Поиск по сайту Поиск

Как правильно собирать персональные данные пользователей на сайте

Подписка на рассылку, заполнение ФИО и номера телефона для оплаты или звонка менеджера — пользователи ежедневно оставляют персональные данные на сайтах компаний. В статье расскажем, как правильно их собирать и обрабатывать, чтобы не нарушить закон.

Данные выручают владельцев бизнеса и маркетологов — на их основе можно лучше узнать свою целевую аудиторию, точнее настроить рекламу и предлагать персонализированные предложения каждому сегменту. Но для обработки и хранения информации о клиентах нужно соблюдать ряд требований. Порядок сбора персональных данных содержится в законе №152-ФЗ «О персональных данных». 

Что считается персональными данными

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). 

Определение из закона 152-ФЗ «О персональных данных»

В законе нет точного списка сведений, которые можно считать персональными данными, — к ним относится любая информация, которая позволяет идентифицировать личность. К ней нельзя отнести предпочтения в еде или фильмах, а вот ИНН и сведения о месте работы будут считаться персональными данными. 

Согласно закону «О персональных данных», компания или человек, который собирает эти сведения, — оператор персональных данных. Даже если вы сразу удаляете информацию после ее получения, вы все равно несете ответственность за сбор, обработку и уничтожение персональных данных. 

Собирают персональные данные двумя способами — напрямую и автоматически. К первому случаю относятся данные, которые пользователь оставляет сам. Например, когда заполняет форму на регистрацию или заявку на звонок. К ним можно отнести: 

  • ФИО (а вот имя отдельно не считается персональными данными),
  • email,
  • адрес регистрации/проживания,
  • номер телефона, 
  • фотография, 
  • сведения о родственниках,
  • сведения о состоянии здоровья,
  • размер дохода,
  • ссылка на социальные сети.

К данным, которые собирают автоматически, можно отнести IP-адрес и сведения о местоположении. Их компании получают с помощью cookie, текстовых файлов с информацией о посещении ресурса и действиях на сайте. Если компания нарушит требования о куки-файлах, Роскомнадзор может потребовать блокировки ресурса. Так уже было с LinkedIn в 2016 — сайт заблокирован на территории РФ за незаконное использование и хранение куки. 

Что нужно для сбора персональных данных

Чтобы правильно собирать и обрабатывать данные и не переступать закон, нужно подготовить несколько документов, а также выполнить требования Роскомнадзора. Разберем по шагам, что нужно для сбора данных.

Шаг 1. Установить SSL-сертификат

В 2022 году объем утечек данных пользователей вырос в 40 раз по сравнению с 2021 — в открытом доступе появилась личная информация 100 млн человек. SSL-сертификат поможет минимизировать риски. 

Защищенный протокол передачи данных создает зашифрованное соединение и гарантирует безопасность обмена информацией. Сертификат не позволит мошенникам перехватить трафик и использовать данные незаконно, предотвращая утечку. Если вы планируете собирать ФИО пользователей, данные банковских карт и другую персональную информацию, установка SSL-сертификата — необходимый этап. Базовый SSL в REG.RU вы можете получить бесплатно на 6 месяцев

Шаг 2. Подготовить документы

Чтобы собирать персональные данные на сайте, нужно подготовить пакет документов. Вот самые основные:

  • Политика конфиденциальности. В этом документе содержатся сведения об организации, которая собирает данные, целях сбора, методах обработки и передачи. В политике необходимо указать оператора, юридический или фактический адрес компании/физического лица, список собираемых данных, сроки обработки и то, как данные уничтожают. При этом, хостинг и база данных должны располагаться на территории РФ — правило действует даже для зарубежных компаний. Если вы планируете передавать данные третьим лицам, это тоже необходимо указать в политике. 
  • Положение о защите данных. В этом документе нужно рассказать о рисках и о мерах защиты, которые вы предприняли, чтобы предотвратить утечку данных. Все меры по защите данных есть в приказе № 21 Федеральной службы по техническому и экспортному контролю. 
  • Согласие на обработку персональных данных. Уведомление о согласии на обработку данных пользователям нужно будет показывать каждый раз, когда они заполняют формы на сайте. Каждый посетитель сайта должен сам принять решение о передаче личной информации. Срок действия согласия может быть неограничен. 
  • Уведомление о сборе cookie. Вы наверняка видели подобные уведомления на сайтах — всплывающий баннер с кнопкой или надписью «Продолжая использовать сайт, вы даете согласие на обработку данных». На баннере обязательно должна быть ссылка на политику конфиденциальности. 
  • Обязательство о неразглашении данных. Этот документ не нужно публиковать на сайте, но его необходимо подписать сотрудникам компании. Это обязывает их не разглашать информацию, полученную о клиентах во время работы. 
  • Приказ о назначении ответственного за хранение и обработку персональных данных. Это тоже внутренний документ. Ответственным можно назначить юриста или сотрудника службы безопасности — здесь нет конкретных требований. 

