Политика конфиденциальности: нужна ли она вашему сайту
Скорее всего, вы что-то слышали о политике конфиденциальности. Сейчас она есть почти на каждом ресурсе, где можно что-то купить, зарегистрироваться или подписаться на рассылку. Обычно её размещают где-нибудь в подвале сайта: там, где до неё никто не добирается.
Всем ли нужна политика конфиденциальности? Нет, но очень многим. Если у вас на сайте можно зарегистрироваться, заказать обратный звонок или что-то купить — то, вам такой документ точно пригодиться.
-
10+
стаж работы в
интернет маркетинге -
103
написано тематических
статей
Зачем же она тогда нужна, если её практически никто не читает? Всё дело в законе об охране персональных данных, за соблюдением которого Роскомнадзор особенно усиленно следит последние годы.
Всем ли нужна политика конфиденциальности для сайта? Как её составить и обязательно ли для этого обращаться к юристу? Какие штрафы ждут вас в случае игнорирования этих требований? Давайте разбираться.
Почему важно правильно работать с персональными данными пользователей?
Персональные данные — это вся информация, с помощью которой можно идентифицировать конкретного человека. Хотя в законе нет конкретного списка, из практики понятно, что к персональным данным относятся, например:
-
ФИО;
-
Телефон;
-
Адрес электронной почты;
-
Паспортные данные;
-
Адрес;
-
Фотографии и т.д.
Если вы собираете что-то подобное от своих клиентов, то несёте за это ответственность.
Какие штрафы предусмотрены за нарушения?
В законе есть несколько типов нарушений:
-
Если вы обрабатываете персональные данные без предварительного согласия человека (в письменной форме), то можете заплатить штраф от 6 до 10 тысяч рублей (физлицо) или от 30 до 150 тысяч рублей (юрлицо).
-
Если у вас нет политики конфиденциальности для сбора заявок или любых других данных, штраф составит от 10 до 20 тысяч рублей для ИП и от 30 до 60 тысяч рублей для юрлиц.
-
Если вы по требованию пользователя отказались сообщить ему, какую информацию и для чего вы о нём собираете, то ждите штрафа от 20 до 30 тысяч, если вы ИП, и от 40 до 80 тысяч, если вы юрлицо.
-
Если вы собираете персональные данные с одной целью, а потом используете их для другой (например, для рекламы своего интернет-магазина), то тоже ждите санкций. Для юридических лиц штраф составляет от 60 до 100 тысяч рублей.
За повторные нарушения эти штрафы становятся ещё больше. Например, за ту же обработку без согласия человека для юрлиц штраф будет уже от 300 до 500 тысяч рублей.
Более подробно обо всех санкциях можно почитать в статье 13.11 КоАП РФ.
Кто и как следит за нарушениями?
Отвечает за отслеживание таких нарушений Роскомнадзор. Собственные проверки в отношении небольших компаний они инициируют редко, чаще дело доходит до штрафов, когда на некорректную работу жалуются клиенты. Для этого достаточно указать url-адрес сайта компании или её название и причину жалобы.
Сейчас, когда рекламные объявления обрушиваются на людей из каждого утюга, очередной звонок с навязчивой рекламой может стать триггером. И пусть вы будете пятая компания за этот день, но под горячую руку попадётесь именно вы.
Что такое политика конфиденциальности?
По другому политику конфиденциальности можно назвать политикой обработки персональных данных. То есть это документ, где вы разъясняете пользователям своего сайта, что именно вы собираете, для чего вы это делаете и как планируете всё это использовать. А они вправе соглашаться с этим или нет.
Из-за того, что вручную подписать согласие в интернете довольно сложно, в документе прописывается также определённое действие, которое должен совершить человек, чтобы одобрить эту процедуру. Наверняка вы видели приписки вроде “нажимая кнопку “Отправить”, вы соглашаетесь на…”. Вот это и есть то самое действие.
Кому она нужна?
Если говорить именно про интернет, то всем сайтам, которые собирают какие-либо данные от своих пользователей. В начале мы говорили, что это любая информация, которая позволяет опознать человека. У вас может возникнуть вопрос: “Как одно имя и адрес электронной почты помогут точно определить, кто этот человек? Может быть эта почта подставная, а он указал не своё имя?”. Но даже в случае, если вы не просите паспортные данные, ссылку на соцсети и полное ФИО, политику конфиденциальности всё равно разместить придётся.
Итого: если у вас на ресурсе можно подписаться на рассылку, купить товар, оформить обратный звонок — то документ с пользовательским соглашением вам точно нужен.
Кто и как должен её составлять?
Хотя это и можно назвать документом, но обычно для составления не требуется юрист. В законе прописаны основные требования, которые точно должны содержаться в тексте, а в остальном он может быть написан в свободной форме.
