Обработка номера телефона через форму обратной связи на коммерческом сайте
Анализ вашей ситуации
Вы собираете номера телефонов посетителей через форму обратной связи на коммерческом сайте, храните их в базе данных и используете для связи с клиентами, не передавая третьим лицам.
1. Является ли номер телефона персональными данными?
Да, является. Согласно законодательству, персональные данные — это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).
Номер мобильного телефона позволяет идентифицировать конкретное физическое лицо (его владельца), даже если не указаны ФИО. Телефонный номер закреплен за конкретным абонентом и через него можно установить личность, поэтому он однозначно относится к персональным данным.
2. Являются ли ваши действия обработкой персональных данных?
Да, являются. Закон определяет обработку как "любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).
Ваши действия — сбор номеров через форму, их запись в базу данных и хранение — полностью подпадают под это определение.
3. Применяются ли к вам обязанности оператора персональных данных?
Да, применяются. Вы являетесь оператором персональных данных, так как "организуете и осуществляете обработку персональных данных, а также определяете цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).
Факт использования сайта в коммерческих целях только подтверждает, что обработка осуществляется в рамках предпринимательской деятельности.
4. Освобождает ли отсутствие передачи данных третьим лицам от соблюдения закона?
Нет, не освобождает. Обязанности оператора возникают с момента начала обработки данных, независимо от того, передаются они третьим лицам или нет. Конфиденциальность — лишь одно из требований: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7).
Однако помимо конфиденциальности, оператор обязан соблюдать все остальные требования закона: получать согласие, обеспечивать безопасность, информировать субъектов и т.д.
5. Требуется ли согласие на обработку и как его получить?
Да, требуется. "Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6).
Простая отправка номера через форму НЕ является автоматическим выражением согласия. Закон устанавливает требования к согласию: "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9).
На практике это означает, что рядом с формой обратной связи должна быть:
- Четко видимая ссылка на политику конфиденциальности
- Галочка (checkbox), которую пользователь должен отметить, подтверждая, что он ознакомлен с политикой и согласен на обработку своих персональных данных
- Текст примерно такого содержания: "Нажимая кнопку "Отправить", я даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности"
6. Нужно ли уведомлять Роскомнадзор?
Да, нужно. "Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22).
Исключения из этого правила не применяются к вашей ситуации, так как:
- Вы осуществляете обработку с использованием средств автоматизации (форма на сайте)
- Обработка не относится к исключительным случаям, перечисленным в части 2 статьи 22
7. Что должно быть указано в политике конфиденциальности?
Политика должна содержать информацию, которую оператор обязан предоставить субъекту персональных данных. В соответствии с законом, при сборе персональных данных оператор обязан предоставить субъекту информацию, включая:
- Наименование или фамилию, имя, отчество и адрес оператора
- Цель обработки персональных данных и ее правовое основание
- Перечень персональных данных
- Установленные законом права субъекта персональных данных (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18)
Дополнительно политика должна отражать принципы обработки: "Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей" и "Хранение персональных данных должно осуществляться... не дольше, чем этого требуют цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5).
8. Требования к обеспечению безопасности
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19).
Конкретные меры зависят от типа и объема обрабатываемых данных, но как минимум включают организационные меры (назначение ответственного, регламенты доступа) и технические (защита базы данных, шифрование при передаче).
Выводы и рекомендации
-
Вы являетесь оператором персональных данных, поскольку собираете и храните номера телефонов посетителей сайта.
-
Необходимо получить согласие на обработку персональных данных через явный механизм (галочка с ссылкой на политику).
-
Требуется разработать и разместить на сайте политику конфиденциальности, которая должна содержать:
- Ваши реквизиты как оператора
- Цели обработки данных (связь с клиентами)
- Перечень обрабатываемых данных (номера телефонов)
- Права субъектов персональных данных
- Сведения о принимаемых мерах безопасности
- Сроки хранения данных
-
Необходимо направить уведомление в Роскомнадзор о начале обработки персональных данных.
-
Следует принять меры по обеспечению безопасности обрабатываемых данных в соответствии с требованиями законодательства.
-
Отсутствие передачи данных третьим лицам не освобождает от выполнения остальных обязанностей оператора.
Рекомендую обратиться к адвокату, специализирующемуся на информационном праве, для разработки полного комплекта документов и консультации по конкретным мерам безопасности, соответствующим масштабам вашей деятельности.