Всем привет! Меня зовут Мария, в компании ДомКлик я отвечаю за организацию обработки персональных данных, и сегодня речь пойдёт о процессе сбора согласий на обработку в соответствии с требованиями законодательства.

На протяжении многих лет компании, обрабатывающие персональные данные (операторы), обсуждают способ сбора согласий на обработку персональных данных в электронной форме. Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это.

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект этих самых данных должен самостоятельно принять решение об их предоставлении и согласии на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и не может навязываться субъекту персональных данных со стороны оператора. Согласие должно быть дано субъектом или его представителем в письменной форме, либо в форме электронного документа, подписанного электронной подписью. И оператор обязан предоставить доказательства получения такого согласия.

Для чего и с какой целью?

ДомКлик, как и многие другие компании, столкнулся с рядом проблем, связанных с тем, что:

1. Не было единого подхода к сбору согласий на обработку персональных данных, в том числе:
   
   • отсутствовала централизованная система, регламентирующая процесс сбора (каждый сервис собирал согласия как хотел и хранил артефакты сбора как мог);
   • применялись разные способы подтверждений (в одной подсистеме сайта ДомКлик использовался чекбокс, в другой — кнопка подтверждения);
   • использовались разнообразны виды и формы согласий.
2. Были сложности с определением принадлежности полученного согласия конкретному пользователю ДомКлик (субъекту персональных данных).
3. Поиск доказательств факта получения согласий — трудоёмкий процесс, который не всегда был результативным.

В результате не в полной мере выполнялись требования законодательства по обработке и защите персональных данных.

Ради централизованного учета в ДомКлик решили создать единый сервис, позволяющий контролировать процесс сбора/регистрации/хранения/отзыва согласий на обработку персональных данных.

Что удалось сделать и как это работает?

В рамках разработки сервиса «Согласий» перед командой ДомКлик стояли основные задачи:

• реализовать единый подход к сбору, регистрации, хранению и процессу отзыва согласий;
• разработать универсальный виджет для версий согласий и разных сценариев их сбора;
• разработать средство администрирования (админку), с удобным интерфейсом!
• минимизировать правовые риски, связанные с обработкой и защитой персональных данных.

На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.

Что мы сделали:

• реализовали и регламентировали единый подход и контроль согласий;
• оптимизировали поиск доказательств факта получения согласия, чтобы сократить длительность и трудозатраты;
• параметризировали согласия, то есть теперь можно узнать, кто дал согласие, какой использовался сценарий сбора, когда и в каких целях было получено согласие, а ещё сроки/статус/тип/версию согласия и т.д.;
• обеспечили выполнение требований ФЗ-152, тем самым снизили правовые и репутационные риски.

Дополнительно сервис может регистрировать следующие данные:

• сведения о согласии (наименование, тип, версия, краткое описание процесса, в котором оно используется и т.п.);
• статус согласия (принято/отклонено/в ожидании чуда);
• признак отзыва согласия (дата, время, основание);
• дату подтверждения согласия для автоматического уведомления о сроке его окончания (реализована автоматическая проверка срока действия согласия);
• срок действия согласия;
• способ подтверждения согласия.

Также мы реализовали сбор согласий в форме электронного документа, подписанного электронной подписью.





На этапе сбора мы предусмотрели несколько сценариев:

• ввод полученного кода из SMS-сообщения или голосового сообщения в специальном поле на сайте ДомКлик (если клиент напрямую взаимодействует с сайтом).
• отправка полученного кода из SMS в ответном SMS (если запрос инициирован третьим лицом, например, сотрудником ДомКлик).
• гибридный сценарий позволяет подтверждать согласие как ответным SMS, так и через ввод кода по уникальный ссылке из SMS (обычно используется в случаях, когда клиент не находится на сайте ДомКлик, а инициатором выступает третье лицо).

Во всех сценариях пользователь проинформирован о получении согласия на обработку персональных данных и условиях обработки.

Кроме того, в сервисе предусмотрена поддержка в актуальном состоянии форм согласий (ранее все согласия были в формате .pdf и не имели версионности). Для этого применяется формат .html, а версионность документов позволяет DPO оперативно корректировать формы согласий (например, в связи с изменениями в законодательстве или в бизнес-процессе). При этом не нарушается клиентский путь.

Также при сборе согласий мы проверяем, давал ли пользователь уже такое согласие или нет. Если давал и в той же редакции, то повторно не надо соглашаться, нельзя дважды подтвердить одно и то же согласие.

В серверной части сервиса «Согласий» использован Kotlin, а фронтендная часть написана на React.

Новый сервис принял уже более 8 000 000 согласий от пользователей ДомКлик.

Какие планы на будущее?

Для пользователей:

• Добавим в личный кабинет на сайте ДомКлик информационный блок о согласиях, которые дали пользователи (со статусом, датой, версией).
• Добавим в личный кабинет возможность отозвать согласие.

Для сервисов ДомКлик:

• Начнём применять сервис «Согласий» в иных целях и для других документов (например, для согласий на получение рекламно-информационных материалов о продуктах, товарах и услугах ДомКлик, и т.д.).
• Будем использовать в тексте согласий динамические параметры (например, наименование третьего лица, чьи персональные данные были переданы).
• Автоматизируем и упростим процесс отзыва согласий на обработку персональных данных.