Mike_Ro
@Mike_Ro
Чистейший колумбийский ЖеЭс

Как грамотно спрашивать согласие и хранить персональные данные пользователя?

Приветствую!

Как максимально грамотно собирать, хранить и использовать персональные данные (ПД) пользователей, которые выразили на это явное согласие, чтобы потом не иметь возможности вкусить статью 14.3 КоАП РФ с призовым фондом до 500000 рублей, т.к. В случае спорной ситуации факт получения согласия должен предоставить рекламораспространитель (ч. 1 ст. 3 Закона № 38-ФЗ).

Предположим, имеется сайт/приложение, в котором при оформление онлайн заявки - спрашиваем номер телефона посетителя, для:
- Консультация по телефону этого посетителя.
- Дальнейшей рассылки рекламно-информационного материала (если посетитель явно выразил на это согласие).

Если с консультацией все понятно, то с согласием на рассылку возникает несколько юридически-технических вопросов:
1. Публичная оферта (ГК РФ Статья 437): разъясняем посетителю о намерение сбора, хранения и дальнейшего использования его ПД.
2. Акцепт (ГК РФ Статья 438): берем согласие на подписание публичной оферты:
2.1. А как мы его берем, галочкой? Как в случае чего доказать, что посетитель действительно ставил галочку? Ведь любой левый посетитель может указать номер телефона совершенно другого человека и нажать галочку.
2.2. Можно использовать простую подпись в виде СМС/email (если надо работать с почтой) кода (электронный документ, подписанный простой электронной подписью в виде СМС. В соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Закон об электронной подписи) простая электронная подпись - это электронная подпись, которая создается посредством использования кодов, паролей или иных средств и подтверждает факт формирования электронной подписи определенным лицом. Такого рода согласие может быть выражено в виде ввода СМС-кода, отправленного на телефон субъекта персональных данных при регистрации на соответствующем ресурсе. Документ, с которым было выражено согласие в подобной форме, признается судами в качестве подписанного простой электронной подписью).
2.3. Какие еще варианты?
3. Хранение согласия: если посетитель только указывает номер телефона и ставит галочку, то мы храним его номер и checked: true? - железобетонные аргументы для судьи, помимо возможности указания номера совершенного другого человека. Так проблема еще сильнее обостряется, если необходимо иметь возможность передавать ПД третьим лицам (с договором на бумаге мы можем передавать его классическую подпись, а без бумаги? checked: true?).
3.1. Если попробовать вариант делегировать отправку смс/email кодов стороннему сервису (причем сервис не должен сообщать нам код, а только возвращать true/false по результатам ввода кода посетителем), то опять, что все таки хранить в бд в этом случае?

Почему не хочется использовать смс/email ключи?
- Это дополнительный шанс потерять посетителя на о очередном этапе сбора его ПД.
- Дополнительные технические и финансовые издержки.
- Даже если их использовать, то непонятно, как хранить в бд согласие пользователя.
  • Вопрос задан
  • 99 просмотров
Пригласить эксперта
Ответы на вопрос 1
freeExec
@freeExec
Участник OpenStreetMap
Согласие на обработку ПД это не часть оферты какой-то, а отдельный документ. Где всё чётко и по пунктам. Не прокатит вывалить +100500 страниц текста, а потом кивать, мол там среди всего было и согласие.
Хранить в базе не только true, а факт отправки смс (номер транзакции или что там есть у вас от оператора, время отправки и номер как минимум).

Если можно просто вписать номер от балды и поставить галочку, то это ваш попадос, потому что задача идентификации участника соглашения - ваша обязанность.

Так же будет минусом отсутствие отображения данного согласия в личном кабинете.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы