Можно ли использовать сторонние виджеты без отдельного согласия на обработку персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Многие сайты встраивают сторонние сервисы: онлайн-чаты, квизы, формы-калькуляторы и другие интерактивные виджеты. Почти всегда такие инструменты собирают персональные данные (имя, телефон, e-mail, IP-адрес, cookie, историю действий), а значит, включаются в режим регулирования по 152-ФЗ.

Что важно учитывать

• Если данные передаются через ваш сайт напрямую в сторонний сервис, это уже является передачей ПДн третьему лицу. Такая передача должна быть оформлена либо отдельным согласием пользователя, либо явным указанием в политике ПДн.
• Если же сторонний виджет интегрирован так, что данные сначала обрабатываются вашей компанией (и только потом по договору уходят подрядчику), согласие должно содержать упоминание о передаче третьим лицам.

Обоснование по закону

• Ст. 6 ФЗ-152 — обработка допустима с согласия субъекта или при наличии иных законных оснований.
• Ст. 18.1 ФЗ-152 — оператор обязан информировать пользователей о целях, категориях получателей и действиях с ПДн.
• Ст. 22 ФЗ-152 — уведомление Роскомнадзора должно включать сведения о категориях получателей ПДн.

Практика проверок Роскомнадзора

Инспекторы уделяют внимание сторонним сервисам, встроенным на сайт. Если политика по ПДн не содержит информации о передаче данных подрядчикам (например, чат-ботам, CRM, аналитическим системам), это расценивается как нарушение. В ряде случаев накладывались штрафы даже за отсутствие упоминания конкретного подрядчика.

Что рекомендуется сделать

• Указать в политике ПДн, что данные пользователей могут передаваться сторонним сервисам (например, «сервисы обратной связи, чаты, системы аналитики»).
• В пользовательском соглашении прописать цели и перечень возможных получателей.
• Заключить договор поручения на обработку ПДн со сторонним сервисом (если он обрабатывает данные по вашему поручению).
• Добавить пометку рядом с формой/виджетом: «Нажимая кнопку, вы соглашаетесь на обработку данных и передачу их сервису …».

Вывод

Использовать сторонние виджеты без отдельного согласия формально можно, если всё корректно отражено в политике ПДн и пользователь явно информирован о передаче данных. Но для снижения рисков лучше предусмотреть отдельный чекбокс согласия, особенно если сервис хранит данные за рубежом.

Компания ICTech поможет вам адаптировать сайт под требования ФЗ-152: оформить политику ПДн с учётом сторонних сервисов, подготовить договоры с подрядчиками и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге