Разборы

Как взять согласие на обработку персональных данных

Чтобы не нарваться на штраф и разочарование пользователей
Согласие на обработку персональных данных

Почти каждый владелец бизнеса или маркетолог собирает персональные данные пользователей. Это могут быть имена, email, номера телефонов, дни рождения и другая информация.

Персональные данные помогают персонализировать общение с клиентами и настроить рекламу в разных каналах. В большинстве случаев предоставлять персональную информацию выгодно пользователям — так они могут автоматически авторизовываться на сайте и получать уникальные предложения.

Проблемы возникают в случае, если персональные данные собираются, хранятся или используются не по правилам. Тогда пользователь может пожаловаться, а компания получит штраф.  

Разберемся, что такое согласие на обработку персональных данных и как правильно собирать, хранить и обрабатывать информацию о пользователях.

Что считается персональными данными

Закон РФ №152-ФЗ «О персональных данных» объясняет, как компаниям собирать информацию о пользователях. Даже если владелец сайта сразу удаляет пользовательские данные после получения, он всё равно является оператором по их обработке и несёт ответственность.

Уведомления о сборе cookies на сайтах появились после введения Регламента об использовании персональных данных жителей Европейского Союза — GDPR (General Data Protection Regulation).

GDPR требует, чтобы все европейские компании прозрачно показывали пользователю, как они обрабатывают информацию о его поведении на сайте. В целом мало отличается от российского закона о персональных данных и похожих законов в других странах: Беларуси, Казахстане.

Под персональными данными понимают любую информацию, по которой можно идентифицировать человека. Это может быть: 

  • email; 
  • ФИО; 
  • номер телефона; 
  • дата рождения; 
  • фотография; 
  • IP-адрес пользователя;
  • ссылка на профиль в социальной сети. 

Сбором данных клиентов будет считаться любая форма на сайте: подписка на рассылку, регистрация в личном кабинете, отправка заявки или обратного звонка. 

Владелец сайта несёт ответственность за работу с персональными данными. Он должен: 

  • предупредить, какую информацию и с какой целью собирает; 
  • изменять или удалять информацию по запросу от пользователя; 
  • обеспечить конфиденциальность и сохранность информацию для других организаций и пользователей. 

За пользователем остаётся право отказаться и не оставлять данные. 

За невыполнение требований ФЗ №152 организациям грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность. Формат наказания зависит от случая. Например, если собирать персональные данные без согласия на обработку, штраф для юрлиц ― от 30 до 150 тыс. ₽. При повторном нарушении ― от 300 до 500 тыс. ₽.

Например, сайт Linkedin заблокировали на территории РФ и оштрафовали за нарушение сбора cookie и данных пользователей без их уведомления.

Facebook* и Twitter вслед за Linkedin получили предупреждение за хранение данных россиян не на территории России. В январе 2020 года Роскомнадзор возбудил уже административное дело. Facebook* и Twitter получили штраф в размере 4 млн рублей.

Как получить согласие пользователей на сайте 

Требования ФЗ 152 относятся и к юридическим лицам, и к физическим. Как получить согласие на обработку персональных данных на сайте:

  1. Составьте соглашение о работе с персональными данными клиентов.
  2. Разместите соглашение на сайте в общем доступе.
  3. Разместите уведомление о сборе cookies и данных незарегистрированных пользователей.
  4. Добавьте в каждую форму на сайте пустой чек-бокс для согласия на передачу данных.
  5. Настройте работу с персональными данными внутри компании.
  6. Локализуйте хостинг и хранение данных на российских ресурсах.

Дальше я расскажу о каждом из этих пунктов подробнее.

Согласие на рассылку: как получить, чтобы не быть оштрафованным

Составьте соглашение о работе с персональными данными клиентов. Соглашение разрешает вам собирать, хранить и использовать персональные данные. В этом документе пользователь может прочитать ваши правила работы с контактной информацией и узнать, как отозвать свое согласие на обработку. 

Закон не предусматривает устного соглашения сторон. Сайт обязательно должен хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и соглашался на передачу персональных данных.

Политика конфиденциальности Яндекса
Политика конфиденциальности Яндекса

Чтобы составить грамотное соглашение, лучше обратиться к юристу. Я приведу обязательные пункты соглашения о работе с персональными данными на сайте.  

