Некоторое время назад ко мне в личку постучались и рассказали случай, когда Роскомнадзор прислал турагентству требование обосновать правомерность сбора данных для Яндекс.Метрики. Я эту информацию себе сохранила, но руки как следует изучить вопрос дошли только сейчас.
Итак, по Федеральному закону от 27.07.2006 № 152 «О персональных данных» действуют правила для владельцев сайтов, которые размещают на своих ресурсах формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию о посетителях.
Роскомнадзор проверяет сайты на выполнение этих правил, и может наложить на компанию штраф, если пренебрегать требованиями информационной безопасности. Особенное внимание уделяют тем организациям, которые оказывают услуги физлицам.
Что проверяет Роскомнадзор
✅ Хостинг сайта должен быть расположен в России — данная проверка осуществляется с помощью сервиса Whois, который определяет страну размещения.
✅ Наличие на сайте предупреждения о сборе данных cookie и использовании сайтами сервисов веб-аналитики Яндекс.Метрика.
✅ Наличие на сайте форм сбора персональных данных и ссылок на согласие на обработку под каждой такой формой. Обратите внимание: именно на активное согласие (галочка "Я ознакомился и соглашаюсь"), а не просто подпись под формой "Нажимая на кнопку, вы даете согласие".
✅ Наличие на сайте информации о политике по обработке персональных данных (обычно размещается в футере сайта).
Для создания политики по обработке персональных данных люто рекомендую конструктор Тильды, в котором нужно только заполнить данные о компании (либо ФИО), добавить контакты и поставить галочки, что именно и с какими целями вы собираете.
Помимо стандартных ФИО, телефон, email, я на всякий еще добавила "данные cookie для сервиса веб-аналитики Яндекс.Метрика" (кстати, лишнего не собирайте, тоже могут возникнуть вопросики). Вуаля, и документ готов. Размещаете его на отдельном листе сайта и добавляете ссылкой в каждую форму.
Дальше еще интереснее. Необходимо отправить уведомление об обработке персональных данных в реестр операторов, если вы ещё этого не сделали. Если уведомление было подано до февраля 2023 года, необходимо предоставить корректировочное уведомление.
⛔️ И вишенка на торте. Если вы собираетесь передавать персональные данные за границу, то необходимо подать еще одно уведомление. Поковырявшись в статьях по этой теме, я обнаружила, что Роскомнадзор настоятельно рекомендует отказаться от сервиса Google Analytics в связи с тем, что данные передаются на зарубежные сервера.
Использовать ли Google Analytics или нет, советы теперь давать не буду. Каждый взвешивает собственные риски сам. А вот что касается Яндекс.Метрики, выполнить все пункты не так уж сложно. Всё равно данные на подбор/программу тура собираем, и без этого никак.
К слову, требование Роскомнадзора турагенту не дошло до штрафа, обошлось предупреждением и исправлением всех недочетов. Но я бы на вашем месте проверила на досуге, все ли галочки у вас есть. Ну его, от греха подальше...
_____________________
Подписывайтесь на мой канал в Telegram, если вы работаете в туризме и заинтересованы в маркетинге.