Вопрос
Существуют ли требования, установленные законом относительно согласия об обработке персональных данных, публикуемых на сайтах, а также формы извещений о cookie-файлах?
Ответ
В описанной ситуации необходимо руководствоваться общими правилами ФЗ N 152-ФЗ "О персональных данных" и Приказом Роскомнадзора от 24.02.2021 N 18.
Отдельных требований к форме извещения о cookie файлах законодательство не содержит. На практике, как правило, для получения согласия пользователя при входе на сайт его уведомляют, что, если останется на сайте, он автоматически соглашается на сбор и последующую обработку файлов cookie.
Обоснование
Согласно п. 8 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности, срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
Необходимо указать перечень персональных данных, на обработку которых дается согласие субъекта персональных данных в соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
В соответствии с Приказом Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения", согласие должно содержать следующую информацию:
1) фамилия, имя, отчество (при наличии) субъекта персональных данных;
2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
3) сведения об операторе-организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
сведения об операторе - физическом лице - фамилия, имя, отчество (при наличии), место жительства или место пребывания;
сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, - фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
5) цель (цели) обработки персональных данных;
6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных <1> (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов <3> (заполняется по желанию субъекта персональных данных);
8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных)
9) срок действия согласия.
Извлечение из Готового решения: Что относится к конфиденциальной информации (охраняемой законом тайне):
Данные в файлах cookie могут быть признаны персональными данными, если они прямо или косвенно относятся к определенному или определяемому физическому лицу. Например, к персональным данным в файлах cookie можно отнести псевдоним (никнейм) пользователя, его телефон или адрес его электронной почты. Это следует из п. 1 ст. 3 Закона о персональных данных, Письма Минкомсвязи России от 07.07.2017 N П11-15054-ОГ. Такой подход встречается и в судебной практике (Постановления Тринадцатого арбитражного апелляционного суда от 01.07.2016 N 13АП-10775/2016, Девятого арбитражного апелляционного суда от 23.05.2016 N 09АП-17574/2016).
На практике, как правило, для получения согласия пользователя при входе на сайт его уведомляют, что, если останется на сайте, он автоматически соглашается на сбор и последующую обработку файлов cookie.
