C первого июля 2017 года вступили в силу правки к Закону о защите персональных данных. Теперь реально можно схлопотать нехилый штраф за нарушение. Причем штрафы эти теперь будут накладывать реально.
Изменения взволновали всех владельцев коммерческих сайтов, потому что, грубо говоря, если у вас регистрируется пользователь, указывая имя, номер телефона и адрес электронной почты, или есть форма обратной связи, вы автоматически считаетесь оператором персональных данных. И должны отвечать перед законом, каким именно образом вы собираетесь эти самые данные обрабатывать и использовать.
В сети вы можете найти немало инструкций и руководств, как переработать свой сайт, чтобы он не нарушал законодательство. Некоторые советы дадим сегодня и мы.
Что такое персональные данные?
Для начала неплохо было бы разобраться, что считается персональными данными. Это определение есть в самом законе:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Определяемому, то есть, по этим данным человека можно идентифицировать. Это:
— ФИО;
— Адрес;
— Номер телефона (так как в РФ их выдают по паспорту);
— Электронная почта;
— ИНН;
— Ссылки на профили в социальных сетях и многое другое.
Причем если брать каждый пункт по отдельности, то это можно назвать персональными данными с натяжкой – по электронному адресу вы вряд ли вычислите человека. И даже по ФИО – потому что могут быть полные тезки. А вот уже если есть форма обратной связи, в которой указывают номер телефона и имя – это уже оно и есть, персональные данные.
Тот, кто собирает и обрабатывает персональные данные, называется оператором персональных данных. Это может быть как юридическое, так и физическое лицо.
Каким образом на сайте могут собирать персональные данные?
— если есть подписка на рассылку с указанием имени и адреса;
— при регистрации в интернет-магазине, где тоже нужно указывать имя, почту, телефон;
— при заполнении формы обратной связи;
— системы онлайн-чатов и сервисы обратного звонка (если в чате нет консультанта онлайн, то предлагают написать, введя имя, почту, телефон; но многие системы уже предлагают решение, например, Jivosite – галочку на согласие обработать ПД);
— форма для комментариев, если для этого нужно оставить имя и адрес почты.
И чтобы работать с персональными данными, собранными таким образом, не нарушая законодательство, вам нужно получить от пользователя разрешение их обрабатывать.
Как это правильно сделать?
Самый простой и верный метод состоит из трех шагов:
— расписать Политику Конфиденциальности. Укажите, какие персональные данные вы собираете и с какой целью. Примеры такой политики вы можете легко найти в сети и переписать под свои нужды. Если слишком трепетно относитесь – посоветуйтесь с юристом.
— уведомить Роскомнадзор о том, что вы собираете персональные данные. Уведомление можно подать на сайте Роскомнадзора в специальной форме. Желательно сделать это до того, как начнете собирать персональные данные — например, перед запуском сайта. Если вы живете в другой стране, но собираете персональные данные жителей РФ – это тоже нужно сделать.
— при сборе персональных данных брать с пользователей согласие на их обработку.
Практически делается это так.
Пишете Политику Конфиденциальности. Размещаете ее на отдельной странице вашего сайта.
Выводите ссылку на Политику в футер сайта – она должна быть видна на всех страницах сайта без исключения.
Под каждой формой обратной связи или регистрации выводите предложение принять вашу политику конфиденциальности и тем самым дать согласие на обработку вами персональных данных. В сообщении должна быть ссылка на ПК. Сообщение должно быть четким, ясным, понятным; обязательно должен быть чек-бокс с галочкой.
И что мне за это будет?
Штраф с юридических лиц – 290 000 рублей, с физических – 15 500. Высок ли риск, что вы попадете под проверку? Конечно же, в первую очередь будут проверять компании. Но если на вас пожалуется какой-то вредный продвинутый пользователь, то проверка придет и к вам. Так что лучше сделать и быть спокойным.
В соцсетях ничего делать не нужно – у них есть своя политика конфиденциальности.
Я фрилансер, у меня сайт-визитка. Что, тоже…?
Тоже, даже если вы живете в другой стране, но выходите на русский рынок. Нужно подогнать свой сайт под законодательство РФ.
Но, если подумать логически, вам, как специалисту, вовсе не обязательно использовать на сайте формы обратной связи и собирать эти персональные данные. Скорее всего, вам пишут прямиком на почту, в лс в соцсетях или звонят. Форма работает очень редко, и от нее можно отказаться.
Просто уберите формы обратной связи, особенно если с нее к вам не так часто обращались – и избавитесь от головной боли.
Если считаете ее архиважным элементом сайта – вернитесь выше и прочтите еще раз. Политика конфиденциальности+галочка о согласии использовать ПД под формой.
Если для комментария нужно оставлять имя и почту – переделайте форму, чтобы можно было комментировать только с именем.
Успехов вам!
2 комментария