image

Всем привет! Меня зовут Мария, в компании ДомКлик я отвечаю за организацию обработки персональных данных, и сегодня речь пойдёт о процессе сбора согласий на обработку в соответствии с требованиями законодательства.

На протяжении многих лет компании, обрабатывающие персональные данные (операторы), обсуждают способ сбора согласий на обработку персональных данных в электронной форме. Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это.

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект этих самых данных должен самостоятельно принять решение об их предоставлении и согласии на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и не может навязываться субъекту персональных данных со стороны оператора. Согласие должно быть дано субъектом или его представителем в письменной форме, либо в форме электронного документа, подписанного электронной подписью. И оператор обязан предоставить доказательства получения такого согласия.

Для чего и с какой целью?


ДомКлик, как и многие другие компании, столкнулся с рядом проблем, связанных с тем, что:

  1. Не было единого подхода к сбору согласий на обработку персональных данных, в том числе:
    • отсутствовала централизованная система, регламентирующая процесс сбора (каждый сервис собирал согласия как хотел и хранил артефакты сбора как мог);
    • применялись разные способы подтверждений (в одной подсистеме сайта ДомКлик использовался чекбокс, в другой — кнопка подтверждения);
    • использовались разнообразны виды и формы согласий.
  2. Были сложности с определением принадлежности полученного согласия конкретному пользователю ДомКлик (субъекту персональных данных).
  3. Поиск доказательств факта получения согласий — трудоёмкий процесс, который не всегда был результативным.

В результате не в полной мере выполнялись требования законодательства по обработке и защите персональных данных.

Ради централизованного учета в ДомКлик решили создать единый сервис, позволяющий контролировать процесс сбора/регистрации/хранения/отзыва согласий на обработку персональных данных.

Что удалось сделать и как это работает?


В рамках разработки сервиса «Согласий» перед командой ДомКлик стояли основные задачи:

  • реализовать единый подход к сбору, регистрации, хранению и процессу отзыва согласий;
  • разработать универсальный виджет для версий согласий и разных сценариев их сбора;
  • разработать средство администрирования (админку), с удобным интерфейсом!
  • минимизировать правовые риски, связанные с обработкой и защитой персональных данных.

На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.

Что мы сделали:

  • реализовали и регламентировали единый подход и контроль согласий;
  • оптимизировали поиск доказательств факта получения согласия, чтобы сократить длительность и трудозатраты;
  • параметризировали согласия, то есть теперь можно узнать, кто дал согласие, какой использовался сценарий сбора, когда и в каких целях было получено согласие, а ещё сроки/статус/тип/версию согласия и т.д.;
  • обеспечили выполнение требований ФЗ-152, тем самым снизили правовые и репутационные риски.


Дополнительно сервис может регистрировать следующие данные:

  • сведения о согласии (наименование, тип, версия, краткое описание процесса, в котором оно используется и т.п.);
  • статус согласия (принято/отклонено/в ожидании чуда);
  • признак отзыва согласия (дата, время, основание);
  • дату подтверждения согласия для автоматического уведомления о сроке его окончания (реализована автоматическая проверка срока действия согласия);
  • срок действия согласия;
  • способ подтверждения согласия.

Также мы реализовали сбор согласий в форме электронного документа, подписанного электронной подписью.

image

image

На этапе сбора мы предусмотрели несколько сценариев:

  • ввод полученного кода из SMS-сообщения или голосового сообщения в специальном поле на сайте ДомКлик (если клиент напрямую взаимодействует с сайтом).
  • отправка полученного кода из SMS в ответном SMS (если запрос инициирован третьим лицом, например, сотрудником ДомКлик).
  • гибридный сценарий позволяет подтверждать согласие как ответным SMS, так и через ввод кода по уникальный ссылке из SMS (обычно используется в случаях, когда клиент не находится на сайте ДомКлик, а инициатором выступает третье лицо).

Во всех сценариях пользователь проинформирован о получении согласия на обработку персональных данных и условиях обработки.

Кроме того, в сервисе предусмотрена поддержка в актуальном состоянии форм согласий (ранее все согласия были в формате .pdf и не имели версионности). Для этого применяется формат .html, а версионность документов позволяет DPO оперативно корректировать формы согласий (например, в связи с изменениями в законодательстве или в бизнес-процессе). При этом не нарушается клиентский путь.

Также при сборе согласий мы проверяем, давал ли пользователь уже такое согласие или нет. Если давал и в той же редакции, то повторно не надо соглашаться, нельзя дважды подтвердить одно и то же согласие.

В серверной части сервиса «Согласий» использован Kotlin, а фронтендная часть написана на React.

Новый сервис принял уже более 8 000 000 согласий от пользователей ДомКлик.

Какие планы на будущее?


Для пользователей:

  • Добавим в личный кабинет на сайте ДомКлик информационный блок о согласиях, которые дали пользователи (со статусом, датой, версией).
  • Добавим в личный кабинет возможность отозвать согласие.

Для сервисов ДомКлик:

  • Начнём применять сервис «Согласий» в иных целях и для других документов (например, для согласий на получение рекламно-информационных материалов о продуктах, товарах и услугах ДомКлик, и т.д.).
  • Будем использовать в тексте согласий динамические параметры (например, наименование третьего лица, чьи персональные данные были переданы).
  • Автоматизируем и упростим процесс отзыва согласий на обработку персональных данных.