Анонимный отзыв не считается персональными данными, если он действительно не содержит сведений, позволяющих прямо или косвенно идентифицировать автора. ФЗ-152 распространяется только на информацию, относящуюся к определённому или определяемому физическому лицу.
Когда отзыв НЕ является ПДн:
- если в тексте нет ФИО, контактных данных или других уникальных признаков автора;
- если отзыв опубликован под вымышленным никнеймом, который нельзя связать с конкретным человеком;
- если информация не позволяет идентифицировать личность даже косвенно.
Когда отзыв МОЖЕТ считаться ПДн:
- если в отзыве есть имя, фамилия, должность, город или иные сведения, по которым автора можно определить;
- если отзыв оставлен через личный кабинет с привязкой к e-mail или телефону;
- если даже при «анонимной» публикации владелец сайта хранит технические данные (IP-адрес, cookies), позволяющие установить личность автора.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация о прямо или косвенно определяемом лице.
- Ст. 5 ФЗ-152 — обработка должна быть ограничена достижением конкретных и законных целей.
- Позиция Роскомнадзора (разъяснения) — даже неполные сведения (инициалы, данные аккаунта) могут признаваться ПДн, если позволяют идентифицировать человека.
Практика и позиция Роскомнадзора
Роскомнадзор в проверках отмечал, что если компания собирает отзывы через форму обратной связи, где указывается e-mail или телефон, такие данные автоматически становятся персональными. Даже если на сайте отзыв публикуется «анонимно», оператор обязан защищать собранные контактные данные.
Пример: в одной организации собирали отзывы клиентов с обязательным указанием телефона. Телефоны использовались для маркетинговых рассылок без согласия. Роскомнадзор квалифицировал это как незаконную обработку ПДн.
Важный момент для компаний
Анонимный отзыв в чистом виде (без привязки к данным) не подпадает под действие ФЗ-152. Но как только в процесс вовлекаются технические идентификаторы или контактные сведения, это становится обработкой ПДн.
Рекомендации и выводы
Анонимный отзыв не является персональными данными, если он действительно не позволяет определить автора. Но при сборе отзывов с контактами или через аккаунты организация обязана:
- Получать согласие на обработку данных при их сборе.
- Хранить и защищать собранные контакты в соответствии с ФЗ-152.
- Указывать политику обработки ПДн на сайте.
- Включить эти процессы в комплект документов по ФЗ-152.
Компания ICTech поможет вашей организации выстроить правильный процесс сбора отзывов — от формы согласия до защиты базы контактов клиентов. Это позволит избежать претензий Роскомнадзора и сохранить доверие аудитории.
