Просто скажите «Да!». Все о согласии на обработку персональных данных на сайте
Попросить согласие на обработку персональных данных – нормальная практика для любого бизнеса. Именно оно помогает персонализировать предложения, рассказать клиенту о скидках и акциях или просто напомнить о себе в нужный момент.
Вот только в современных реалиях, когда частная информация часто становится достоянием общественности, сбор и хранение таких данных без согласия пользователей сайта может обернуться для компании крупным штрафом. Расскажем, как не раздражать посетителей своего портала и правильно составить документы, чтобы проблем с законом не было.
Какие данные – персональные, а что – не очень
Неискушенные администраторы веб–ресурсов наивно полагают, что к персональным данным относится только очень личная информация, например – серия и номер паспорта. Если вы сомневаетесь, нужно ли согласие на обработку персональных данных на вашем ресурсе, рекомендуем начать изучение вопроса со знакомства с нормативной базой.
Основной документ, на который стоит ориентироваться – ФЗ №152 «О персональных данных». Он четко определяет субъект и объект отношений в части сбора и использования любой информации, с помощью которой можно идентифицировать человека.
Юристы трактуют положения закона однозначно: установив на сайте любую форму связи, с помощью которой пользователь передает вам свои контакты, ваша компания автоматически становится оператором по обработке ПД. Более того: теперь вы обязаны уведомить Роскомнадзор, с какой целью вам нужна эта информация. Согласие на обработку персональных данных на сайте необходимо, если вы просите посетителей ресурса поделиться с вами:
- Фамилией, именем и отчеством;
- Адресом электронной почты;
- Номером мобильного телефона;
- Ссылкой на профиль в социальной сети.
То есть, практически всей информацией, которая нужна вам для дальнейшего взаимодействия с представителями своей целевой аудитории. Кроме этого, законодательство обязывает вас обеспечить конфиденциальность личных сведений, не передавать их третьим лицам и компаниям, а также немедленно удалить их в том случае, если об этом попросит пользователь. При этом за последним остается возможность сказать вам «нет» и не предоставлять вообще ничего. К персональным данным относятся и cookies, которые позволяют отслеживать поведение посетителей сайта.
Нарушение закона со стороны предпринимателя чревато штрафами. Сумма составляет от 30 до 150 000 рублей для юридических лиц, а если такой случай наступит повторно – от 300 000 до 500 000 рублей. В разное время наказанию подвергались ВКонтакте и Linkedin, Яндекс и Head Hunter: за исполнением норм законодательства Роскомнадзор следит пристально. Помимо контроля от органов власти, основанием для штрафа может стать любая жалоба пользователя.
Как оформить согласие на обработку персональных данных?
В отличие от ряда других договоров, «Закон о персональных данных» – не оферта, с которой можно согласиться автоматически. Вам придется получить заветную галочку от пользователя и разработать соответствующий документ, который будет доступен для всех желающих на сайте. Давайте разберемся, какие пункты входят в Согласие и Политику конфиденциальности в целом.
Контакты оператора ПД
Речь идет о вашей компании, поэтому первое, что указываем – регистрационное наименование, юридический адрес, телефон и e-mail.
Перечень обрабатываемой информации
Этот момент оговаривается предельно четко, поэтому лишнего вам собирать не позволят. Например, если вы используете информирование по электронной почте, то вправе запрашивать только мейл и имя клиента, но никак не номер телефона и физический адрес. Ну а если вы предусмотрели и SMS-рассылку или общение в мессенджерах, то смело просите и мобильный.
Цели сбора
Смотрите предыдущий пункт: закон обязывает сообщить, зачем вам получать сведения. В этом пункте указываем цель – информирование о скидках, акциях, предоставление пользователям информации со страниц вашего ресурса и прочее.
Действия с ПД
Информацию можно не только хранить, но еще и время от времени актуализировать, систематизировать, блокировать или уничтожать. Все планируемые действия должны быть зафиксированы.
Порядок работы с cookies
Вы наверняка пользуетесь системой аналитики для того, чтобы понять, насколько эффективны ваши маркетинговые усилия и чем занимаются посетители на страницах ресурса. Включите пункт о куки–файлах в соглашение.
Срок действия документа
Закон не устанавливает конкретных сроков, однако обычно операторы пользуются размытой формулировкой «до момента расторжения данного согласия одной из сторон или отзывом согласия».
Порядок отзыва документа
Пользователь вправе прекратить действие согласия в любой момент. Необходимо проинформировать его, как он может это сделать.
Если в ваших планах – передача полученных сведений третьим лицам и организациям (например, у вас есть дочернее предприятие, которое не против поработать с той же клиентской базой, или имеется филиал с другим юридическим названием), стоит уведомить об этом дополнительно. Кроме указанных в договоре организаций вы не вправе передавать информацию никому иному.
Получаем согласие от пользователя
Форму согласия на обработку персональных данных необходимо размещать в общем доступе, потому что у любого посетителя вашей площадке должна быть возможность ознакомиться с документом еще до того, как вы предложите его подписать. Обычно при разработке сайта для этого выбирают футер или подвал, однако если вы хотите выделить под нормативные акты целый раздел – никто этого не запрещает. Главное, чтобы найти нужную информацию могли юзеры.
После того как согласие составлено, необходимо:
- Разместить соглашение и информацию о сборе cookies на своем ресурсе;
- Добавить пустой чек–бокс к каждой форме на сайте. Окошко, куда посетитель портала поставит галочку, должно содержать поясняющую надпись. Подойдет фраза «Нажимая на кнопку, вы подтверждаете свое согласие на обработку персональной информации», но можно придумать и что–нибудь менее официальное. Не забудьте вставить гиперссылку на раздел с готовым Согласием, чтобы юзер мог его прочесть. Настройте открытие документа в новой вкладке или используйте для него всплывающее окно;
- Урегулировать вопрос о работе с ПД внутри компании. Необходимо ознакомить с Политикой конфиденциальности всех сотрудников фирмы и взять у сотрудников подписи о том, что разглашения не последует еще до того, как написать согласие на обработку персональных данных. Убедитесь, что ваша команда не игнорирует просьбы пользователей об удалении или изменении сведений. Даже если вы не знаете о такой ситуации, штрафа это не отменит;
- Обеспечить хранение информации на российских серверах. Закон запрещает использовать для этого любые зарубежные ресурсы, поэтому до того, как написать согласие на обработку персональных данных убедитесь, что ваш хостинг находится в РФ.
В конструкторе Taptop можно создавать любые формы и легко добавить к ним чек–боксы согласия на сбор и обработку ПД. Мы – полностью российская платформа, которая никуда не собирается уходить, поэтому выбирая наш хостинг для размещения проекта, можете не опасаться, что нарушаете закон.
При разработке шаблонов мы учитываем требования законодательства и стараемся добавлять раздел о Политике конфиденциальности компаний в каждый макет для бизнеса. Если вы работаете над дизайном самостоятельно, рекомендуем не забывать о необходимости получать согласие пользователей: тогда любых штрафов можно будет избежать.