[Информационная безопасность] Сервис, позволяющий контролировать процесс сбора согласий на обработку персональных данных
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Всем привет! Меня зовут Мария, в компании ДомКлик я отвечаю за организацию обработки персональных данных, и сегодня речь пойдёт о процессе сбора согласий на обработку в соответствии с требованиями законодательства.
На протяжении многих лет компании, обрабатывающие персональные данные (операторы), обсуждают способ сбора согласий на обработку персональных данных в электронной форме. Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это.
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект этих самых данных должен самостоятельно принять решение об их предоставлении и согласии на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и не может навязываться субъекту персональных данных со стороны оператора. Согласие должно быть дано субъектом или его представителем в письменной форме, либо в форме электронного документа, подписанного электронной подписью. И оператор обязан предоставить доказательства получения такого согласия.
Для чего и с какой целью?
ДомКлик, как и многие другие компании, столкнулся с рядом проблем, связанных с тем, что:
- Не было единого подхода к сбору согласий на обработку персональных данных, в том числе:
- отсутствовала централизованная система, регламентирующая процесс сбора (каждый сервис собирал согласия как хотел и хранил артефакты сбора как мог);
- применялись разные способы подтверждений (в одной подсистеме сайта ДомКлик использовался чекбокс, в другой — кнопка подтверждения);
- использовались разнообразны виды и формы согласий.
- Были сложности с определением принадлежности полученного согласия конкретному пользователю ДомКлик (субъекту персональных данных).
- Поиск доказательств факта получения согласий — трудоёмкий процесс, который не всегда был результативным.
В результате не в полной мере выполнялись требования законодательства по обработке и защите персональных данных.
Ради централизованного учета в ДомКлик решили создать единый сервис, позволяющий контролировать процесс сбора/регистрации/хранения/отзыва согласий на обработку персональных данных.
Что удалось сделать и как это работает?
В рамках разработки сервиса «Согласий» перед командой ДомКлик стояли основные задачи:
- реализовать единый подход к сбору, регистрации, хранению и процессу отзыва согласий;
- разработать универсальный виджет для версий согласий и разных сценариев их сбора;
- разработать средство администрирования (админку), с удобным интерфейсом!
- минимизировать правовые риски, связанные с обработкой и защитой персональных данных.
На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.
Что мы сделали:
- реализовали и регламентировали единый подход и контроль согласий;
- оптимизировали поиск доказательств факта получения согласия, чтобы сократить длительность и трудозатраты;
- параметризировали согласия, то есть теперь можно узнать, кто дал согласие, какой использовался сценарий сбора, когда и в каких целях было получено согласие, а ещё сроки/статус/тип/версию согласия и т.д.;
- обеспечили выполнение требований ФЗ-152, тем самым снизили правовые и репутационные риски.
Дополнительно сервис может регистрировать следующие данные:
- сведения о согласии (наименование, тип, версия, краткое описание процесса, в котором оно используется и т.п.);
- статус согласия (принято/отклонено/в ожидании чуда);
- признак отзыва согласия (дата, время, основание);
- дату подтверждения согласия для автоматического уведомления о сроке его окончания (реализована автоматическая проверка срока действия согласия);
- срок действия согласия;
- способ подтверждения согласия.
Также мы реализовали сбор согласий в форме электронного документа, подписанного электронной подписью.
На этапе сбора мы предусмотрели несколько сценариев:
- ввод полученного кода из SMS-сообщения или голосового сообщения в специальном поле на сайте ДомКлик (если клиент напрямую взаимодействует с сайтом).
- отправка полученного кода из SMS в ответном SMS (если запрос инициирован третьим лицом, например, сотрудником ДомКлик).
- гибридный сценарий позволяет подтверждать согласие как ответным SMS, так и через ввод кода по уникальный ссылке из SMS (обычно используется в случаях, когда клиент не находится на сайте ДомКлик, а инициатором выступает третье лицо).
Во всех сценариях пользователь проинформирован о получении согласия на обработку персональных данных и условиях обработки.
Кроме того, в сервисе предусмотрена поддержка в актуальном состоянии форм согласий (ранее все согласия были в формате .pdf и не имели версионности). Для этого применяется формат .html, а версионность документов позволяет DPO оперативно корректировать формы согласий (например, в связи с изменениями в законодательстве или в бизнес-процессе). При этом не нарушается клиентский путь.
Также при сборе согласий мы проверяем, давал ли пользователь уже такое согласие или нет. Если давал и в той же редакции, то повторно не надо соглашаться, нельзя дважды подтвердить одно и то же согласие.
В серверной части сервиса «Согласий» использован Kotlin, а фронтендная часть написана на React.
