Эти документы должны быть на сайте — так говорит закон

Алексей Зенин

Юрист

Какие документы нужно разместить на сайте, чтобы Роскомнадзор (или ФАС) не оштрафовал вас? С таким вопросом к нам часто обращаются клиенты.
В этой статье расскажем, какие элементы и документы должны быть на сайте, а также какие штрафы грозят вам, если не выполнить требования закона и регулирующих органов.

Аудит за 5 минут

Вы можете прямо сейчас зайти на свой сайт и проверить наличие/отсутствие этих документов. 

Обязательно для любого сайта: 

Политика оператора в отношении обработки персональных данных;

Обязательно при сборе емейлов через сайт:

Под каждой формой подписки на рассылки размещен текст или ссылка на текст согласия на обработку персональных данных;

Нужно, если вы собираете емейлы через форму регистрации:

Под формой регистрации есть незаполненный чек-бокс с согласием на получение рассылок;

Если смотрите файлы cookie:
Есть информирующий pop-up о файлах cookie (только если вы используете данные файлы).

Эти документы должны быть на сайте — так говорит закон.

Что говорит закон про Политику в отношении обработки персональных данных?

На самом деле этот документ не обязательно называть «Политика в отношении обработки персональных данных». Зачастую мы видим «Политика конфиденциальности» (видимо, на европейский манер — private policy) или, например, «Условия обработки персональных данных». Но мы стараемся придерживаться классического варианта. Главное, чтобы из названия документа было понятно, что он про обработку персональных данных.

Обязанность разработать документ и разместить его на сайте установлена частями 1 и 2 ст. 18.1. Федерального закона «О персональных данных». Ответственность за нарушение  — от 15 до 30 тысяч рублей для юридических лиц (ч. 3 ст. 13.11. КоАП). Как разработать Политику мы уже рассказывали в отдельной статье 🙂

Важный момент: Политика должна быть размещена на каждой странице, где осуществляется сбор персональных данных, в идеале нужно добавить ссылку на Политику в подвал сайта. Пользователь должен иметь возможность интуитивно найти данный документ. Если Политика спрятана, либо пользователю нужно совершить несколько переходов, чтобы ее найти, Роскомнадзор посчитает это нарушением.
Отличный пример размещения мы нашли на сайте Дисконт-центра детской одежды «Одевайка.ру». Политика размещена в подвале, а при регистрации на сайте пользователь переходит на нее прямо из формы регистрации.

Скриншот с сайта odevaika.ru/

Что говорит закон про согласие на обработку персональных данных?

Согласие субъекта персональных данных на обработку его персональных данных — это первое условие обработки, установленное п.1 ст. 6 ФЗ «О персональных данных».

Часть 1 статьи 9 ФЗ «О персональных данных» говорит нам, что согласие может быть дано в любой форме, позволяющей подтвердить факт его получения. Если вы собираете емейлы, ФИО, номера телефонов и не собираете специальные и биометрические персональные данные — письменное согласие не нужно. Тем не менее вам необходимо разместить текст согласия на сайте под формой подписки на рассылку или регистрации.

Так как часть 7 статьи 14 ФЗ «О персональных данных» устанавливает перечень информации, которую нужно донести до пользователя при сборе персональных данных, размещенный на сайте текст согласия — наиболее удобный способ своевременно предоставить эту информацию.

Например, в п.3. ч.7 ст. 14 закона сказано, что по требованию пользователя нужно донести информацию о цели обработки персональных данных. Пользователь заходит на сайт, оставляет в вашей форме персональные данные и в этот момент у него возникает вопрос о цели обработки. Как он вам его адресует? По телефону, напишет на почту, оставит заявку в форме обратной связи… Это долго для пользователя, проще предоставить ему эту информацию сразу именно в тексте согласия.
Если текста согласия на сайте нет, и пользователь не может никаким другим образом узнать, зачем вам его персональные данные, он вправе на вас пожаловаться. А за это уже установлена административная ответственность в размере от 25 до 40 тысяч рублей для юридических лиц по ч. 5 ст. 13.11. КоАП РФ.

