющим обработку персональных данных по его (Оператора) поручению.»
Вопросы – если нарушения в данной схеме ФЗ 152? и если есть, то какие? И как юридически правильно можно обыграть данную схему (чтобы в Политике бота был указан заказчик, а не мы)?
Прилагаю к вопросам:
1. Выдержку из договора про обработку персональных данных (между нами и юр лицами)
2. шаблон политики конфиденциальности в чат боте (для физ лиц)
- Выдержка из лицензионного договора.docx
- Политика ПД (бот).docx
Добрый день.
Вопросы – если нарушения в данной схеме ФЗ 152? и если есть, то какие?
Требования к обработке персональных данных в данном случае соблюдены лишь частично, в частности, оговорено условие о получении согласия на их обработку, что соотносится с требованиями ст. 6 ФЗ-152, определяющая в числе условий обработки персональных данных получение согласия на их обработку.
При этом по смыслу ст. 9 названного Закона
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
А соответственно с Вашей стороны должен подтверждаться факт его получения. Форма данного согласия, по общему правилу, значения не имеет. Собственно для этих целей Вы можете использовать функционал чат-бота, при присоединении к которому предполагается, что лицо дало согласи на обработку персональных данных.
В этой связи, если не указано, то рекомендуется указать, что нажимая на кнопку «Принимаю» лицо дает свое согласие на обработку персональных данных.
Второй момент, который Вами не был учтен в представленной схеме.
Вы говорите, что
При этом в политике конфиденциальности указано «1.6. Предоставляя свои персональные данные Оператору Бота, Пользователь соглашается на их обработку Оператором, а также на их передачу Оператором третьим лицам, выполняющим обработку персональных данных по его (Оператора) поручению.»
И тут нужно было учитывать требования ст. 10.1 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных», а именно:
1. Согласие на обработку персональных данных,разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
Получение отдельного согласия на распространение предполагается, что в политике конфиденциальности у Вас не определен конкретный перечень лиц, которым будет осуществлена передача, что может быть истолковано, как передача данных неограниченному кругу лиц. А следовательно, по данному критерию их передача рассматривается как распространение.
Тут нужно отталкиваться от понятийного аппарата, используемого данным законом, закрепленным в ст. 3
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Если в политики конфиденциальности прописать данные лица (лиц) привлекаемых к обработке персональных данных — то речь уже будет идти о предоставлении, а следовательно требуется получение только общего согласия, определенного в ст. 9 данного закона, о чем указал выше.
Доброго времени суток, Роман!
Относительно Вашего вопроса отвечу следующее. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ предусматривает:
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
То есть субъект персональных данных должен сам выразить своё согласие на обработку персональных данных и согласие на передачу информации третьим лицам. Однако пунктом 1.6 Вы закрепили, что согласие на пользование чат-батом выражает также согласие на обработку персональных данных и ее предоставление в целях, предусмотренных Соглашением третьим лицам. То есть, нарушений в данном случае требование Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ не предусмотрено.
Что касается второй части, то вижу решение вопрос так: на основании данного положения о пероральных данных ЖКХ разрабатывает своё, которое и предоставляется под ознакомление. В данном положение должна быть ссылка на настоящее Соглашение.
С уважением,
Артем Гагикович!