Новый сервис принял уже более 8 000 000 согласий от пользователей ДомКлик.
Какие планы на будущее?
Для пользователей:
- Добавим в личный кабинет на сайте ДомКлик информационный блок о согласиях, которые дали пользователи (со статусом, датой, версией).
- Добавим в личный кабинет возможность отозвать согласие.
Для сервисов ДомКлик:
- Начнём применять сервис «Согласий» в иных целях и для других документов (например, для согласий на получение рекламно-информационных материалов о продуктах, товарах и услугах ДомКлик, и т.д.).
- Будем использовать в тексте согласий динамические параметры (например, наименование третьего лица, чьи персональные данные были переданы).
- Автоматизируем и упростим процесс отзыва согласий на обработку персональных данных.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Развитие стартапа, Научно-популярное] Мировоззрение хакера (перевод)
- [Информационная безопасность, Машинное обучение] Как самому разработать систему обнаружения компьютерных атак на основе машинного обучения
- [Информационная безопасность] Security Week 04: атака на Amazon Kindle
- [Информационная безопасность, Геоинформационные сервисы, Аналитика мобильных приложений] Разведка США покупает коммерчески доступные данные геолокации, чтобы обойти ордер для слежки
- [Информационная безопасность, Анализ и проектирование систем, SQL, Администрирование баз данных, Геоинформационные сервисы] Внешний ключ должен вести не на сущность, а на актуальную версию этой сущности
- [Информационная безопасность, Мессенджеры] WSJ: пользователи в Гонконге переходят на ICQ из-за новой политики WhatsApp
- [Информационная безопасность, Программирование, Java, GitHub, Софт] Architectural approaches to authorization in server applications: Activity-Based Access Control Framework (перевод)
- [Информационная безопасность, Софт] ИБ-исследователь создал сайт для публикации данных об уязвимостях в зловредах
- [Информационная безопасность, Законодательство в IT, IT-компании] Центр кибербезопасности России предупредил о возможных кибератаках из США
- [Информационная безопасность, Реверс-инжиниринг, CTF] Hack The Box. Прохождение Compromised. RCE LiteCart и бэкдор pam_unix
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_domklik (домклик), #_blog_kompanii_domklik (
Блог компании ДомКлик
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 10:11
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Всем привет! Меня зовут Мария, в компании ДомКлик я отвечаю за организацию обработки персональных данных, и сегодня речь пойдёт о процессе сбора согласий на обработку в соответствии с требованиями законодательства. На протяжении многих лет компании, обрабатывающие персональные данные (операторы), обсуждают способ сбора согласий на обработку персональных данных в электронной форме. Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект этих самых данных должен самостоятельно принять решение об их предоставлении и согласии на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и не может навязываться субъекту персональных данных со стороны оператора. Согласие должно быть дано субъектом или его представителем в письменной форме, либо в форме электронного документа, подписанного электронной подписью. И оператор обязан предоставить доказательства получения такого согласия. Для чего и с какой целью? ДомКлик, как и многие другие компании, столкнулся с рядом проблем, связанных с тем, что:
В результате не в полной мере выполнялись требования законодательства по обработке и защите персональных данных. Ради централизованного учета в ДомКлик решили создать единый сервис, позволяющий контролировать процесс сбора/регистрации/хранения/отзыва согласий на обработку персональных данных. Что удалось сделать и как это работает? В рамках разработки сервиса «Согласий» перед командой ДомКлик стояли основные задачи:
На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных. Что мы сделали:
Дополнительно сервис может регистрировать следующие данные:
Также мы реализовали сбор согласий в форме электронного документа, подписанного электронной подписью.   На этапе сбора мы предусмотрели несколько сценариев:
Во всех сценариях пользователь проинформирован о получении согласия на обработку персональных данных и условиях обработки. Кроме того, в сервисе предусмотрена поддержка в актуальном состоянии форм согласий (ранее все согласия были в формате .pdf и не имели версионности). Для этого применяется формат .html, а версионность документов позволяет DPO оперативно корректировать формы согласий (например, в связи с изменениями в законодательстве или в бизнес-процессе). При этом не нарушается клиентский путь. Также при сборе согласий мы проверяем, давал ли пользователь уже такое согласие или нет. Если давал и в той же редакции, то повторно не надо соглашаться, нельзя дважды подтвердить одно и то же согласие. В серверной части сервиса «Согласий» использован Kotlin, а фронтендная часть написана на React. Новый сервис принял уже более 8 000 000 согласий от пользователей ДомКлик. Какие планы на будущее? Для пользователей:
Для сервисов ДомКлик:
=========== Источник: habr.com =========== Похожие новости:
Блог компании ДомКлик ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 10:11
Часовой пояс: UTC + 5