Вот что обязательно нужно упомянуть:
-
Название вашей компании. Так как вы собираете, храните и обрабатываете персональную информацию, по закону вы считаетесь оператором. А значит пользователи должны знать ваше юридическое наименование, адрес и контакты.
-
Зачем вы собираете имена, телефоны, адреса и т.д. Любой пользователь должен знать, как именно вы собираетесь использовать информацию. Если позже выяснится, что вы, например, продаёте номера телефонов своих клиентов другим компаниям, то это будет считаться поводом вас оштрафовать.
-
Что именно вы просите предоставить. Здесь можно указать, как и что вы собираете. Плюс, нужно следить за тем, чтобы вы просили у клиентов именно столько информации, сколько вам нужно. Если среди требований для подписки на рассылку вы просите человека указать номер паспорта или адрес, это выглядит странно. И это не просто подозрительно, а ещё и незаконно. Поэтому у любого поля, которое вы добавляете в свою форму обратной связи, должна быть цель.
-
Срок, в течение которого вы планируете хранение и обработку. Например, вы попросили телефон и адрес человека только для того, чтобы доставить его заказ, а потом сразу всё удалили. Или наоборот, вы планируете хранить данные о каждом клиенте ещё пять лет. Сюда же можно добавить пометку о том, планируете ли вы передавать что-то сторонним компаниям. Если да, нужно указать и всю информацию о любых других организациях, которые задействованы в процессе.
-
Дополнительно, если вы что-то передаёте за пределы РФ, об этом тоже нужно добавить пометку в тексте.
Важное условие — это то, что любой пользователь сайта должен в любое время иметь свободный доступ к документу. Поэтому нужно опубликовать его текст на отдельной странице и разместить на неё ссылку в любом месте сайта. Чаще всего ссылка находится в подвале и внутри всплывающих форм, чтобы человек мог сразу же ознакомиться с соглашением, которое он по сути подписывает.
Онлайн-генераторы политики конфиденциальности
Вручную составлять такой документ всё-таки трудно, но так как это массовая история, которая нужна практически каждому бизнесу, в интернете появились специальные онлайн-сервисы. Они сильно облегчают работу с пользовательскими соглашениями, поэтому мы решили рассказать вам о нескольких из них:
-
Конструктор политики обработки персональных данных от Tilda
Бесплатный инструмент уже содержит все нужные поля, которые нужно только дополнить особенностями своей организации. Дальше документ можно скачать и разместить на своём ресурсе.
-
Ecwid
Работает по схожему принципу. Вы заполняете поля, а ниже видите готовый образец документа. Проверьте его и скопируйте в буфер обмена, либо скачайте в формате PDF.
-
Wonder.Legal
Ещё один сервис с таким же принципом работы. Создать, а потом скачать готовый текст можно в формате Word или PDF.
В заключение: пошаговый план действий
1. Составьте документ
Подробнее о том, какая именно информация там должна быть, мы уже рассказывали выше. Чтобы облегчить задачу, можно воспользоваться конструктором или скачать пример готового текста, который вы потом подправите под свои нужды.
2. Опубликуйте пользовательское соглашение на сайте
Главное — у любого пользователя всегда должен быть к нему доступ. Поэтому важно опубликовать ссылку на него сразу в нескольких местах. Можно даже сделать на своём сайте отдельный раздел “Конфиденциальность”. Плюс, если вы собираете информацию из cookies, то лучше добавьте всплывающее окно, предупреждающее об этом.
3. Сообщите о себе Роскомнадзору
По закону все, кто собирает личные данные людей, должны уведомить об этом Роскомнадзор. Штрафы за непредоставление этой информации, конечно, не очень большие (для юрлиц до 5 тысяч рублей), но их всё равно лучше избегать. Если у вас есть электронная подпись, уведомление можно направить онлайн.
4. Назначьте ответственного сотрудника
По закону вы обязаны назначить человека, который будет отвечать за хранение личных данных в компании. Также эту работу можно поручить специальной сторонней организации.
5. Храните все данные на российских серверах
Если вы арендуете сервера, обязательно уточните, где именно они находятся. Ведь по российским законам хранить личные данные пользователей за рубежом запрещено.
6. Не нарушайте правила
Если вы обещали сразу же удалять имена и телефоны клиентов, то нужно так и сделать. Либо переписать документ под новые правила и заморачиваться с их хранением. Плюс, не стоит продавать клиентские базы другим компаниям. За это вас тоже ждёт ответственность.
Есть ли политика конфиденциальности у вас? Если до сих пор нет, то вот здесь вы можете скачать её образец. Его можно немного подкорректировать под себя и разместить на своих ресурсах.
