Что учесть при переводе бизнеса в Интернет?

Несколько важных вводных пояснений

Персональные данные – это любая информация о человеке: ФИО, адрес, паспортные данные, e-mail, телефон, дата рождения и т.д.

Оператор персональных данных – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются «обработкой»). Например: собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает.

Субъект персональных данных – человек, чьи персональные данные обрабатывает оператор.

Хостинг – услуга по размещению на стороннем сервере информации, из которой состоит сайт.

(В прошлом году вступили в силу Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. В статье «Операторов обработки персональных данных начнут проверять по новым правилам» читайте о том, кого проверяют, как узнать о проверке, как она будет проходить и как к ней подготовиться.)

Шаг № 1. Проверить хостинг-провайдера сайта

Нужно выбрать хостинг, который будет соответствовать законодательным требованиям. По закону сервер хостинга, на котором будет храниться информация сайта (персональные данные клиентов), должен находиться на территории России¹. И хотя большинство хостинг-провайдеров соблюдают это правило, особенно крупные, – нарушения встречаются до сих пор.

Как обезопасить себя от рисков? Направьте письменный запрос в адрес хостинг-провайдера с вопросом о том, где находятся сервера, на которых будет размещен ваш сайт. Лучше сделать это даже в том случае, если ваш сайт уже работает.

Ответственность за нарушение: штраф – от 100 до 200 тыс. руб. для ИП, от 1 до 6 млн руб. для компании². За повторное нарушение грозит штраф – от 500 до 800 тыс. руб. для ИП, от 6 до 18 млн руб. для компании³.

(В статье «Как оператору исполнить обязанность по размещению баз с персональными данными на территории РФ» читайте о том, как выбрать стратегию выполнения требований закона к обработке персональных данных и оценить риски ее применения. А о том, какие потери могут понести предприниматели из-за несоблюдения требований Регламента о защите персональных данных и как этого избежать, читайте в статье «Российские компании подпали под действие европейского законодательства: каковы последствия?»)

Шаг № 2. Уведомить Роскомнадзор

«Я не являюсь оператором персональных данных», – распространенное заблуждение предпринимателей. Помните: как только человек передал вам свои персональные данные, вы автоматически становитесь оператором.

Но, перед тем как вы станете оператором и начнете осуществлять какие-либо действия с персональными данными, вы должны уведомить об этом Роскомнадзор⁴. Сделать это можно через онлайн-форму на сайте ведомства.

Неуведомление Роскомнадзора – еще одна распространенная ошибка предпринимателей. Допускают ее из-за исключений, перечисленных в законе. Например, не требуется направлять уведомление, если оператор обрабатывает персональные данные своих работников или лиц, с которыми заключен договор на оказание услуг, выполнение работ, продажу товара и т.д.⁵ Однако эти исключения не применяются к случаям ведения бизнеса онлайн.

Обратите внимание: данные посетителей сайта, такие как IP-адрес и данные геолокации, – это тоже персональные данные.

Рассмотрим такой пример: компания занимается продажей товаров онлайн и хранит у себя данные своих работников и покупателей. Но уведомление об этом в Роскомнадзор направлено не было из-за уверенности, что компания подпадает под вышеуказанные исключения. При проверке Роскомнадзор обнаруживает сбор персональных данных не только покупателей, но и лиц, которые создают на сайте личный кабинет, но покупок не совершают. Нарушение очевидно.

Ответственность за нарушение: штраф – от 300 до 500 руб. для ИП, от 3 до 5 тыс. руб. для компании⁶.

Шаг № 3. Разместить на сайте документы

1. Согласие на обработку персональных данных

Этот документ позволяет получить важную информацию⁷:

• сведения об операторе (ОГРН, ИНН, адрес);
• цель, для которой он собирает персональные данные;
• перечень персональных данных, которые могут быть переданы оператору;
• перечень действий, которые оператор может совершать с персональными данными, и т.д.

Где разместить согласие?

Под каждой формой, где посетитель сайта оставляет свои персональные данные (форма обратной связи, форма регистрации, форма заказа и т.д.).

Здесь необходимо разместить текст примерно следующего содержания: «Регистрируясь (нажимая на кнопку «Купить», нажимая на кнопку «Отправить» и т.д.), вы даете согласие на обработку персональных данных».

Другой вариант текста: «Даю согласие на обработку персональных данных». Перед ним должен быть чекбокс (☐), в который пользователь сможет поставить галочку (крестик).

В обоих случаях тут же нужно дать ссылку на страницу с текстом согласия.

Важно: независимо от того, какой вариант вы будете использовать, у вас должна быть техническая возможность подтвердить получение согласия. Данные о каждом согласии должны сохраняться.

