Как не нарушить закон о персональных данных при работе с контекстной рекламой

На днях мы задали вопрос в полезной совместной рубрике ЦП и ФРИИ "Проблемы и решения". Судя по количеству репостов и лайков, вопрос этот оказался насущным не только для нашего проекта. Спешим поделиться и с вами.

Один из вариантов монетизации нашего проекта — реклама. Наше преимущество перед любой другой контекстной рекламой в том, что мы можем сообщать рекламодателю, какие компании переходили по его рекламной ссылке. Рекламодатель, обладая такой информацией, может позвонить этим компаниям (например, через час или день) и попытаться совершить сделку, пока потенциальные клиенты помнят предложение рекламодателя.

Вопрос был такой: можем ли мы передавать рекламодателю список компаний, которые перешли по его рекламной ссылке? Не является ли это нарушением закона об обработке персональных данных?

На наш вопрос ответил Севан Авалян, юрист компании «АНП-Зенит» и редактор рубрики «Medium по-русски» ЦП:

Сразу скажу, что передача персональных данных — при соблюдении установленных процедур — не является нарушением закона.

Очевидно, такие вопросы ранее уже возникали у других ресурсов.

Например, очень хорошо проблему закрыли в HeadHunter.ru. В «Политике обработки персональных данных в ООО "Хедхантэр"» они определили круг информации, которую собирают, определили объём действий, которые совершают с этой информацией, и, соответственно, определили цели, ради которых всё это делается. То есть выполнили все требования 152 Федерального закона.

Процитирую соответствующие положения их «Политики»:

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Хэдхантер»[1] с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 1.3. В настоящей Политике используются следующие термины и определения: — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

Объём действий:

— любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; — действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

В самом соглашении (пункт 2.2) прописано, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Также закрепляется, что «компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».

Если следовать приведённому примеру, то вам, Екатерина, необходимо опубликовать на вашем сайте соглашение, устанавливающее цели обработки персональных данных, возможности передачи ПД в руки других лиц (от покупателя к продавцу в вашем случае), действия, которые вы совершаете с ПД в целом (обработка персональных данных).

На сайте компании Mercedes-Benz в России опубликован аналогичный документ. Процитирую некоторые его положения:

«При посещении сайтов Daimler AG наши сетевые серверы стандартно регистрируют IP-адрес, присвоенный Вам Вашим провайдером Интернет-услуг, название страницы, с которой Вы к нам пришли, названия страниц, которые Вы посещаете у нас, а также дату и продолжительность Вашего посещения. Персональные данные сохраняются лишь при условии указания их Вами, например, в рамках регистрации, анкетирования, призового конкурса или в целях осуществления договора.Использование и передача персональных данных,целевое использование: Daimler AG использует Ваши персональные данные в целях технического администрирования страниц сайта, управления клиентской базой, проведения анкетных опросов по нашей продукции и маркетинга, причем в исключительно необходимом для этого объеме. Передача персональных данных государственным инстанциям и органам осуществляется исключительно на основании национальных правовых норм. С наших сотрудников. Агентств и дилеров взяты обязательства о строгом соблюдении конфиденциальности.»

Опять же, прописано, какие именно персональные данные собираются, для чего, и что с ними можно делать.

Собственно, ответ на ваш вопрос «Можем ли мы передавать рекламодателю список компаний, которые перешли по его рекламной ссылке?» — да, можете, но предварительно прописав всё в соглашении о персональных данных. Закон при этом вы не нарушаете.

В ответе на вопрос, речь в основном, конечно, шла о физических лицах, в то время, как мы думали о данных компании.

Коллеги, кто сталкивался с подобным вопросом? Как решали?

С уважением, Екатерина Рыжкова