Предупреждение за нарушение «Политики конфиденциальности» при использовании формы обратной связи

  • IT-право
  • Веб разработка
  • Sayd Imaker
  • Август 6, 2017
  • 317 просмотров
  • 1 Star2 Stars3 Stars4 Stars5 Stars 2
    Загрузка... оценили

Форма обратной связи и «Политика конфиденциальности»

На сегодняшний день, на многих сайтах установлена контактная форма для обратной связи. Но, к сожалению, далеко не каждый сайт с контактной формой соответствует требованиям закона Telemediengesetz. Так, одно из требований гласит, что пользователь перед отправкой своих данных должен быть уведомлен о том, что произойдет с его данными. Например, что данные будут сохранены. Другое требование, что данные должны передаваться и обрабатываться только в защищенном виде.

Правовая база

Итак, если посредством сайта происходит сбор, обработка или хранение личных данных пользователей, то в данном случаи, согласно закону Bundesdatenschutzgesetz (§ 3 Abs. 1) речь идет о защите персональных данных пользователей.

Персональные данные

К сожалению, за формулировкой закона «Персональными данными являются личные или материальные обстоятельства идентифицированного или идентифицируемого физического лица (субъекта данных)», сложно определить о каких конкретно типах данных идет речь. В принципе, все данные по которым можно идентифицировать человека, можно отнести к персональным данным:

  • фамилия, имя, отчество;
  • адрес;
  • контактная информация: телефон, факс, электронная почта.

Важно учесть, что согласно § 3a Bundesdatenschutzgesetz колличество собираемых и обрабатываемых данных должно быть минимизированным на сколько это возможно для достижения поставленной задачи.

Bundesdatenschutzgesetz (BDSG)

§ 3a Datenvermeidung und Datensparsamkeit

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

§ 3a Bundesdatenschutzgesetz

Обязательство доказательства дачи согласия пользователя

Согласно закону Telemediengesetz (§ 13 Abs. 1, 2) пользователь должен дать согласие на обработку своих персональных данных, согласие должно быть запротоколировано. При этом пользователь должен быть уведомлен о следующем: способ, объём и цели сбора и использования персональных данных.

На практике, данное требование реализуется путем размещения в контактной форме обязательного для подтверждения флажка с соответствующим текстом, посредством которого пользователь подтверждает, что прочел и согласен с «Политикой конфидициальности» и даёт своё согласие на обработку своих персональных данных. Данное действие должно быть сохранено в базе данных веб-сайта для возможности предоставления доказательств действий пользователя.

Шифрование персональных данных

С 2015 года согласно закону § 13 Abs. 7 Telemediengesetz обязанностью оператора веб-сайта является использование признанного безопасным метода шифрования при передаче персональных данных полученных посредством вебсайте на веб-сервер оператора веб-сайта. Из этого следует, что шифрованию подлежат не только данные получаемые непосредственно с помощью контактной формы, но также и данные агрегируемые посредством регистрации пользователя на вебсайте, подписки на рассылку новостей, оказанием различных онлайн-услуг и т.д.

Используется ли на вебсайте протокол шифрования можно легко распознать по адресу (URL) сайта. Вместо привычного раннее в начале адреса «http» при использовании протокола шифрования отображается «https». Ранее шифрование осуществлялось посредством «SSL» (Secure Sockets Layer), на сегодняшний день в основном применяется «TLS» (Transport Layer Security). Данный протокол шифрования также упоминается Федеральным ведомством по информационной безопасности (BSI) в своей рекомендации «Техническое Руководство TR-02102-2, криптографический метод: рекомендации и длина ключей, часть 2 — использование Transport Layer Security (TLS), версия 2015-01» по использованию безопасного криптографического протокола «TLS».

Возможная альтернатива контактной форме – гиперссылка «mailto»

Если все вышеизложенное кажется чересчур сложным, то можно отказаться от использования контактных форм на сайте и воспользоваться довольно-таки элегантным решением – разместить гиперссылку для вызова почтового клиента. При клике на ссылке будет открыт почтовый клиент, который сегодня предустановлен на каждом мобильном устройстве или вкладка в браузере со страницей одного из почтовый сервисов, которые поддерживают гиперссылку «mailto» (например, почтовый сервис Google Mail). Только у тех пользователей, у которых на десктопе не установлен почтовый клиент, возникнут некоторые сложности, но они всегда могут скопировать почтовый адрес.

Гиперссылка на вебсайте должна быть со следующими параметрами для атрибута href: mailto:my-name@my-email.com?subject="From,%20Contactform". Где my-name@my-email.com нужно заменить на адрес получателя, а From,%20Contactform на тему сообщения.

Данный метод освобождает оператора веб-сайта от обязанности шифрования данных при передаче персональных данных или протоколирования согласия пользователя с условиями политики конфиденциальности.

Вывод

По возможности отказаться от использования контактных форм для сбора персональных данных на веб-сайте. Простой альтернативой является применение гиперссылки «mailto».

Что делать, если без контактных форм не обойтись

Проверьте все формы обратной связи на Вашем веб-сайте. Удостоверьтесь в наличии всех перечисленных пунктов:

  • использование протокола шифрования на сайте;
  • наличие непосредственно вблизи от контактной формы обязательного для подтверждения пользователем флажка с текстом уведомления о способе, объёме и цели сбора и использования персональных данных, а также о возможности отзыва данного согласия в любое время;
  • протоколирование и сохранение дачи согласия пользователя на сбор и обработку своих персональных данных.

Правовые последствия при невыполнении

Нарушение «§ 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a)» в соответствии с «§ 16 Abs. 2 Nr. 3 Telemediengesetz» является правонарушением, которое согласно § 16 Abs. 3 Telemediengesetz облагается штрафом в размере до 50.000,- EUR.

Заключение

Как видим, благодаря законодательству, довольно-таки тривиальное действие в прошлом, сегодня превратилось в сложный юридически предписанный процесс с тяжелыми последствиями в случаи нарушения. К сожалению, не каждый веб-разработчик и не каждое интернет-агенство следит за нововведениями законодательства в сфере IT. Поэтому, если для Вас все еще остались неотвеченными вопросы сбора и обработки персональных данных, то настоятельно рекомендую обратиться к высококвалифицированному IT-специалисту. Также, в данном случае можно воспользоваться контактной формой на моем сайте для обращения ко мне – буду рад помочь!