Это новое -называется «изменение в законе о персональных данных». Если раньше мы вспоминали о таких понятиях как «политика конфиденциальности» только когда Яндекс.Директ или ВКонтакте не пропускали рекламную кампанию, то сейчас за это может прилететь штраф. И штраф нехилый — аж до 300 000 рублей.
Почему раньше это никого не волновало:
Список нарушений-то не изменился. И раньше владельца интернет-магазина могли оштрафовать. Только вот напрягаться особо никто не хотел. Для прокуратуры, которая за это отвечала, проверить и наказать кого-то было долго, сложно и не особо прибыльно: для физ. лиц и ИП — штраф 1000 рублей, для юр. лиц — 10 000 рублей.
При этом вы могли нарушить все пункты разом, сделать на сайте страницу «продаем данные клиентов» и настроить на это кампанию в Яндекс.Директ, наказание от этого бы не увеличилось.
Случаи штрафов, конечно, были. Но, больше из разряда «смотрите, закон то работает». И никто, соответственно, даже не думал шевелиться.
Что теперь:
Нарушения разделили по пунктам и назначили «мзду» за каждый в отдельности. А для пущего эффекта увеличили суммы наказаний в десятки раз. И тот, кто решил нарушить все и сразу, может легко расстаться с 300 000 рублей.
Но на этом беды для честного предпринимателя не закончились. Процедуру проверки и наказания передали Роскомнадзору. А вот они этого ждали как гиены у раненой антилопы. При этом процесс от «а ну-ка посмотрим» до «вот вам штраф» стал в разы проще и быстрее. И теперь полетят «письма счастья» как пальцы невнимательного фрезеровщика.
Вполне вероятно, что проверять будут тупо в алфавитном порядке.
Что же такое персональные данные?
Вообще любая информация о клиенте, которая только к вам поступает. По сути, даже если вы знаете, что покупатель — человек, уже персональные данные. Но чаще всего для работы интернет-магазина вы будете использовать следующие:
- ФИО;
- Email;
- Телефон;
- Адрес;
- Дата рождения.
Но этот список далеко не исчерпывающий. Образование, семейное положение, уровень доходов, фото и т. д. — все подходит под определение. Но и это еще не все. Как показала практика, даже метаданные, содержащиеся в файлах «cookie», могут считаться персональными.
В общем, проще не гадать. Если у вас есть интернет-магазин — вы оператор персональных данных.
Так что же делать, чтобы не нарваться на штраф?
На самом деле, не все так грустно. Несколько простых шагов помогут избежать сурового наказания. Для пущей безопасности разберем еще раз:
1. Составляем и размещаем в доступном месте на сайте «политику конфиденциальности»
Ее придется делать так или иначе. Как правило, в случае ее отсутствия модераторы Яндекс.Директа, ВКонтакте и т. д. не пропускают рекламную кампанию.
Пользовательское соглашение или политика конфиденциальности должны:
- Быть;
- Быть доступны для клиентов.
Это значит, что мы должны составить политику конфиденциальности и разместить ссылку на нее на видном месте. Чаще всего эта ссылка в подвале сайта. Сам текст соглашения можно расположить либо на всплывающем окне, либо на отдельной странице:
2. Где размещать? Размещать под каждой формой согласие на обработку персональных данных
Именно под каждой. Будь то форма заказа, содержащая имя и телефон или кнопка «заказать звонок», где требуется только телефон. Текст может быть такой:
Нажимая на кнопку «оформить/заказать/продолжить/перезвоните мне» вы даете согласие на обработку ваших персональных данных.
Под текстом размещаем ссылку на политику конфиденциальности.
3. В Положении есть предупреждение о том, что сайт использует файлы «cookie» и собирает метаданные.
Сделать это можно, к примеру всплывающим окном или соответствующей записью в подвале сайта:
Текст может быть следующий:
Мы используем файлы «cookie» для функционирования сайта. Если вас это не устраивает, покиньте сайт.
4. Данные будут храниться на территории России
Это значит, что хостинг и база данных должны размещаться на физическом носителе, находящемся именно на территории РФ. Если вы создаете сайт на какой-либо платформе, напишите в техподдержку. Спросите где стоят сервера. Ничего сложного. Тоже самое нужно сделать с CRM-системой.
5. Подаем уведомление об обработке персональных данных в Роскомнадзор
Звучит грозно. Но на деле все очень просто. Заходите на сайт Роскомнадзора по этой ссылке http://pd.rkn.gov.ru/operators-registry/notification/form/. Заполняете, отправляете. И все. Проверять приняли ли, подтверждать и т. п. не надо. Заполнили, забыли, работаете.
И еще. Совсем на старте этого можно не делать. Если вы только тестируете нишу, смысла подавать это уведомление нет. Но когда уже пошли реальные заказы — лучше себя обезопасить.
6. Следим за тем, чтобы к нам попадали только те данные, которые прописаны в политике конфиденциальности
Допустим, мы разместили на сайте виджет с комментариями через «Вконтакте». Какой-нибудь недовольный или, наоборот, пышущий благодарностью клиент оставляет там комментарий.
И что же получается? А вот что: к вам попала ссылка на его профиль и фотография. Но, вот беда — вы ничего не указали об этом в политике конфиденциальности. И вот уже где-то грозный глаз Роскомнадзора прищурился в вашу сторону.
7. Удаляем по первому требованию данные о пользователе
К примеру, если клиент попросил вас отписать его из базы СМС или email-рассылки — отписывайте. Не нужно уговаривать его, одаривать скидками и подарками. Отпишите и забудьте.
Это и без закона нужно делать незамедлительно. Недовольный клиент все равно не принесет вам свои деньги.