  • Контакты оператора: наименование компании или ФИО для физического лица, адрес местонахождения. 
  • Цели обработки. Обычно это информирование пользователя посредством отправки электронных писем и SMS-уведомлений или предоставление доступа пользователю к информации, сервисам и материалам, содержащимся на веб-ресурсе. 
  • Перечень персональных данных, которые поддаются сбору. Учтите, что данные и цели сбора должны совпадать. Например, если в цели обозначено только информирование по электронной почте, то берём у пользователя только email и имя. 
  • Перечень действий по работе с персональными данными: что планируется делать с полученной информацией. По закону, данные можно собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (распространять, предоставлять доступ), обезличивать, блокировать, удалять, уничтожать. 
  • Срок действия согласия пользователя, а также условия отзыва. Как пользователь может изменить или отозвать согласие на обработку. 
  • Если в процессе работы с персональными данными принимает участие другое юридическое лицо, в соглашении указывается его наименование и адрес. 

Соглашение составляется с соблюдением ФЗ-152. Если какой-то из пунктов будет ему противоречить, документ считается незаконным. В Тильде создали шаблон, чтобы составить пользовательское соглашение. Вбиваете нужную информацию, а на выходе получаете готовый документ для сайта. 

Примеры соглашений об обработке персональных данных: 

Политика М.Видео в отношении работы с персональными данными 

Политика конфиденциальности «Т—Ж»

Пользовательское соглашение и Политика конфиденциальности «Манн, Иванов и Фербер»

Политика использования файлов cookies на сайте BMW

Разместите соглашение на сайте в общем доступе. Когда соглашение будет готово, разместите его на сайте. Обычно это делается ссылкой в подвале в виде отдельного документа и в каждой форме, где вы собираете персональные данные.

Как взять согласие на обработку персональных данных 3
Правила работы компании с персональными данными размещаются в подвале сайта и гиперссылкой во всех формах

Разместите уведомление о сборе cookies и данных незарегистрированных пользователей. Cookies — служебная информация о поведении пользователей на сайте. Ее расценивают как персональные данные. Если у вас установлены системы аналитики сайта, следует предупредить всех новых пользователей, что вы собираете их данные: тип устройства, геоположение, браузер, IP-адрес.

Порядок работы с cookies пользователей можно добавить к соглашению.

Пример уведомления о сборе cookies на сайте detmir.ru
Пример уведомления о сборе cookies на сайте detmir.ru
Некоторые компании используют довольно нестандартные решения, чтобы рассказать о сборе cookies
Некоторые компании используют довольно нестандартные решения, чтобы рассказать о сборе cookies

Добавьте в каждую форму на сайте пустой чек-бокс для согласия на передачу данных. Любая форма, включающая пользовательскую информацию, должна содержать похожий текст: «Нажимая на кнопку, вы подтверждаете согласие на обработку персональных данных»

Текст также должен содержать ссылку на документ, где вы описываете порядок работы с персональными данными. Такой документ может называться «Политика конфиденциальной информации», «Пользовательское соглашение» или «Оферта» — с юридической точки зрения разницы нет. Все эти документы регулируют обработку персональных данных пользователей.

Размещая чекбокс о согласии, вы исполняете требования закона ФЗ-152. Галочка не должна быть предзаполненной, чтобы пользователь осознанно дал своё согласие
Размещая чекбокс о согласии, вы исполняете требования закона ФЗ-152. Галочка не должна быть предзаполненной, чтобы пользователь осознанно дал своё согласие

Настройте работу с персональными данными внутри компании. Если сайт принадлежит компании, следует: 

  • ознакомить сотрудников с правилами работы с персональными данными и взять подписи об их неразглашении; 
  • подписывать соглашения при передаче данных третьим лицам, например с рекламными агентствами; 
  • добавить пункты о согласии на обработку персональных данных в договоры с физическими лицами; 
  • не игнорировать запросы пользователей об изменении данных или отказе от согласия.

Обычно пользователи хотят отозвать согласие, если компания нарушает обязательства по работе с персональными данными. Например, вы поделились базой подписчиков с партнёрской компанией и она отправила им письма. 

Заявление делается в свободной форме и направляется по электронному адресу компании. Если вы получили такое письмо, выполнить требования следует в течение 30 дней. Когда вы обработаете запрос, напишите пользователю ответное сообщение.

Локализуйте хостинг и хранение информации на российских ресурсах. Роскомнадзор запрещает компаниям хранить персональные данные в зарубежных дата-центрах и облачных системах. Уточните у своего хостинга готовые решения на такой случай или выберите другого провайдера с местными дата-центрами.

Чек-лист: как проверить сайт на соответствие ФЗ-152

✅ В подвале сайта размещена ссылка на «Соглашение о работе с персональными данными». Соглашение актуально и включает обязательные пункты.

✅ В каждой форме подписки есть чек-бокс о согласии пользователя.

✅ В каждой форме подписки есть ссылка на «Соглашение о работе с персональными данными».

✅ Новый пользователь сайта получает уведомление о сборе персональных данных через cookies.