«У меня просто одна форма обратной связи на сайте. Да кому я нужен? — так думают многие. Тем временем с 1 июня Роскомнадзор кратно поднял штрафы и планирует запустить бот для автоматического сканирования нарушений.
Новый закон касается не только компаний, но и обычных физлиц. Давайте посмотрим, что что стало известно спустя два месяца работы и кучи звонков с вопросами в РКН.
Вообще жесть, конечно.
Читаю этот закон и складывается впечатление, что даже записная книжка в телефоне попадает под «сбор и хранение» персональных данных.
За что теперь штрафуют: конкретные суммы
Персональные данные — это любая информация, по которой можно определить человека.
ФИО, телефон, email. Если их обработка идет неправильно, этого уже достаточно для штрафа.
100-300 Тысяч рублей — за неуведомление Роскомнадзора о начале обработки. Да, теперь нужно официально уведомлять власти, что ваш сайт собирает контакты.
100-300 Тысяч рублей — за сбор данных без согласия пользователя или за избыточный сбор. Например, для консультации достаточно имени и телефона, а компания зачем-то просит паспортные данные.
1-15 Миллионов рублей — за утечку персональных данных. Сумма зависит от масштаба:
До 10 тысяч пострадавших — 3-5 млн рублей.
До 100 тысяч — 5-10 млн рублей.
Свыше 100 тысяч — 10-15 млн рублей.
1-3% От годовой выручки компании в случае повторной утечки.
Кого это касается: спойлер — практически всех
Проверьте себя:
— Есть форма обратной связи на сайте?
— Собираете заявки через соцсети?
— Ведете базу клиентов в CRM?
— Работаете с юрлицами (записываете ФИО контактных лиц)?
— Используете Google Analytics или Яндекс.Метрику?
Если ответ хотя бы на один вопрос «да» — значит эта история касается и вас.
А использование гугл-аналитики, к слову — вообще трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.
Конечно, вряд ли Роскомнадзор ожидает, что каждый человек с записной книжкой в телефоне теперь начнет вести «обработку персональных данных» по всем требованиям закона.
Но если у вас есть свой сайт, этим вопросом. точно стоит заняться.
Что должно быть на сайте: 4 обязательных элемента
1. Политика обработки персональных данных.
Документ должен содержать:
Общие цели;
Цели сбора персональных данных;
Правовые основания обработки персональных данных.
Объем и категории обрабатываемых данных, категории субъектов персональных данных;
Порядок и условия обработки персональных данных;
Актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.
2. Согласие на обработку персональных данных.
Отдельный документ. Это письменное подтверждение, что человек готов передать свои данные.
3. Правильные чекбоксы под всеми формами.
Раньше все ставили «Отправляя заявку, вы соглашаетесь...». Теперь так нельзя.
Как должно быть:
Отдельная галочка под каждой формой.
Галочка НЕ проставлена по умолчанию.
Без галочки форму отправить невозможно.
В тексте ссылки на политику и согласие.
4. Уведомление об использовании cookies.
Всплывающее окно о том, что сайт использует куки для аналитики и улучшения работы.
Ответы на частые вопросы
Как будут штрафовать?
Говорят, что Роскомнадзор вот-вот запустит бот для автоматического сканирования нарушений в сфере персданных. Но пока что официальной информации о запуске бота не было. Скорее всего, при запуске бота штрафы станут массовыми.
Кого освободили от подачи уведомления в Роскомнадзор?
Тут всего три исключения: обработка вручную без средств автоматизации; работа с информационными системами для обеспечения безопасности и обработка данных в целях транспортной безопасности.
А если на сайте нет формы обратной связи?
Не важно, компания собирает персданные через сайт или еще как-то. Даже если выясняет их через мессенджер и вносит в свою CRM — политика и согласие все равно нужны. Хотя с помощью сайта их делать гораздо проще.
Что делать, когда компания взаимодействует с персональными данными клиентов своих клиентов?
Тут два варианта. Первый в лоб, сложный: заключать с каждым контрагентом допсоглашение на передачу персданных, при этом у каждого контрагента должен быть соответствующий пункт в политике.
Второй вариант попроще: попросить направлять клиентам ссылку на ваш сайт, где клиенты сразу будут оставлять заявку вам напрямую.
Что делать сейчас, если еще не занимались этим вопросом
1: Подготовить документы — политику и согласие на обработку персданных.
2: Добавить правильные чекбоксы под все формы на сайте.
3: Подать уведомление в Роскомнадзор через их официальный сайт.
Если нужно проверить ваш сайт на соответствие новым требованиям — напишите мне в телеграм.Посмотрим, проверим, если найдем риски — предложим решение.Заодно проверим по части товарных знаков — там тоже компенсации до 10 миллионов рублей увеличивают.Писать сюда: @bchlf.
Если в принципе тема интеллектуальных прав «ваша» — у меня есть небольшой телеграм-канал «Клуб правообладателей».
Там мои заметки для предпринимателей и авторов. Как грамотно пользоваться авторскими правами, товарными знаками и патентами — чтобы зарабатывать деньги и не терять их на компенсациях и штрафах. Рекламы нет, канал маленький, зато уютный — заходите, если интересно.
Как говорится, без смс и регистраций собрал просто в табличку типичные ошибки, на которых теряют деньги, и расписал, что по моей практике стоит делать заранее, чтобы не влететь. Гляньте, возможно пригодится.
___________________________________________________________.
И вот несколько моих прошлых пикабу-разборов в тему:
Сначала они требовали с нас 200 000 рублей, потом 5 000 000, а на суде смеялись нам в лицо.
Они зарегистрировали на себя наше название, а потом потребовали с нас 4 000 000 рублей, угрожая судом и полицией. Вот что было дальше.
Просто жесть: что было в конверте, который пришел нам из украинского суда Как доказать, что ты — автор. Исчерпывающая подборка бесплатных реально работающих инструментов.
Не дайте себя обмануть: «регистрация» авторских прав.