Лого vc.ru

Как не нарушить закон о персональных данных при работе с контекстной рекламой

Как не нарушить закон о персональных данных при работе с контекстной рекламой
Поделиться

Добрый день, меня зовут Екатерина. Я представляю проект Supl.biz.

Supl.biz — бесплатная торговая площадка для малого и среднего бизнеса, «корпоративный Google» для поставщиков и потребителей. Вместо того, чтобы часами просматривать сайты, прайс-листы и обзванивать компании, можно всего за три минуты бесплатно разместить заказ, и поставщики сами будут предлагать свои условия.

Один из вариантов монетизации проекта — реклама. Наше преимущество перед любой другой контекстной рекламой в том, что мы можем сообщать рекламодателю, какие компании переходили по его рекламной ссылке. Рекламодатель, обладая такой информацией, может позвонить этим компаниям (например, через час или день) и попытаться совершить сделку, пока потенциальные клиенты помнят предложение рекламодателя.

Вопрос к уважаемым экспертам: можем ли мы передавать рекламодателю список компаний, которые перешли по его рекламной ссылке? Не является ли это нарушением закона об обработке персональных данных?

Спасибо!


На вопрос отвечает Севан Авалян, юрист и редактор рубрики «Medium по-русски».

Сразу скажу, что передача персональных данных — при соблюдении установленных процедур — не является нарушением закона. 

При подготовке ответа у нас возникли вопросы, поэтому мы уточнили у Екатерины, кто именно является их пользователем, и какую информацию требует от них сервис.

Пользователями являются: 

  • физические лица; 
  • индивидуальные предприниматели; 
  • представители юридических лиц. 

Запрашиваемая информация: 

  • название компании (только для представителей ЮЛ); 
  • контактный телефон;
  • адрес; 
  • ФИО контактного лица 

Из статьи 2 Федерального закона «О персональных данных» №152-ФЗ (далее — закон) следует, что этот закон распространяет своё действие только на отношения, возникающие при использовании персональных данных человека и гражданина. 

Таким образом, учитывая статью 2 и пункт 1 статьи 3 закона, где дано определение о том, что такое ПД, руководителям сервиса Supl.biz необходимо разработать документ, регулирующий вопросы использования сервисом персональных данных пользователей, являющихся физическими лицами с/без статуса индивидуального предпринимателя.

Вопрос о необходимости разработки такого документа в отношении юридических лиц любой организационно-правовой формы не стоит, так как при регистрации на сайте в качестве компании каких-либо персональных данных о физических лицах пользователями не предоставляется.

Очевидно, такие вопросы ранее уже возникали у других ресурсов. 

Например, очень хорошо проблему закрыли в HeadHunter.ru. В «Политике обработки персональных данных в ООО “Хедхантэр”» они определили круг информации, которую собирают, определили объём действий, которые совершают с этой информацией, и, соответственно, определили цели, ради которых всё это делается. То есть выполнили все требования 152 Федерального закона. 

Процитирую соответствующие положения их «Политики»: 

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Хэдхантер»[1] с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 

1.3. В настоящей Политике используются следующие термины и определения: 

— любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

Объём действий: 

— любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 

— действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; 

— действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

В самом соглашении (пункт 2.2) прописано, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. 

Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Также закрепляется, что «компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». 

Если следовать приведённого примеру, то вам, Екатерина, необходимо опубликовать на вашем сайте Соглашение, устанавливающее цели обработки персональных данных, возможности передачи ПД в руки других лиц (от покупателя к продавцу в вашем случае), действия, которые вы совершаете с ПД в целом (обработка персональных данных).

На сайте компании Mercedes-Benz в России опубликован аналогичный документ. Процитирую некоторые его положения: 

«При посещении сайтов Daimler AG наши сетевые серверы стандартно регистрируют IP-адрес, присвоенный Вам Вашим провайдером Интернет-услуг, название страницы, с которой Вы к нам пришли, названия страниц, которые Вы посещаете у нас, а также дату и продолжительность Вашего посещения. Персональные данные сохраняются лишь при условии указания их Вами, например, в рамках регистрации, анкетирования, призового конкурса или в целях осуществления договора.

Использование и передача персональных данных, целевое использование: 

Daimler AG использует Ваши персональные данные в целях технического администрирования страниц сайта, управления клиентской базой, проведения анкетных опросов по нашей продукции и маркетинга, причем в исключительно необходимом для этого объеме. 

Передача персональных данных государственным инстанциям и органам осуществляется исключительно на основании национальных правовых норм. С наших сотрудников. Агентств и дилеров взяты обязательства о строгом соблюдении конфиденциальности.»

Опять же, прописано, какие именно персональные данные собираются, для чего, и что с ними можно делать.

Собственно, ответ на ваш вопрос «Можем ли мы передавать рекламодателю список компаний [или физических лиц/ИП — прим. автора], которые перешли по его рекламной ссылке?» — да, можете, но предварительно прописав всё в соглашении о персональных данных. Закон при этом вы не нарушаете.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Если мерседесовские выдержки имеют ту же юридическую силу, что и хедхантеровские, то мне хочется сломать хедхантеровским юристам все пальцы, чтобы печатать настолько запутанные тексты им было нечем.

Это делается для достижения однозначности трактовки. Иначе может получиться «Казнить нельзя помиловать».

К слову, в НН сделали все круто и четко.

0

>можем ли мы передавать рекламодателю список компаний, которые перешли по его рекламной ссылке

Тут ключевой вопрос - являются ли данные о компаниях персональными данными. Если мне память не изменяет, то ими являются данные о физических лицах.

вообще никак не являются

0

> Тут ключевой вопрос - являются ли данные о компаниях персональными данными. Если мне память не изменяет, то ими являются данные о физических лицах.

1. А если есть фио контактного лица компании и его личный сотовый, например?

2. Если это ИП, который скорее физ лицо, чем юр лицо?

0

В случаях, если это информация о физическом лице или ИП (хотя между ними нет существенной разницы, ибо это формально одно и то же за исключением права вести предпринимательскую деятельность), то применим ФЗ "О персональных данных".

0

Севан, большое спасибо за развёрнутый ответ! Мы займемся разработкой документа по политике обработки персональных данных.

0

Коллеги, а что думаете про этический аспект такой рекламы: ты кликнул по баннеру, смотришь чей-то сайт - и в этот момент тебе звонит их продажник?

0

Это из серии - ищешь что-то на Яндексе, а потом тебе подсовывают данную рекламу везде, в том числе и на других устройствах. В любом случае, если покупатель авторизованным ходит по площадке, то не думаю, что это будет сильно удивительно для для него. Хотя если после каждого просмотра заявки мне бы звонили, я бы, наверное, разозлился.

0

А вот еще интересный момент - если мы опубликовали политику в отношении ПД, признали что их собираем, то есть являемся оператором ПД, то должны соответствующим образом зарегистрироваться и подготовить все необходимые организационно-распредительные документы (те же приказы, модели угроз и т.д.). Все верно? Насколько это большая работа?

0

habrahabr.ru/post/169527/

Приблизительно так, а дальше надо смотреть конкретную ситуацию. Но опять же, это если Вы обрабатываете персональные данные. Supl.biz, например, их не обрабатывает.

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Владимир Карулин
ROADS.RU

Любопытно. А примеры внедрения посмотреть реально?

Холдинг «Е-генератор» запустил сервис для добровольной оплаты контента «Микроподписки»
0
Нурлан Абилжанов

Но америкосы всетаки красавцы,что ж у них сервису не поучиться или дорого это для России матушки или невыгодно бизнесу вот в чем вопрос

Онлайн-ритейлер Amazon показал офлайн-магазин без касс и продавцов
0
Нурлан Абилжанов

Надо супермаркету вначале с ценниками разобраться и т.д.

Онлайн-ритейлер Amazon показал офлайн-магазин без касс и продавцов
0
Yan Varskii

Пиздеж! - штука, которая пиарит и забавляет публику. Рискнуть желаешь?)))

Работу ищут специалист по таргетированной рекламе и руководитель отдела разработки
0
Нурлан Абилжанов

Вопрос сервиса

Онлайн-ритейлер Amazon показал офлайн-магазин без касс и продавцов
0
Показать еще