Шаг 3. Подать уведомление в Роскомнадзор

Этот шаг обязательный не для всех компаний. Если вы обрабатываете только данные сотрудников или только на бумаге, шаг можно пропустить. Другие исключения подробно описаны в статье 22 153-ФЗ.

Подать уведомление можно на бумажном носителе по почте, через Госулуги или онлайн через форму на сайте Роскомназора. Если ответ не пришел в течение 10 рабочих дней после подачи уведомления, можно собирать данные. Ответ приходит, только если сбор и обработка будут запрещены или ограничены. 

После подачи уведомления организацию или физическое лицо внесут в реестр операторов персональных данных.

Шаг 4. Опубликовать политику и формы на сайте

Политика конфиденциальности должна находиться на каждой странице сайта — для удобства ссылку на нее размещают в подвале. 

Политику конфиденциальности обычно публикуют в подвале сайте - пример с сайта REG.RU.

Кроме того, каждая форма для сбора данных, будь то email или ФИО, должна содержать ссылку на соглашение и уведомление о согласии на обработку данных. Если вы используете cookie, об этом также нужно уведомить пользователей — удобнее всего разместить баннер, который автоматически появляется на сайте. 

Всплывающее уведомление о том, что мы в REG.RU используем файлы cookie, видят все посетители сайта.

Шаг 5. Не забывайте актуализировать информацию

Закон о персональных данных постоянно обновляется и дополняется, поэтому время от времени нужно будет актуализировать информацию и переписывать некоторые документы. Обо всех изменения необходимо уведомлять Роскомнадзор не позднее 15-го числа, следующего за месяцем, в котором произошли изменения. Иначе организации может грозить штраф. 

Уничтожение персональных данных

С 1 марта 2023 года вступили в силу изменения в законе об уничтожении персональных данных. 

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе и на материальных носителях. 

Почему удаляют персональные данные: 

  • если пользователь отзывает согласие на обработку данных;
  • если пользователь или Роскомнадзор требует уничтожить данные, потому что они неточные, устарели или были получены незаконно;
  • если данные больше не требуются.

В случае уничтожения компаниям необходимо составлять акт о ликвидации личной информации пользователей и хранить его в течение 3 лет. Акт должен содержать: 

  • наименование системы, данные из которой удалили;
  • причину и способ ликвидации данных. 

Акт поможет доказать, что данные уничтожили вовремя, и убережет от судебных разбирательств. 

⌘⌘⌘

Если у вас есть сайт с формами сбора персональных данных, вы автоматически становитесь оператором и должны соблюдать правила по сбору и обработке личной информации. За неисполнение требований компания может получить штраф до 6 млн рублей, а за повторное нарушение — до 18 млн. Даже если вы собираете лишь email для рассылок, не пренебрегайте правилами. 

А создать сайт и не упустить важных моментов проще с шаблонами REG.Site. В готовых решениях для интернет-магазинов уже предусмотрено место для политики конфиденциальности и других важных документов. 

Как запустить сеть придорожных кафе с АЗС на Севере

Запускать бизнес в регионе — значит столкнуться со слабым сервисом у поставщиков и подрядчиков, бороться за каждого квалифицированного сотрудника. Заниматься...
Read More

Собственный магазин или маркетплейс: где выгоднее продавать?

58% всех интернет-заказов в 2023 году совершили на маркетплейсах.  Популярность маркетплейсов активно растет. При этом рост количества продавцов снижается: в...
Read More

SEO для бизнеса: поисковики — тоже реклама

Что такое SEO-оптимизация, как она приносит выгоду собственному бизнесу и как ее настроить — в блоге Рег.ру
Read More

Какие показатели нужно отслеживать новому бизнесу? 10 главных метрик

Полный список финансовых показателей, которые нужно учитывать при запуске и развитии бизнеса. С формулами, комментариями и понятными примерами расчета. (далее…)
Read More

Драма Microsoft и Apple: от вражды до сотрудничества

Техногиганты всё время своего существования судились, обменивались колкостями и пытались обогнать друг друга по уровню новаторства в разработках. Наши коллеги...
Read More

Как компании меняли свой бренд из-за испорченной репутации: три кейса

В бизнесе нет страховки от ошибок — любой промах отражается на репутации. И иногда исправить ситуацию может только ребрендинг и...
Read More

Запускаем email-рассылку: как не попасть в спам при отправке писем

В статье рассказываем, почему рассылки попадают в спам, и делимся советами, как сделать так, чтобы письма всегда доставлялись до адресатов....
Read More

Ключ к успешному продвижению: что такое SMM-стратегия и как ее составить

Разберем, что такое SMM-стратегия, зачем она нужна и как эффективно использовать социальные сети для решения бизнес-задач. (далее…)
Read More

Новогодний маркетинг: лучшие приемы праздничной рекламы

Для бизнеса Новый год и Рождество — время всплеска продаж и увеличения прибыли. А способствуют этому всем знакомые персонажи: от...
Read More

Россияне предпочитают .ru вместо .com, а Дональд Трамп проиграл доменный спор за mar-a-lago.com

Рассказываем самые интересные новости доменного мира. (далее…)
Read More