Обеспечение безопасности персональных данных при работе онлайн: наш опыт с агрегатором услуг

Недавно к нам, в юридическую фирму, обратился интересный клиент – динамично развивающаяся интернет-платформа, агрегатор услуг в сфере дополнительного образования для детей. Их платформа позволяла родителям находить и сравнивать различные образовательные предложения от кружков, секций и частных преподавателей, а самим учреждениям и частным лицам – регистрироваться и размещать информацию о своих услугах.

Задача, на первый взгляд, казалась стандартной: разработать необходимые документы в области защиты персональных данных, а именно – политику конфиденциальности для сайта, раскрывающая основные вопросы, связанные с обработкой данных пользователей сайта. Однако, углубившись в техническое задание по верстке и дизайну сайта, мы осознали масштаб задачи.  Платформа, по сути, являлась оператором персональных данных сразу нескольких категорий субъектов:

• Пользователи сайта - посетители, ищущие информацию об образовательных услугах без регистрации на платформе.

• Родители - непосредственно лица, регистрирующиеся и оставляющие контактные данные для налаживания контакта с образовательными учреждениями, а также общения с другими пользователями в форумах на платформе.

• Контрагенты (физические лица и уполномоченные посредники юридических лиц), являющиеся представителями образовательных учреждений, регистрирующиеся для размещения информации о своих услугах.

Проект оказался весьма интересным и потребовал глубокого погружения в специфику бизнес-процессов организации, что позволило разработать комплексное решение, учитывающее все особенности работы платформы.

Первым шагом стала разработка Политики конфиденциальности для сайта. Этот документ должен был четко регламентировать все процедуры обработки персональных данных, которые сопровождают весь пользовательский путь.  Мы учли все этапы взаимодействия: сбор данных при регистрации, поддержание связи между Пользователем и Оператором, консультирование по вопросам оказания услуг, а также особенности заключения и исполнения договоров гражданско-правового характера с контрагентами.  Важно было не только соответствовать требованиям закона, но и быть максимально прозрачными для пользователей, объясняя, как именно используются их данные.

Однако заключением договора обосновать все случаи обработки персональных данных было невозможно. Особенно это касалось маркетинговых активностей.  Поэтому мы разработали также два дополнительных документа:

1. Общее согласие, которое предназначалось для обработки персональных данных, сообщаемых пользователями в формах обратной связи и при заполнении анкет.  В нем подробно описывались цели обработки, категории обрабатываемых данных, срок действия согласия и порядок его отзыва.

2. Специальное согласие на рекламные рассылки, разработано специально для пользователей, которые хотели бы получать информацию о новых образовательных программах, акциях и специальных предложениях.  Согласие было оформлено максимально просто и понятно, с четкой возможностью отозвать его в любой момент.

По запросу клиента мы также сформулировали ТЗ для технических специалистов, с рекомендациями о том, как правильно разместить пользовательские документы на сайте и оформить регистрационные формы и чек-боксы.

В результате нашей работы платформа получила комплексный пакет документов, регулирующих обработку персональных данных пользователей сайта. Это позволило клиенту не только соответствовать требованиям законодательства, но и повысить доверие пользователей к платформе, демонстрируя заботу о защите их личной информации.

Мы продолжаем активное сотрудничество с клиентом в сфере информационной безопасности и защиты данных. На повестке дня сейчас стоит вопрос по подготовке корректирующего уведомления в Роскомнадзор об изменении сведений, содержащихся в реестре операторов персональных данных.