Тендеры и лиды
Информация
Теперь за обработку персональных данных без письменного согласия юридическому лицу грозит штраф от 100 000 до 300 000 рублей. При повторном нарушении сумма может вырасти до 500 000 рублей. За незаконное распространение или утечку данных штрафы будут достигать 15 млн рублей.
Юридическое или физическое лицо автоматически становится оператором ПДн как только начинает собирать любую информацию, позволяющую идентифицировать человека: ФИО, телефон, e-mail, данные документов и т.д. Формат может быть любой — от записи в блокноте до заполнения специальной формы на сайте. В этом случае в силу вступает 152-ФЗ, требования которого необходимо соблюдать.
Грядущие перемены — не «страшилка», которая намерена испортить жизнь бизнесу. Это повод всерьез пересмотреть процессы, обезопасить себя от случайных ошибок и сделать систему хранения ваших данных надежнее.
Команда Rocket Business провела все необходимые работы на своем сайте. Теперь мы готовы рассказать, какие шаги нужно предпринять прямо сейчас, чтобы избежать штрафов при внезапной проверке.
Чтобы выстроить систему защиты персональных данных, нужно понимать, какие данные вы собираете и как ими распоряжаетесь. Мы в Rocket Business начали с аудита:
После аудита мы подготовили весь необходимый пакет документов:
Работа с документами – очень трудоемкий процесс, который забирает много времени и сил. Возможно, для этого вам потребуется нанять отдельного сотрудника.
Согласно статье 9 152-ФЗ, согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Пользователь должен четко понимать, на что он дает согласие, и выразить его своей активной волей.
В первую очередь необходимо изменить текст отправки формы о согласии на обработку ПДн – фраза «нажимая кнопку, вы соглашаетесь...» нарушает требования закона.
Чтобы решить эту проблему, мы внедрили активные чекбосы. Пользователь должен сам поставить галочку.
Пример текста: «[ ] Я ознакомлен(а) с политикой конфиденциальности и даю согласие на обработку моих персональных данных для [цель]».
Обязательно проверьте, чтобы ссылка на Политику доступна до отправки формы.
Работа с cookie — одна из самых чувствительных и технически сложных зон в соблюдении 152-ФЗ. Мы подошли к этому вопросу системно.
Согласно статье 9 закона, согласие на установку любых cookie, кроме строго необходимых, должно быть предварительным, конкретным, информированным и свободным. Проще говоря, баннер с текстом «Продолжая использовать сайт, вы соглашаетесь…» больше не подходит.
Теперь при первом посещении сайта пользователь должен увидеть четкое и понятное уведомление:
[Разрешить все] – эта кнопка означает явное и однозначное согласие пользователя на использование всех категорий cookie, включая аналитические, функциональные и маркетинговые (если они есть).
[Разрешить только необходимые] или [Отклонить все необязательные] – эта опция позволяет пользователю ограничить использование cookie только теми, которые являются строго необходимыми для функционирования сайта и предоставления запрошенных им услуг.
[Настроить] – эта кнопка предоставляет пользователю возможность перейти к более детальным настройкам и сделать гранулярный выбор по каждой категории необязательных cookie.
Важно: эти кнопки должны быть представлены пользователю в нейтрально виде, без акцента на призыв принять все cookie. Говоря проще: все кнопки должны быть одного цвета. Принцип свободного согласия (статья 9 152-ФЗ) подразумевает, что выбор должен быть действительно свободным, без скрытых манипуляций дизайном.
Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.
Заполнить заявку
13202 тендера
проведено за восемь лет работы нашего сайта.
Изменения в настройках cookie
Закон подразумевает, что пользователь должен быть абсолютно свободен в своем выборе. Этому принципу должны соответствовать не только основные кнопки, но и функция настройки cookie. Поэтому мы отредактировали ее содержание:
Четко разделите типы cookie по категориям. В интерфейсе настроек пользователь должен видеть отдельные группы: «Технические», «Аналитические/Статистические», «Функциональные», «Маркетинговые».
Яндекс.Метрика и другие «необязательные» cookie
Ключевой момент, который часто упускается и является «болевой точкой» для многих сайтов: необязательные cookie не должны устанавливаться и собирать данные до тех пор, пока пользователь не даст свое активное и информированное согласие. Это касается и Яндекс.Метрики, которая, безусловно, предоставляет огромный массив информации для анализа.
Мы в Rocket Business всегда акцентируем внимание наших клиентов на текущей трактовке законодательства в этом вопросе. Несмотря на всю пользу аналитических систем, их использование должно соответствовать закону. На сегодняшний день известно:
Трактовки таких нюансов вызывают множество дискуссий, и каждый Оператор в конечном счете сам принимает решение о степени детализации своих механизмов получения согласия.
Отключение Яндекс.Метрики и аналогичных систем до получения явного согласия – это наиболее безопасный подход на сегодняшний день. Но и не самый оптимальный, поскольку теряется огромный объем ценной информации. Если отключение Яндекс.Метрики до явного согласия пользователя – избыточная мера, то будет очень обидно терять информацию о посещаемости и источниках. Особенно если компания инвестирует в маркетинг.
Постоянный доступ к управлению согласием
Получение согласия – это не однократное действие. Часть 2 статьи 9 152-ФЗ закрепляет право субъекта в любое время отозвать свое согласие. Это в полной мере относится и к cookie.
Поэтому на сайте нужно сделать так, чтобы пользователь в любой момент мог легко изменить свои настройки cookie или отозвать ранее данное согласие. Обычно для этого размещается постоянная, легко заметная ссылка в футере, например, «Настройки cookie» или «Управление файлами cookie».
Еще один важный и резонансный аспект соответствия 152-ФЗ – требование о локализации на территории РФ баз данных, содержащих персональные данные российских граждан (часть 5 статьи 18 152-ФЗ). Это означает, что первичный сбор, запись, систематизация, накопление, хранение, уточнение или обновление, извлечение ПДн граждан РФ должны осуществляться с использованием баз данных, физически расположенных в России.
Тут решение простое: отказ от иностранных сервисов или выбор локализованных решений. Удалите с сайтов GTM и Google Analytics. Обязательно проверьте все сервисы, которые вы используете и оставьте только те, которые официально заявляют о хранении данных российских пользователей на территории РФ.
Привести все процессы в порядок согласно требованиям законодательства о персональных данных – непростая задача , которая требует внимания к деталям. При этом очень важно регулярно обновлять свои знания. Законы меняются, появляются новые правки, трактовки и требования. Оставаться в теме – это база любого современного бизнеса, особенно в онлайн-сфере.
Мы долго и последовательно разбирались в сути требований, чтобы обеспечить реальную защиту данных пользователей. Сейчас это основной путь, который позволяет выстроить с ними доверительные отношения. Но работа еще не окончена, ведь многие вопросы остаются дискуссионными и требуют дальнейшего изучения.
Надеемся, что наш опыт окажется полезным для вас и поможет сориентироваться в многообразии требований. А самое главное – избежать случайных ошибок на пути к полному соответствию 152-ФЗ.
