Сбор персональных данных через чат-бот

Требования Закона «О персональных данных» нужно соблюдать во всех случаях, когда вы сталкиваетесь с обработкой персональных данных. К сожалению, в большинстве случаев наводится порядок на сайте и внутри компании (относительно работников). Поскольку это два основных направления, где у Роскомнадзора возникает больше всего вопросов. Но предприниматели забывают или относят к малым рискам, когда осуществляют обработку персональных данных в чат-ботах.

Снежана Чепа
Юрист, магистр права, специалист по защите персональных данных

Когда собираются персональные данные через чат-бот?

Есть чат-боты, которые направлены на информирование/предоставлением пользы. Например, в чат-бот размещают бесплатный видеоурок или гайд. И чтобы человек получил такую информацию, ему достаточно зайти в чат-бот, нажать на кнопку «start» и ответным сообщением отображается сама такая польза.

Но есть чат-боты, в которых просят указать свои данные: имя, эл.почту, телефон, возраст, профессию и т.д. Именно в таких чат-ботах и происходит обработка персональных данных. Например, просят оставить имя, фамилию и телефон, чтобы связались по обратной связи.

Что нужно соблюсти при сборе персональных данных через чат-бот?

Фактически сам чат-бот является некоторой формой сбора данных, как это происходит и в обычном окне на сайте. А, значит, все те требования, которые необходимо соблюдать при обработке персональных данных на сайте, необходимо соблюдать и в чат-ботах.

Требование № 1. Наличие правового основания обработки персональных данных.

Все возможные основания указаны в ст. 6 Закона «О персональных данных». Для чат-бота подойдет такое основание как согласие субъекта персональных данных на обработку его персональных данных. То есть перед тем, как человек будет оставлять и отправлять свои данные, вы должны получить от него явно выраженное согласие.

Как возможно это реализовать?

Во-первых, перед отправкой сообщения указать: «отправляя сообщение, вы даете согласие на обработку персональных данных».

Сбор персональных данных через чат-бот

Во-вторых, перед отправкой сообщения человек должен дать активное согласие, нажать на соответствующую кнопку. Пока он этого не сделает, запретить технически какую-либо отправку сообщения.

Сбор персональных данных через чат-бот

Но само по себе наличие таких всплывающих сообщений не говорит о том, что у вас есть основания для обработки персональных данных. Во фразу «согласие на обработку персональных данных» необходимо зашить текст такого согласия. Только при соблюдении всех этих условий у вас нет риска получить штраф до 100 000 рублей.

Требование № 2. Разместить в чат-боте политику конфиденциальности.

Политика конфиденциальности - это обязательный документ, который должен размещаться на всех страницах, где осуществляется сбор персональных данных. Политика конфиденциальности НЕ РАВНО согласие на обработку персональных данных. Это абсолютно два разных документа. И требования к политике можно почитать в п. 2 ч. 1 ст. 18.1 Закона «О персональных данных».

Основные новшества заключаются в том, что сначала вы должны сформулировать цель обработки персональных данных. А потом под эту цель установить категории и перечень персональных данных; категории субъектов персональных данных; способы обработки; сроки обработки и хранения; порядок уничтожения.

Например, рассмотрим случай, когда собираются данные, чтобы совершить обратный звонок.

Цель обработки - совершение звонка по телефону для дальнейшей коммуникации.

Категории персональных данных - персональные данные не относятся к специальным категориям или биометрическим.

Перечень персональных данных - имя, фамилия, номер телефона.

Категории субъектов персональных данных - пользователи чат-бота.

Способ обработки - автоматизированный способ.

Сроки обработки и хранения - в течение 30 дней, как только прекратится общение по вопросу, персональные данные уничтожатся.

Порядок уничтожения - путем удаления из информационной системы оператора с помощью встроенных средств информационной системы.

Требование № 3. Подать уведомление в Роскомнадзор о начале обработки персональных данных.

Это обязательное требование для всех операторов, которое действует с 1 сентября 2022 г. В этой статье вы можете почитать какие сведения указываются в уведомлении, как оно подается и что будет, если не подать.

За полезность публикации буду рада обратной связи и любой поддержке! Если хотите не терять на простых ошибках деньги в бизнесе, а приумножать, то рекомендую подписаться на мой Telegram-канал. В нем я делюсь актуальными новостями, практикой и лайфхаками, которые будут полезны для каждого предпринимателя.

11
4 комментария

Хорошая статья, очень актуальная. Интересны только вопросы, которые, может быть на примере не совсем точно поняла. Я, например, регистрировалась на конференцию. Сначала ты по боту данные оставляешь, затем бот именно вернул обработанный массив данных и только после этого просят согласиться с Политикой конфиденциальности (т. е. они уже где-то хранятся и обрабатывабтся, и уверена, сотрудник, который может к боту подключаться и отсматривать сообщения эти Персональные данные видит).

Ведь порядок должен быть обратный? Например, мне должны сначала сказать что от меня попросят - типа приготовьтесь написать в бот фио, телефон, организацию где работаете, должность. Потом согласие, и только потом запрашивать эти данные, разве нет?

А ещё проблема в том, что Политика конфиденциальности универсальная. Я там ни слова не увидела про цель регистрации на конференцию. Это как? Попросила прислать форму или эл. почту для отзыва ПД - на что мне бот ответил, что не понял меня и с концами

Добрый день!

1. Да Вы все правильно поняли, что изначально должны вас предупредить о том, что сейчас будут собираться персональные данные, а для этого получить от Вас согласие. Вы даете согласие, а потом оставляете свои ФИО, место работы, телефон и т.д. То как у Вас на скринах - это неверно сделала организация.

2. К сожалению, у многих наблюдаю, что политика конфиденциальности неверно разработанная. Берут из Интернета шаблоны, которые давно уже не актуальны. Кроме того, я не думаю, что в Вашем случае оператором перс.данным является Яндекс. Оператор - это организатор конференции по факту. Возможно, бот разработан на каких-то программах Яндекса и в конечном итоге все данные падают туда. Но тогда Яндекс - это всего лишь обработчик, у которого также есть своя политика. У самого организатора должна быть своя политика, в которой и должен прописать цель сбора, какие данные собирают и каким 3-им передаются. Но представленная политика Яндекса относится к тем случаям, когда Вы самостоятельно пользуетесь их сервисам.

1

И вот куда ведёт на политику https://yandex.ru/legal/confidential/