Можно ли форму с отзывами считать сбором данных?

Question

[Рикардо Санчес]

Такой вопрос.
Будет ли считаться сбором данных информация поступающая из формы обратной связи?
если да, то:
Обязательно надо прописать об этом под кнопкой или делать галку?

Всё делается частными лицами на общественных началах.
Есть созданный на коленке сайтик с формой для отзывов.
типа обратная связь для садоводов нашего СНТ.
Присутствуют поля : ФИО*, телефон, номер участка*.
*есть поля обязательные для заполнения, но нет проверки подлинности данных
Сообщения валятся на простую почту от яндекса.
Обрабатывать и хранить данные нет намеренья, цель просто знать кто написал и как связаться.
Отработанные сообщения будут удаляться.

Comments

[chemdev]

Обрабатывать и хранить данные нет намеренья, цель просто знать кто написал и как связаться.

это и есть хранение и обработка, разве нет?
Связка телефона и чего то еще (ФИО, например) - это и есть персональные данные.

[Рикардо Санчес]

chemdev, так я не в курсе тонкостей, поэтому и спрашиваю.
суть в том, что баз данных, чтоб потом гадить спамом/продавать/сливать в интернет, никто создавать не собирается
То есть обязательно надо прописать под кнопкой или сделать галку?

Answer 1

[Михаил Р.]

152 ФЗ от 27.07.2006

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

фамилия, имя, отчество;
место, дата рождения;
место постоянной или временной регистрации;
фотография или видеозапись человека, позволяющие идентифицировать человека;
сведения о детях, родственниках, семейном положении;
сведения о заработной плате;
оценка навыков, личностных качеств;
индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
информация о судимостях, или их отсутствии;
номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
биометрические данные.

Можно ли форму с отзывами считать сбором данных?

Присутствуют поля : ФИО*, телефон, номер участка*.

- Не можно, а нужно на 146%.
- Добавляйте в форму галочку "согласен на обработку своих персональных данных" с ссылкой на страницу с "политикой обработки персональных данных".
- Пользователь должен выразить явное согласие, т.е. галочка не должна быть активна автоматически по умолчанию.
- И еще момент, если Вы генерируете какие то данные на основе собранных ПД пользователя и сгенерированные данные "позволяют определить" этого пользователя - это ПД (id, ник, хеш итп). Если же по сгенерированному хешу (например) не получится "определить" конкретного пользователя, то - это не ПД, а обезличенные данные.

Comments

[Рикардо Санчес]

Подобная формулировка будет не достаточной?
*Нажимая кнопку «Отправить» Пользователь даёт согласие на обработку указанных им данных. Информация, указанная Пользователем необходима исключительно для последующей коммуникации сторон по изложенному вопросу. Последующее хранение и обработка данных не осуществляются.

[Михаил Р.]

Рикардо Санчес,

Подобная формулировка будет не достаточной?
*Нажимая кнопку «Отправить» Пользователь даёт согласие на обработку указанных им данных.

Из закона 152-ФЗ следует, что для подтверждения согласия обработки персональных данных пользователь должен совершить конкретное действие — например, проставить галку в чекбоксе. Из этого следует, что настройка согласия по умолчанию не гарантирует 100% соблюдение 152-ФЗ.

Если коротко - зависит от Вашего юриста, сможете доказать, что Вы не верблюд - хорошо, не сможете - уплатите штраф. Отдельная, автоматически не проставленная галочка работает железобетонно.

[Рикардо Санчес]

Михаил Р., да нет у нас юриста) мы и не организация вовсе. люди хотят наладить коммуникацию в пределах СНТ, потому на коленке была состряпана форма чтоб садоводы жаловались.

Столько с этим сложностей что не стоит свеч.

[Михаил Р.]

Рикардо Санчес,

да нет у нас юриста)

Это был риторический вопрос. Оценивайте свои риски на берегу, если в состояние оспаривать решения контролирующих органов - то вперед.

мы и не организация вовсе

А это закон не волнует.

Столько с этим сложностей что не стоит свеч.

Согласен. Сделайте отдельную галочку в форме и напишите политику обработки ПД и все, это не сложно.

[chemdev]

Рикардо Санчес, дополню ответ Михаила: в данном случае риски очень близки к нулю, и просто стоит перестраховаться добавив галочку и согласие. Это из разряда риски что на голову упадет кирпич, никто из-за этого не сидит дома. По факту, до этого докопаются только если захотят специально навредить вам, да еще и этот злой человек будет обладать знанием про данный сайт и ФЗ) И даже в этом случае против вас у обвинения шансов особо не будет.

[Рикардо Санчес]

chemdev, Михаил Р., спасибо. Буду делать галочку.

[Рикардо Санчес]

Ubuntu_Pro, ну вот надо было вам, а?
теперь я опять запутолся(

[Михаил Р.]

Рикардо Санчес,

для того чтобы обрабатывать персональные данные, то нужно не согласие, нужно сначала иметь статус Оператора по обработке этих данных, а не галочки делать

Ubuntu_Pro прав, а я упустил этот момент.
В соответствии с требованиями части 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») оператор – это государственный или муниципальный орган, юридическое или физическое лицо, организующее или осуществляющее обработку персональных данных с определенными целями.

В соответствии со статьей 22 Федерального закона «О персональных данных» операторы, осуществляющие обработку персональных данных, обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Согласно части 4 статьи 25 Федерального закона «О персональных данных» операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление), предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Вам необходимо зарегаться оператором ПД. если присутствует один из пунктов ниже:
К ПД относят:
ФИО (в любых комбинациях);
дату рождения;
адрес;
телефон;
e-mail;
фотографии;
ссылку на персональный сайт;
ссылку на профиль в социальных сетях.

Порядок регистрации оператором ПД.

а прежде чем что-то обрабатывать, то это нужно сначала собрать и хранить, а это - запрещено)))

Ubuntu_Pro не согласен. В статье 22 прописаны правила, когда обеспечение конфиденциальности персональных данных не требуется:
- если данные обезличены — по ним невозможно определить принадлежность информации к конкретному лицу;
- если данные общедоступны;
- если данные включают только фамилии, имена и отчества субъектов персональных данных;
- если нужно оформить пропуск на территорию, на которой находится оператор;
- если данные получены оператором в связи с заключением договора;
- если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

[Михаил Р.]

Ubuntu_Pro,

согласие физлица на сбор, хранение и обработку данных не требуется, если такая деятельность ведётся в научных целях, например, для статистики (Статистика - это наука) ;)

Не только. Из статьи 22 следует:
Оператор не должен регистрироваться, если персональные данные:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
- используются оператором исключительно для исполнения договора;
- являются общедоступными данными;
- включают только ФИО субъектов;
- нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
- включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации.

[Рикардо Санчес]

Михаил Р., вот это наш вариант!

- обрабатываются без использования средств автоматизации.

[Михаил Р.]

Рикардо Санчес,

вот это наш вариант!

Баба Галя будет переписывать ручкой на бумаге Ваши данные?

Будет ли считаться сбором данных информация поступающая из формы обратной связи?

А вот тут уже автоматизация.

[Рикардо Санчес]

Михаил Р., короче опять не вариант(
Повесим в правлении ящик для жалоб и предложений.

[Михаил Р.]

Рикардо Санчес, самый оптимальный вариант для Вас:
1. Зарегаться оператором ПД (там не сложно и носит уведомительный характер).
2. Написать политику обработки ПД на сайте, обязательно уточнить, что ПД удаляются автоматически и не хранятся.
3. Сделать галочку с ссылкой при отправке формы на п2.
4. Не складировать ПД на сервере, сразу слать письмо на мыло с его ПД и потом удалять эти ПД.

[Рикардо Санчес]

Михаил Р., Спасибо.

Answer 2

[AntHTML]

цель просто знать кто написал и как связаться.

Ну дык пропишите и выложите для подстраховки какое простенькое соглашение, что ПД нужны только для обратной связи. И чистите почту раз в неделю чтоб их там не хранить.

Comments

[Рикардо Санчес]

Простенькое это пимерно так или надо сложнее и со ссылками на законы и прочее?

*Нажимая кнопку «Отправить» Пользователь даёт согласие на обработку указанных им данных. Информация, указанная Пользователем необходима исключительно для последующей коммуникации сторон по изложенному вопросу. Последующее хранение и обработка данных не осуществляются.