Прошло уже больше 2 месяца с повышения штрафов для бизнеса за несоблюдение требований законодательства о персональных данных. Что мы видим? Бизнес взялся за голову и стал, наконец, шевелиться.
Оно понятно: кому хочется платить штраф до 20 млн руб.? Но не все так радужно.
Мы решили проверить, какие ошибки все еще остались. Изучили около 60 компаний разной направленности, оказалось, что остались как самые распространенные ошибки, так и более редкие.
Вот, минимум, 5 из них:
1. Нельзя ставить «галочку согласия» по умолчанию за пользователя
Как надо: Пользователь должен сам поставить галочку, иначе согласие недействительно.
Штраф: До 300 000 руб.
2. Нет предупреждающего текста о сборе персональных данных на всех формах на сайте
Как надо: Под каждой формой сбора персональных данных должно быть уведомление о том, что вы собираете персональные данные пользователя. И мы еще рекомендуем добавлять 2 ссылки: на согласие и обработку персональных данных и на саму политику обработки и хранения персональных данных.
Штраф: до 700 000 руб.
3. Чат-боты и мессенджеры тоже должны быть под контролем
Что нарушают: Чат-боты (например, в Telegram) тоже собирает персональные данные, но политика конфиденциальности не адаптирована под конкретный бизнес. Плюс перед отправкой контактных данных часто пользователя не предупреждают об обработке и хранении информации
Как надо: Адаптировать политику под себя. Добавить ссылку на политику или в первое же сообщение бота, или прямо перед отправкой данных пользователем по внутренней логике бота.
Штраф: До 200 000 руб.
4. Не предупреждают, что собирают Cookies
Что нарушают: Cookies - это текстовые документы, которые хранятся на устройстве или серверах организации и собирают информацию о посещенных сайтах и индивидуальных настройках пользователя. А еще здесь важно, что независимые сервисы статистики также использует файлы cookie (например, Яндекс Метрика или Google Analytics).
Как надо: Если cookies собираются, то это надо указать. В подавляющем большинстве случаев ОНИ СОБИРАЮТСЯ. Должно быть уведомление пользователя и желательно информация о том, как они используются.
Штраф: До 100 000 руб.
5. В политике конфиденциальности не указаны контактные данные для направления заявления об отзыве согласия на обработку персональных данных
Как надо: оператор обязан обеспечить возможность отзыва согласия на обработку данных, и эта информация должна быть доступна пользователям удобным способом (адрес, электронная почта и т.п.).
Штраф: до 80 тыс.руб.
Ошибки, о которых мало знают, но за них тоже прилетают штрафы
1. Одна галочка и для рекламных рассылок, и для обработки данных
Как надо: Должно быть два разных согласия:
- На обработку данных для договора.
- На рекламные рассылки.
Штраф: До 200 000 руб.
2. Нет договора поручения обработки персональных данных при передаче данных курьеру
Что нарушают: Передают ФИО и адреса клиентов курьерской службе без договора.
Как надо: Заключить договор поручения обработки персональных данных с курьерской компанией.
Штраф: До 300 000 руб.
3. Нельзя обрабатывать данные умерших людей
Что нарушают: рассылают рекламу, например, на email умершего клиента
Как надо: персональные данные прекращают действие после смерти, поэтому их надо исключать из баз (если известно о смерти) или получать согласие на обработку персональных данных у наследника субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни
Штраф: До 300 000 руб.
Мы уже сформировали собственный чек-лист, который минимизирует риски бизнеса в области персональных данных. Можем проверить и ваши маркетинговые инструменты! Записаться на консультацию можно у нашего менеджера.