Что важно учитывать
- Если данные передаются через ваш сайт напрямую в сторонний сервис, это уже является передачей ПДн третьему лицу. Такая передача должна быть оформлена либо отдельным согласием пользователя, либо явным указанием в политике ПДн.
- Если же сторонний виджет интегрирован так, что данные сначала обрабатываются вашей компанией (и только потом по договору уходят подрядчику), согласие должно содержать упоминание о передаче третьим лицам.
Обоснование по закону
- Ст. 6 ФЗ-152 — обработка допустима с согласия субъекта или при наличии иных законных оснований.
- Ст. 18.1 ФЗ-152 — оператор обязан информировать пользователей о целях, категориях получателей и действиях с ПДн.
- Ст. 22 ФЗ-152 — уведомление Роскомнадзора должно включать сведения о категориях получателей ПДн.
Практика проверок Роскомнадзора
Инспекторы уделяют внимание сторонним сервисам, встроенным на сайт. Если политика по ПДн не содержит информации о передаче данных подрядчикам (например, чат-ботам, CRM, аналитическим системам), это расценивается как нарушение. В ряде случаев накладывались штрафы даже за отсутствие упоминания конкретного подрядчика.
Что рекомендуется сделать
- Указать в политике ПДн, что данные пользователей могут передаваться сторонним сервисам (например, «сервисы обратной связи, чаты, системы аналитики»).
- В пользовательском соглашении прописать цели и перечень возможных получателей.
- Заключить договор поручения на обработку ПДн со сторонним сервисом (если он обрабатывает данные по вашему поручению).
- Добавить пометку рядом с формой/виджетом: «Нажимая кнопку, вы соглашаетесь на обработку данных и передачу их сервису …».
Вывод
Использовать сторонние виджеты без отдельного согласия формально можно, если всё корректно отражено в политике ПДн и пользователь явно информирован о передаче данных. Но для снижения рисков лучше предусмотреть отдельный чекбокс согласия, особенно если сервис хранит данные за рубежом.
Компания ICTech поможет вам адаптировать сайт под требования ФЗ-152: оформить политику ПДн с учётом сторонних сервисов, подготовить договоры с подрядчиками и избежать претензий Роскомнадзора.
