Сайт и мессенджеры: как оформить согласие на обработку персональных данных?

В рубрике «Юрист отвечает» мы публикуем разборы реальных ситуаций из практики пользователей ЦСМК и ответы медицинских юристов по вопросам: от оформления документации до взаимодействия с Росздравнадзором, страховыми и прокуратурой.

Консультации предоставляют эксперты по медицинскому праву и адвокаты по медицинским делам — вся поддержка доступна в системе в рамках подписки.

Вопрос:

Является ли переход с сайта по ссылке на мессенджер передачей персональных данных? Как оформить согласие пользователя на сайте и в мессенджере?

Ответ:

Когда пользователь нажимает на кнопку «Написать» и сразу переходит в мессенджер без ввода данных на сайте и без участия сайта в передаче – вы не собираете данные на сайте. Моментом начала обработки персональных данных считается начало переписки в мессенджере, даже если контакт инициировал сам пользователь.

Если перед отправкой сообщения человек вводит имя и номер телефона, и эти данные отправляются через сайт (или через интеграцию с CRM), то вы начинаете обрабатывать персональные данные уже на сайте. В этом случае вам нужно получить согласие на обработку персональных данных.

Если вы общаетесь в мессенджере с физлицом, узнаете его имя, номер телефона и при этом используете эти данные для ответов на обращения, записи на прием к врачу, информировании о предстоящих визитах, отправки маркетинговых предложений, то вы должны оформить согласие на обработку персональных данных, особенно если планируете хранить переписку в CRM.

• Согласие оформляется через чекбокс (ст. 9 Закона № 152-ФЗ);
• Галочка не должна быть проставлена автоматически (Письмо Роскомнадзора от 15.02.2024 № 08-234);
• Рядом размещается ссылка на политику конфиденциальности (ст. 10.1 Закона № 152-ФЗ);
• Текст под формой о персональных данных должен быть понятным (ч. 4 ст. 9 Закона № 152-ФЗ);
• Указываются конкретные цели обработки данных (ст. 5 Закона № 152-ФЗ).

Образец текста: «Я даю свое согласие (наименование оператора) (ОГРН и адрес) (далее – оператор) на обработку (сбор, запись, систематизацию, уточнение (обновление, изменение), накопление, хранение, извлечение, использование, предоставление, доступ, блокирование, удаление, уничтожение) предоставленных мной персональных данных в соответствии с Политикой обработки персональных данных в целях (указать конкретную цель, например, оправки предложений об услугах и акциях, записи на прием) на срок 1 год или до момента отзыва. Порядок отзыва согласия: направление заявления на электронный адрес (указать email компании)».

При общении в мессенджере можно отправить автоматическое сообщение: «Продолжая общение, даю свое согласие (наименование оператора) (ОГРН и адрес) (далее — оператор) на обработку (сбор, запись, систематизацию, уточнение (обновление, изменение), накопление, хранение, извлечение, использование, предоставление, доступ, блокирование, удаление, уничтожение) предоставленных мной персональных данных в соответствии с Политикой обработки персональных данных в целях (указать конкретную цель, например, оправки предложений об услугах и акциях, записи на прием) на срок 1 год или до момента отзыва. Порядок отзыва согласия: направление заявления на электронный адрес (указать email компании). Подробнее – по ссылке (и ссылка на страницу с политикой персональных данных)».

Да, длинно и пугающе, но ответственность за нарушение правил обработки персональных данных никто не отменял. На всякий случай напомним, что на сегодняшний день включают персональные данные и чем грозит нарушение правил.

Согласно ст. 3 Федерального закона № 152-ФЗ «О персональных данных», персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу, с помощью которой его можно идентифицировать.

На сайтах к персональным данным относятся:

• Очевидные данные: Ф. И. О, номер телефона, email, адрес (ст. 3 Закона № 152-ФЗ);
• Скрытые данные: IP-адрес, информация о браузере, геолокация (Постановление Правительства РФ № 1119);
• Cookie-файлы: данные о поведении пользователя на сайте (ст. 10 Закона № 152-ФЗ);
• Метаданные: время посещения, страницы просмотра, источники переходов (Приказ Роскомнадзора № 253).

Роскомнадзор в своем письме от 01.09.2023 № 07-1023 также подчеркнул, что даже отдельный номер телефона или email может считаться персональными данными.

Оператором персональных данных считается лицо, которое организует и/или осуществляет обработку персональных данных, то есть собирает, хранит, систематизирует, использует, передает и т. д.

Нарушения в сфере персональных данных регулируются КоАП РФ. По ч. 2 ст. 13.11 КоАП РФ штраф за отсутствие согласия субъекта персональных данных на обработку от 300 000 до 700 000 рублей как для юридических лиц, так и для индивидуальных предпринимателей.

Многие медорганизации добавляют на сайт кнопки для переходов в мессенджеры. На первый взгляд это просто удобный способ коммуникации, однако это еще и способ начала обработки персональных данных. Переписка в WhatsApp и Telegram – это трансграничная передача персональных данных, об этом мы писали в отдельной статье - читать статью. Старые добрые СМС – гораздо безопаснее.