Подписка на рассылку, заполнение ФИО и номера телефона для оплаты или звонка менеджера — пользователи ежедневно оставляют персональные данные на сайтах компаний. В статье расскажем, как правильно их собирать и обрабатывать, чтобы не нарушить закон.
Данные выручают владельцев бизнеса и маркетологов — на их основе можно лучше узнать свою целевую аудиторию, точнее настроить рекламу и предлагать персонализированные предложения каждому сегменту. Но для обработки и хранения информации о клиентах нужно соблюдать ряд требований. Порядок сбора персональных данных содержится в законе №152-ФЗ «О персональных данных».
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Определение из закона 152-ФЗ «О персональных данных»
В законе нет точного списка сведений, которые можно считать персональными данными, — к ним относится любая информация, которая позволяет идентифицировать личность. К ней нельзя отнести предпочтения в еде или фильмах, а вот ИНН и сведения о месте работы будут считаться персональными данными.
Согласно закону «О персональных данных», компания или человек, который собирает эти сведения, — оператор персональных данных. Даже если вы сразу удаляете информацию после ее получения, вы все равно несете ответственность за сбор, обработку и уничтожение персональных данных.
Собирают персональные данные двумя способами — напрямую и автоматически. К первому случаю относятся данные, которые пользователь оставляет сам. Например, когда заполняет форму на регистрацию или заявку на звонок. К ним можно отнести:
К данным, которые собирают автоматически, можно отнести IP-адрес и сведения о местоположении. Их компании получают с помощью cookie, текстовых файлов с информацией о посещении ресурса и действиях на сайте. Если компания нарушит требования о куки-файлах, Роскомнадзор может потребовать блокировки ресурса. Так уже было с LinkedIn в 2016 — сайт заблокирован на территории РФ за незаконное использование и хранение куки.
Чтобы правильно собирать и обрабатывать данные и не переступать закон, нужно подготовить несколько документов, а также выполнить требования Роскомнадзора. Разберем по шагам, что нужно для сбора данных.
В 2022 году объем утечек данных пользователей вырос в 40 раз по сравнению с 2021 — в открытом доступе появилась личная информация 100 млн человек. SSL-сертификат поможет минимизировать риски.
Защищенный протокол передачи данных создает зашифрованное соединение и гарантирует безопасность обмена информацией. Сертификат не позволит мошенникам перехватить трафик и использовать данные незаконно, предотвращая утечку. Если вы планируете собирать ФИО пользователей, данные банковских карт и другую персональную информацию, установка SSL-сертификата — необходимый этап. Базовый SSL в REG.RU вы можете получить бесплатно на 6 месяцев.
Чтобы собирать персональные данные на сайте, нужно подготовить пакет документов. Вот самые основные:
Этот шаг обязательный не для всех компаний. Если вы обрабатываете только данные сотрудников или только на бумаге, шаг можно пропустить. Другие исключения подробно описаны в статье 22 153-ФЗ.
Подать уведомление можно на бумажном носителе по почте, через Госулуги или онлайн через форму на сайте Роскомназора. Если ответ не пришел в течение 10 рабочих дней после подачи уведомления, можно собирать данные. Ответ приходит, только если сбор и обработка будут запрещены или ограничены.
После подачи уведомления организацию или физическое лицо внесут в реестр операторов персональных данных.
Политика конфиденциальности должна находиться на каждой странице сайта — для удобства ссылку на нее размещают в подвале.
Кроме того, каждая форма для сбора данных, будь то email или ФИО, должна содержать ссылку на соглашение и уведомление о согласии на обработку данных. Если вы используете cookie, об этом также нужно уведомить пользователей — удобнее всего разместить баннер, который автоматически появляется на сайте.
Закон о персональных данных постоянно обновляется и дополняется, поэтому время от времени нужно будет актуализировать информацию и переписывать некоторые документы. Обо всех изменения необходимо уведомлять Роскомнадзор не позднее 15-го числа, следующего за месяцем, в котором произошли изменения. Иначе организации может грозить штраф.
С 1 марта 2023 года вступили в силу изменения в законе об уничтожении персональных данных.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе и на материальных носителях.
Почему удаляют персональные данные:
В случае уничтожения компаниям необходимо составлять акт о ликвидации личной информации пользователей и хранить его в течение 3 лет. Акт должен содержать:
Акт поможет доказать, что данные уничтожили вовремя, и убережет от судебных разбирательств.
⌘⌘⌘
Если у вас есть сайт с формами сбора персональных данных, вы автоматически становитесь оператором и должны соблюдать правила по сбору и обработке личной информации. За неисполнение требований компания может получить штраф до 6 млн рублей, а за повторное нарушение — до 18 млн. Даже если вы собираете лишь email для рассылок, не пренебрегайте правилами.
А создать сайт и не упустить важных моментов проще с шаблонами REG.Site. В готовых решениях для интернет-магазинов уже предусмотрено место для политики конфиденциальности и других важных документов.
Один способ позволяет отслеживать каждую деталь изделия, другой – сфокусироваться на брендинге и маркетинге. Разбираемся…
Рассказываем, как помогли российскому разработчику систем аналитики мигрировать в частное облако и сократить затраты на…
Рассказываем, как создать сайт-визитку и какой должна быть структура. Внутри — инструкция, которая поможет предпринимателям.
Онлайн-карты — хорошая площадка для привлечения аудитории в бизнес. Рассказываем об инструментах продвижения в геосервисах.
Можно стартовать с багажом знаний из найма или практически без опыта. Рассказываем, что нужно делать:…
Что такое наука о данных, чем занимается Data Scientist и можно ли обучиться этой специальности…