Ваш сайт — инструмент, который автоматически может собирать персональные данные пользователей. Каждая форма сбора данных на сайте, подписки или даже просто анализ посетителей сервисами аналитики попадает под требования закона о персональных данных. Роскомнадзор активно проверяет сайты автоматическими инструментами, а штрафы за нарушения могут составлять миллионы. Давайте наведем порядок.
Что должно быть на сайте обязательно? Три ключевых элемента
1. Политика конфиденциальности
Этот документ должен быть размещен на КАЖДОЙ странице сайта, где есть сбор данных. Лучше всего разместить ссылку на него в нижнем блоке сайта (футере). Политика должна содержать информацию об обеспечении безопасности, а также информацию для каждой цели обработки данных: категория физических лиц, состав персональных данных, способы обработки данных, срок обработки и хранения, порядок уничтожения персональных данных
2. Правильные формы обратной связи
Любая форма, куда пользователь вводит свои персональные данные (например, телефон, ФИО, email и т.д.), должна сопровождаться ссылкой на текст согласия. Текст может быть таким: Нажимая на кнопку «Отправить» я даю согласие на обработку персональных данных. Чтобы дать пользователю выбор — если он дает свое согласие, то нажимает кнопку и отправляет свои данные, если нет, значит отказывается и его данные не отправятся к вам.
3. Уведомление о сборе данных через аналитические системы и cookies
Такие аналитические сервисы как, Яндекс.Метрика и Google Analytics собирают персональные данные о посетителях: IP-адрес, сведения о местоположении, тип и версия ОС, тип устройства, язык ОС и браузера, какие страницы посещает пользователь на веб-сайте и т.п.
Согласно позиции Роскомнадзора такие данные являются персональными и об их сборе обязательно нужно информировать пользователя вашего сайта.
Что делать?
Обязательно уведомить пользователейоб использовании cookies. При входе на сайт должно всплывать баннер с текстом: «Мы используем файлы cookie для корректной работы сайта. Продолжив работу с сайтом, вы даете согласие на обработку файлов cookie». акже можно дополнительно использовать на баннере кнопку «Принять».
Что может привести к крупному штрафу
1. Использование облачных зарубежных сервисов
Персональные данные россиян должны храниться на серверах, расположенных в России (ч. 5 ст.18 152-ФЗ).
Если вы используете иностранные облачные сервисы, типа Google Forms, Google Docs и Google Sheets для сбора и обработки персональных данных — лучше заменить их российскими аналогами, например, хранить документы и проводить опросы в Saby. Штрафы за нарушение локализации внушительные: первично до 6 млн рублей, повторное нарушение до 18 млн рублей.
2.Чат-боты в иностранных мессенджерах
Если вы собираете персональные данные клиентов с помощью чат-ботов от иностранных мессенджеров (например, регистрация на мероприятие, опрос с анкетой), то это также ведет к нарушению требований локализации. Так как собираемые чат-ботом данные сразу передаются на зарубежный сервер. И снова есть риск штрафа первый раз до 6 млн рублей, повторно — до 18 млн рублей.
Поэтому проанализируйте какие сервисы ботов вы используете для сбора данных. Чтобы избежать риска, проще настроить чат-бота на российских аналогах.
Что проверить на своем сайте сегодня?
— Есть ли на сайте актуальная Политика конфиденциальности?
— Размещена ли политика в футере каждой страницы?
— Есть ли у всех форм обратной связи?
—Есть ли баннер об использовании на сайте cookie?
— Используете ли зарубежные аналитические системы или сервисы для опросов?
— На каких сервисах построены ваши чат-боты для сбора персданных ваших клиентов?
— Убедитесь, что информация находится на серверах в РФ.
Сайт, соответствующий закону, — это не только защита от штрафов, но и демонстрация уважения к клиентам.