Недавно разбирали с заказчиком вопрос - как правильно использовать Яндекс-формы для сбора заявок и при этом не нарушить 152-ФЗ. Кратко и по существу ниже.

При сборе ПДн через форму организация должна получить у клиента согласие на обработку его персональных данных (ст. 6 ч. 1 п. 1 закона), если отсутствуют иные законные основания. В практическом плане это означает включение в форму явного соглашения: например, фраза с чекбоксом «Я даю согласие ООО “Х” на обработку моих персональных данных (ФИО, телефон, email) в целях рассмотрения заявки…», с ссылкой на политику конфиденциальности. Важно: если планируется, что данные будут передаваться третьим лицам (в данном случае – сервису Яндекс), в тексте согласия следует отдельно указать согласие на передачу (поручение) данных этому третьему лицу.

Ниже приведен пример, как может выглядеть согласие на обработку персональных данных с учетом использования Яндекс.Форм (адаптируйте под вашу ситуацию):

«Заполняя и отправляя настоящую форму, я подтверждаю, что ознакомился с Политикой конфиденциальности ООО “Организация” и даю согласие на обработку моих персональных данных – ФИО, адрес электронной почты, номер телефона – ООО “Организация” в целях обработки моего запроса и обратной связи. Также я даю согласие на передачу указанных персональных данных третьему лицу – ООО “Яндекс” – для размещения анкеты и обеспечения работы сервиса сбора моих ответов. Я проинформирован, что обработка моих данных осуществляется в соответствии с Федеральным законом № 152-ФЗ “О персональных данных”, и ознакомлен с правами субъекта ПДн.»

Закон (ст. 6 ч. 3 152-ФЗ) требует при передаче данных для обработки третьему лицу заключить с ним договор, устанавливающий обязанности по конфиденциальности и безопасности данных. В данном случае Яндекс выступает стороной, осуществляющей обработку по поручению оператора. На практике отдельного подписания бумажного договора с Яндексом обычно не происходит – вместо этого отношения регулируются публичной офертой и условиями использования сервиса «Яндекс.Формы». Важный момент: согласно Условиям использования сервиса для создателей форм, Яндекс и организация рассматриваются как самостоятельные операторы персональных данных респондента. Иными словами, Яндекс не позиционируется как «обработчик по поручению» в классическом смысле, а обрабатывает данные в пределах, необходимых для работы сервиса, параллельно с оператором. Тем не менее, со стороны оператора рекомендуется задокументировать факт привлечения Яндекса для хранения/обработки полученных через форму данных. Это можно сделать, например, в политике конфиденциальности («Мы используем облачный сервис Яндекс.Формы для сбора и хранения анкет; обработка данных сервисом осуществляется на основании договора-оферты, при этом сервис обеспечивает конфиденциальность и безопасность персональных данных в соответствии с законодательством РФ»). 

Так же не забудьте включить сведения о Яндексе в реестр процессов ПДн организации и уведомление в Роскомнадзор. Например, при описании «мест хранения и обработки ПДн» указать: «серверы ООО “Яндекс”, расположенные на территории РФ (облачный сервис для анкет)». Это покажет регулирующему органу, что передача данных внешнему провайдеру формально учтена.

Важно: Проверить, не противоречат ли условия Яндекса вашим потребностям. Яндекс запрещает сбор через свои формы специальных категорий данных (национальность, здоровье, религия, интимная жизнь, судимость и т.п.). Если ваша форма пытается собрать что-то подобное, это не только незаконно без отдельного разрешения, но и нарушит правила сервиса. Также Яндекс может ограничить доступ или удалить форму, если посчитает, что вы нарушаете закон или права третьих лицy. Поэтому убедитесь, что в заявке вы запрашиваете только нечувствительные персональные данные (ФИО, контакты и пр.) и делаете это законно.

• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (ст. 6, 18.1, 19, 22 и др.)

• Официальные документы ООО «Яндекс»: Политика конфиденциальности, Условия использования сервиса «Яндекс.Формы» для создателей и респондентов, раздел «Облако 152-ФЗ» на сайте Yandex Cloud, соглашения об обработке данных для Yandex 360.

Больше информации в телеграмм-канале