Поэтому рекомендуем доводить всю эту информацию именно в электронной версии согласия на обработку персональных данных. Так, например, делает Гастробар «Маяк».

Что говорит закон про согласие на получение рассылок?

Для того, чтобы отправлять емейлы, смс, пуши и т.д., вам однозначно нужно получить согласие пользователя на рассылку — это основное требование провайдеров электронной почты, но есть и требование закона.

Статья 18 Федерального закона «О рекламе»  прямо говорит нам, что распространение рекламы посредством сетей электросвязи допустимо только при условии предварительного согласия получателя такой рекламы.

Если вы подписываете пользователей на рассылку через форму регистрации на сайте или форму оформления заказа, то такая форма обязательно должна содержать незаполненный чек-бокс с согласием на получение рассылок, как например на сайте Vans:

Скриншот формы регистрации на официальном сайте Vans

Если же вы собираете емейлы через форму подписки на рассылки, тогда такой чек-бокс не требуется, так как сама форма является согласием, но не забывайте про требования в части персональных данных и добавьте чек-бокс с согласием на обработку персональных данных.

Так как доказывать факт получения согласия придется вам, рекомендуем сохранять информацию о дате и времени подписки пользователя. 

За нарушение данного положения закона, штраф по части 1 ст. 14.3. КоАП РФ для юридических лиц составляет от 100 до 500 тысяч рублей.

Как сообщить об использовании файлов cookie?

Cookie — это тоже персональные данные, соответственно, об их обработке нужно уведомить, и информирующий pop-up однозначно нужен.  Ответственность за его отсутствие установлена законом как за непредоставление информации субъекту персональных данных по ст. 13.11. КоАП РФ

Но недавно наши верстальщики забили тревогу! Сказали, что пользователи либо полностью игнорируют pop-up, либо сразу его закрывают. Начали думать, поняли, что проблема в огромном и скучном тексте. Вспомните, обычно в этом pop-up пишут что-то вроде «Сайт ООО “РОМАШКА” использует файлы cookie для оптимизации работы сайта. Файлы cookie — это…» и бла-бла-бла, в голове уже шум. Решили сделать текст повеселее, а заодно спросить у Роскомнадзора, допустим ли такой вариант.

Роскомнадзор как всегда поразил вменяемостью и утвердил наш текст согласия cookie «Наш сайт использует файлы куки, чтобы все работало нормально. Про куки можно почитать тут».
Исходя из ответа Роскомнадзора, мы сделали вывод, что можно использовать даже такой текст: «Смотрим cookie. Соглашайтесь», как это сделали ребята из eLama:

Информирующий pop-up на сайте eLama

Главное и самое важное: разместите политику в отношении обработки персональных данных на сайте, которая будет содержать положения о файлах cookie, либо сделать отдельную политику cookie.

В завершение о добросовестности

При сборе персональных данных рекомендуем смотреть глазами пользователя и задавать себе вопрос «Как бы я хотел узнать о сборе моих персональных данных?» Вы можете потратить кучу времени и денег на внедрение вышеперечисленных документов и процессов, а пользователи все равно будут жаловаться, а вы получать штрафы и проверки Роскомнадзора или ФАС. 

Обычно жалуются те пользователи, которые уже на первой форме запутались в нескончаемых юридических документах. Помните о добросовестности при работе с пользователями, старайтесь доносить до них актуальную, правдивую информацию в понятной форме, чтобы пользователь давал вам все согласия  «своей волей и в своем интересе…сознательно» — так написано в законе. Наша задача —  реализовать это на практике 🙂

Согласен

Мы используем файлы cookie для записи информации о сеансе, например, прошлой активности на сайте, чтобы обеспечить лучший сервис, когда посетители возвращаются на наш сайт или настраивают содержимое веб-страницы на основе типа браузера посетителей. Используя веб-сайт, вы выражаете свое согласие с нашей политикой cookie. Вы можете изменить настройки файла cookie в своем веб-браузере.