Можно ли давать согласие на сбор cookie-файлов? Как избежать ответственности за неправильную обработку персональных данных? И на что обращать внимание при создании сайта?
Поехали разбираться.
Зачем кому-то наши персональные данные?
Для начала разберемся с тем, что такое персональные данные:
Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Если коротко — любые данные, по которым человека можно идентифицировать.
Сайт собирает персональные данные для определенных целей. Компании нужно знать, на чье имя оформлять заказ, по какому адресу доставить пиццу и как связаться с пользователем, чтобы уточнить детали.
Кроме имени, фамилии, контактов, фотографий, и т.д. к персональным данным относятся cookie, данные об IP-адресе и местоположении.
Такое определение дает гугл:
Файлы cookie — это небольшие фрагменты текста, передаваемые в браузер с сайта, который вы открываете. С их помощью сайт запоминает информацию о ваших посещениях.
Такие данные нужны чтобы:
- Собирать статистику;
- Подтвердить подлинность данных пользователя;
- Отследить состояние сеанса доступа;
- Оптимизировать сервис и обслуживание.
С помощью них создают цифровой профиль пользователя для настройки и аналитики рекламных кампаний.
Что нужно знать, если у вас есть свой сайт?
Если у вас есть сайт, в 99% случаев вы обрабатываете персональные данные пользователей.
Обработка ПД — это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
То есть все, что вы делаете с персональными данными подходит под определение обработки. Даже если вы просто переписали имя пользователя на листочек.
Что делать, чтобы не попасть под ответственность по 152-ФЗ:
1. Убедиться, что база данных собирается на хостинге, который находится в России
Инсайт из практики:
Нельзя собирать персональные в гугл-таблицах, их сервера находятся не на территории РФ. Для юридических лиц за это может быть штраф — от одного миллиона до шести миллионов рублей (ч.8 ст.13.11 КоАП РФ).
Можно использовать CRM Tilda, Битрикс24, Яндекс.Документы и другие сервисы, сервера которых находятся на территории нашей страны.
2. Предупредить пользователя о том, что его данные собирают
Для этого на сайте размещается кнопка, нажимая на которую пользователь подтверждает свое согласие на работу с его ПД. В кнопке должна быть ссылка на Пользовательское соглашение, договор или согласие на обработку персональных данных. Этот документ обычно размещают на отдельной странице. В открытом доступе должна быть и политика организации по обработке персональных данных.
Обычно на сайтах размещают две кнопки: согласие на сбор куки и согласие на обработку ПД в форме обратной связи.
Для текста уведомления нет единого шаблона. Его часто стилизуют под тон всего сайта.
3. Уведомить Роскомнадзор, что теперь вы — оператор персональных данных
Это можно сделать через сайт.
Что нужно знать, если сайт для вас делает агентство?
Агентство должно отдать клиенту сайт, который не нарушает закон о персональных данных. Поэтому, когда будете принимать работу, не забудьте проверить пуш-уведомления о сборе куки-файлов, политику конфиденциальности, согласие на обработку персональных данных и т.д.
Мы как агентство берем на себя все необходимые настройки, чтобы клиент не столкнулся с проблемами в будущем.
Я не хочу чтобы мои данные собирали. Что я могу сделать?
Не принимать согласие и покинуть сайт. Если пользователь остается на сайте, значит он согласен на то, что его куки собирают. Всплывающее окно здесь — это просто уведомление. Даже если вы не нажали на кнопку «я прочитал», сайт все равно подсосет эти данные.
На некоторых сайтах можно настроить какие данные собирать, а какие нет. Но есть и такие, которые просто не загрузятся, если пользователь не примет согласие.
Если вы дали согласие на обработку персональных данных, например чтобы подписаться на рассылку, но со временем передумали — вы имеете право обратиться к оператору и потребовать удалить ваши данные.
А как вы относитесь к сбору персональных данных? Напишите в комментарии.
