Русский
Русский
English
Статистика
Реклама

Сервис, позволяющий контролировать процесс сбора согласий на обработку персональных данных

image

Всем привет! Меня зовут Мария, в компании ДомКлик я отвечаю за организацию обработки персональных данных, и сегодня речь пойдёт о процессе сбора согласий на обработку в соответствии с требованиями законодательства.

На протяжении многих лет компании, обрабатывающие персональные данные (операторы), обсуждают способ сбора согласий на обработку персональных данных в электронной форме. Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это.

В соответствии с Федеральным законом от 27.07.2006 152-ФЗ О персональных данных субъект этих самых данных должен самостоятельно принять решение об их предоставлении и согласии на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и не может навязываться субъекту персональных данных со стороны оператора. Согласие должно быть дано субъектом или его представителем в письменной форме, либо в форме электронного документа, подписанного электронной подписью. И оператор обязан предоставить доказательства получения такого согласия.

Для чего и с какой целью?


ДомКлик, как и многие другие компании, столкнулся с рядом проблем, связанных с тем, что:

  1. Не было единого подхода к сбору согласий на обработку персональных данных, в том числе:
    • отсутствовала централизованная система, регламентирующая процесс сбора (каждый сервис собирал согласия как хотел и хранил артефакты сбора как мог);
    • применялись разные способы подтверждений (в одной подсистеме сайта ДомКлик использовался чекбокс, в другой кнопка подтверждения);
    • использовались разнообразны виды и формы согласий.
  2. Были сложности с определением принадлежности полученного согласия конкретному пользователю ДомКлик (субъекту персональных данных).
  3. Поиск доказательств факта получения согласий трудоёмкий процесс, который не всегда был результативным.

В результате не в полной мере выполнялись требования законодательства по обработке и защите персональных данных.

Ради централизованного учета в ДомКлик решили создать единый сервис, позволяющий контролировать процесс сбора/регистрации/хранения/отзыва согласий на обработку персональных данных.

Что удалось сделать и как это работает?


В рамках разработки сервиса Согласий перед командой ДомКлик стояли основные задачи:

  • реализовать единый подход к сбору, регистрации, хранению и процессу отзыва согласий;
  • разработать универсальный виджет для версий согласий и разных сценариев их сбора;
  • разработать средство администрирования (админку), с удобным интерфейсом!
  • минимизировать правовые риски, связанные с обработкой и защитой персональных данных.

На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.

Что мы сделали:

  • реализовали и регламентировали единый подход и контроль согласий;
  • оптимизировали поиск доказательств факта получения согласия, чтобы сократить длительность и трудозатраты;
  • параметризировали согласия, то есть теперь можно узнать, кто дал согласие, какой использовался сценарий сбора, когда и в каких целях было получено согласие, а ещё сроки/статус/тип/версию согласия и т.д.;
  • обеспечили выполнение требований ФЗ-152, тем самым снизили правовые и репутационные риски.


Дополнительно сервис может регистрировать следующие данные:

  • сведения о согласии (наименование, тип, версия, краткое описание процесса, в котором оно используется и т.п.);
  • статус согласия (принято/отклонено/в ожидании чуда);
  • признак отзыва согласия (дата, время, основание);
  • дату подтверждения согласия для автоматического уведомления о сроке его окончания (реализована автоматическая проверка срока действия согласия);
  • срок действия согласия;
  • способ подтверждения согласия.

Также мы реализовали сбор согласий в форме электронного документа, подписанного электронной подписью.

image

image

На этапе сбора мы предусмотрели несколько сценариев:

  • ввод полученного кода из SMS-сообщения или голосового сообщения в специальном поле на сайте ДомКлик (если клиент напрямую взаимодействует с сайтом).
  • отправка полученного кода из SMS в ответном SMS (если запрос инициирован третьим лицом, например, сотрудником ДомКлик).
  • гибридный сценарий позволяет подтверждать согласие как ответным SMS, так и через ввод кода по уникальный ссылке из SMS (обычно используется в случаях, когда клиент не находится на сайте ДомКлик, а инициатором выступает третье лицо).

Во всех сценариях пользователь проинформирован о получении согласия на обработку персональных данных и условиях обработки.

Кроме того, в сервисе предусмотрена поддержка в актуальном состоянии форм согласий (ранее все согласия были в формате .pdf и не имели версионности). Для этого применяется формат .html, а версионность документов позволяет DPO оперативно корректировать формы согласий (например, в связи с изменениями в законодательстве или в бизнес-процессе). При этом не нарушается клиентский путь.

Также при сборе согласий мы проверяем, давал ли пользователь уже такое согласие или нет. Если давал и в той же редакции, то повторно не надо соглашаться, нельзя дважды подтвердить одно и то же согласие.

В серверной части сервиса Согласий использован Kotlin, а фронтендная часть написана на React.

Новый сервис принял уже более 8 000 000 согласий от пользователей ДомКлик.

Какие планы на будущее?


Для пользователей:

  • Добавим в личный кабинет на сайте ДомКлик информационный блок о согласиях, которые дали пользователи (со статусом, датой, версией).
  • Добавим в личный кабинет возможность отозвать согласие.

Для сервисов ДомКлик:

  • Начнём применять сервис Согласий в иных целях и для других документов (например, для согласий на получение рекламно-информационных материалов о продуктах, товарах и услугах ДомКлик, и т.д.).
  • Будем использовать в тексте согласий динамические параметры (например, наименование третьего лица, чьи персональные данные были переданы).
  • Автоматизируем и упростим процесс отзыва согласий на обработку персональных данных.
Источник: habr.com
К списку статей
Опубликовано: 26.01.2021 12:18:23
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Блог компании домклик

Информационная безопасность

Домклик

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru