Как взять согласие на обработку персональных данных

Персональные данные помогают персонализировать общение с клиентами и настроить рекламу в разных каналах. В большинстве случаев предоставлять персональную информацию выгодно пользователям — так они могут автоматически авторизовываться на сайте и получать уникальные предложения.

Проблемы возникают в случае, если персональные данные собираются, хранятся или используются не по правилам. Тогда пользователь может пожаловаться, а компания получит штраф.  

Разберемся, что такое согласие на обработку персональных данных и как правильно собирать, хранить и обрабатывать информацию о пользователях.

Что считается персональными данными

Закон РФ №152-ФЗ «О персональных данных» объясняет, как компаниям собирать информацию о пользователях. Даже если владелец сайта сразу удаляет пользовательские данные после получения, он всё равно является оператором по их обработке и несёт ответственность.

Уведомления о сборе cookies на сайтах появились после введения Регламента об использовании персональных данных жителей Европейского Союза — GDPR (General Data Protection Regulation).

GDPR требует, чтобы все европейские компании прозрачно показывали пользователю, как они обрабатывают информацию о его поведении на сайте. В целом мало отличается от российского закона о персональных данных и похожих законов в других странах: Беларуси, Казахстане.

Под персональными данными понимают любую информацию, по которой можно идентифицировать человека. Это может быть: 

• email; 
• ФИО; 
• номер телефона; 
• дата рождения; 
• фотография; 
• IP-адрес пользователя;
• ссылка на профиль в социальной сети. 

Сбором данных клиентов будет считаться любая форма на сайте: подписка на рассылку, регистрация в личном кабинете, отправка заявки или обратного звонка. 

Владелец сайта несёт ответственность за работу с персональными данными. Он должен: 

• предупредить, какую информацию и с какой целью собирает; 
• изменять или удалять информацию по запросу от пользователя; 
• обеспечить конфиденциальность и сохранность информацию для других организаций и пользователей. 

За пользователем остаётся право отказаться и не оставлять данные. 

За невыполнение требований ФЗ №152 организациям грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность. Формат наказания зависит от случая. Например, если собирать персональные данные без согласия на обработку, штраф для юрлиц ― от 30 до 150 тыс. ₽. При повторном нарушении ― от 300 до 500 тыс. ₽.

Как получить согласие пользователей на сайте 

Требования ФЗ 152 относятся и к юридическим лицам, и к физическим. Как получить согласие на обработку персональных данных на сайте:

1. Составьте соглашение о работе с персональными данными клиентов.
2. Разместите соглашение на сайте в общем доступе.
3. Разместите уведомление о сборе cookies и данных незарегистрированных пользователей.
4. Добавьте в каждую форму на сайте пустой чек-бокс для согласия на передачу данных.
5. Настройте работу с персональными данными внутри компании.
6. Локализуйте хостинг и хранение данных на российских ресурсах.

Дальше я расскажу о каждом из этих пунктов подробнее.

Согласие на рассылку: как получить, чтобы не быть оштрафованным

Составьте соглашение о работе с персональными данными клиентов. Соглашение разрешает вам собирать, хранить и использовать персональные данные. В этом документе пользователь может прочитать ваши правила работы с контактной информацией и узнать, как отозвать свое согласие на обработку. 

Закон не предусматривает устного соглашения сторон. Сайт обязательно должен хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и соглашался на передачу персональных данных.

Чтобы составить грамотное соглашение, лучше обратиться к юристу. Я приведу обязательные пункты соглашения о работе с персональными данными на сайте.  

• Контакты оператора: наименование компании или ФИО для физического лица, адрес местонахождения. 
• Цели обработки. Обычно это информирование пользователя посредством отправки электронных писем и SMS-уведомлений или предоставление доступа пользователю к информации, сервисам и материалам, содержащимся на веб-ресурсе. 
• Перечень персональных данных, которые поддаются сбору. Учтите, что данные и цели сбора должны совпадать. Например, если в цели обозначено только информирование по электронной почте, то берём у пользователя только email и имя. 
• Перечень действий по работе с персональными данными: что планируется делать с полученной информацией. По закону, данные можно собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (распространять, предоставлять доступ), обезличивать, блокировать, удалять, уничтожать. 
• Срок действия согласия пользователя, а также условия отзыва. Как пользователь может изменить или отозвать согласие на обработку. 
• Если в процессе работы с персональными данными принимает участие другое юридическое лицо, в соглашении указывается его наименование и адрес. 

Соглашение составляется с соблюдением ФЗ-152. Если какой-то из пунктов будет ему противоречить, документ считается незаконным. В Тильде создали шаблон, чтобы составить пользовательское соглашение. Вбиваете нужную информацию, а на выходе получаете готовый документ для сайта. 

Примеры соглашений об обработке персональных данных: 

Политика М.Видео в отношении работы с персональными данными 

Политика конфиденциальности «Т—Ж»

Пользовательское соглашение и Политика конфиденциальности «Манн, Иванов и Фербер»

Политика использования файлов cookies на сайте BMW

Разместите соглашение на сайте в общем доступе. Когда соглашение будет готово, разместите его на сайте. Обычно это делается ссылкой в подвале в виде отдельного документа и в каждой форме, где вы собираете персональные данные.

Разместите уведомление о сборе cookies и данных незарегистрированных пользователей. Cookies — служебная информация о поведении пользователей на сайте. Ее расценивают как персональные данные. Если у вас установлены системы аналитики сайта, следует предупредить всех новых пользователей, что вы собираете их данные: тип устройства, геоположение, браузер, IP-адрес.

Порядок работы с cookies пользователей можно добавить к соглашению.

Добавьте в каждую форму на сайте пустой чек-бокс для согласия на передачу данных. Любая форма, включающая пользовательскую информацию, должна содержать похожий текст: «Нажимая на кнопку, вы подтверждаете согласие на обработку персональных данных». 

Текст также должен содержать ссылку на документ, где вы описываете порядок работы с персональными данными. Такой документ может называться «Политика конфиденциальной информации», «Пользовательское соглашение» или «Оферта» — с юридической точки зрения разницы нет. Все эти документы регулируют обработку персональных данных пользователей.

Настройте работу с персональными данными внутри компании. Если сайт принадлежит компании, следует: 

• ознакомить сотрудников с правилами работы с персональными данными и взять подписи об их неразглашении; 
• подписывать соглашения при передаче данных третьим лицам, например с рекламными агентствами; 
• добавить пункты о согласии на обработку персональных данных в договоры с физическими лицами; 
• не игнорировать запросы пользователей об изменении данных или отказе от согласия.

Локализуйте хостинг и хранение информации на российских ресурсах. Роскомнадзор запрещает компаниям хранить персональные данные в зарубежных дата-центрах и облачных системах. Уточните у своего хостинга готовые решения на такой случай или выберите другого провайдера с местными дата-центрами.

Чек-лист: как проверить сайт на соответствие ФЗ-152

✅ В подвале сайта размещена ссылка на «Соглашение о работе с персональными данными». Соглашение актуально и включает обязательные пункты.

✅ В каждой форме подписки есть чек-бокс о согласии пользователя.

✅ В каждой форме подписки есть ссылка на «Соглашение о работе с персональными данными».

✅ Новый пользователь сайта получает уведомление о сборе персональных данных через cookies.