Ответственность за нарушение: штраф – от 5 до 10 тыс. руб. для ИП, от 30 до 50 тыс. руб. для компании⁸.

2. Политика обработки персональных данных

Оператор должен размещать на сайте документы, определяющие его политику в отношении работы с персональными данными. В них указывается информация о том, какие требования к защите персональных данных он соблюдает⁹.

При подготовке политики можно воспользоваться рекомендациями, опубликованными на сайте Роскомнадзора.

Важно: не стоит думать, что скачивание проекта такого документа из Интернета гарантированно решит ваши проблемы. Политика должна учитывать особенности бизнеса компании. В противном случае можно взять на себя лишнее или придется уплачивать штрафы за несоблюдение требований закона.

Где разместить?

Ссылка на политику обычно размещается в нижней части сайта.

Ответственность за нарушение: штраф – от 5 до 10 тыс. руб. для ИП, от 15 до 30 тыс. руб. для компании¹⁰.

(В статье «Как реагировать на утечку персональных данных клиентов» читайте о том, как своевременное принятие эффективных мер при нарушении конфиденциальности данных клиентов компании позволит снизить их отток и уменьшить размеры возмещаемого ущерба и санкций.)

3. Публичная оферта

Публичная оферта – это предложение продавца (владельца сайта) заключить договор купли-продажи с каждым, кто примет условия его предложения (оферты). Этот документ нужен только компаниям, которые продают через сайт товары. В оферте указываются общие условия продажи, оплаты и доставки товара.

Такой документ иногда называют по-другому, например «Условия продажи», «Правила продажи и доставки» и т.д.

Где разместить?

Под формой заказа товара, где покупатель оставляет свои персональные данные.

Здесь нужно разместить текст примерно следующего содержания: «Нажимая на кнопку «Купить» (нажимая на кнопку «Оформить» и т.п.), вы подтверждаете, что ознакомлены и согласны с публичной офертой (условиями продажи или правилами продажи и доставки)».

Другой вариант текста: «Я прочитал и согласен с публичной офертой (условиями продажи или правилами продажи и доставки)». Перед ним должен быть чекбокс (☐), в который пользователь сможет поставить галочку (крестик).

В обоих случаях нужно дать ссылку на страницу с текстом публичной оферты.

Шаг № 4. Сделать всплывающее окно для файлов куки

На сайте под каждой формой обратной связи вы разместили ссылку на согласие на обработку персональных данных. Каждый, кто будет заполнять форму, автоматически соглашается на обработку данных.

А теперь представьте, что на сайт заходит пользователь, просматривает его, а затем уходит, не заполняя никаких форм. Но в этом случае он оставляет свои персональные данные: это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта.

Владелец сайта (оператор) не имеет права обрабатывать куки, не получив согласия. Чтобы его получить, понадобится всплывающее окно, которое предупреждает пользователя о том, что через сайт собираются персональные данные, и предлагает закрыть сайт, если пользователь не хочет их оставлять.

Где разместить?

Всплывающее окно можно разместить в любой части экрана. Текст всплывающего окна может выглядеть примерно так: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Ответственность за нарушение: штраф – от 5 до 10 тыс. руб. для ИП, от 30 до 50 тыс. руб. для компании¹¹.

В своей практике мы не встречали случаев привлечения оператора к ответственности за отсутствие вплывающего окна. Однако это не говорит о том, что такая ответственность невозможна.

Шаг № 5. Правильно рассылать рекламные материалы

Многие компании допускают нарушение требований закона при рассылке рекламных материалов через sms, мессенджеры, email.

Три распространенные ситуации:

• оператор рассылает рекламные материалы без согласия пользователя на их направление и на обработку персональных данных в рекламных целях. Именно в рекламных целях – это должно быть указано в тексте согласия на обработку персональных данных;
• оператор делает рассылку рекламы без согласия пользователя на обработку персональных данных в рекламных целях, но получает согласие на направление рекламы;
• оператор делает рекламную рассылку, получив согласие на обработку персональных данных в рекламных целях, но без согласия на направление рекламы.

Как избежать нарушения?

• указать рекламную цель в качестве одной из целей обработки персональных данных в тексте согласия на такую обработку;
• под каждой формой обратной связи разместить текст примерно следующего содержания: «Даю согласие на получение рекламных материалов и информации путем направления указанных материалов и информации на указанные мной номер телефона, email». Перед текстом нужно поместить чекбокс (☐), в который пользователь поставит галочку (крестик).

Ответственность за нарушение: за отсутствие согласия на обработку персональных данных в рекламных целях – штраф от 5 до 10 тыс. руб. для ИП, от 30 до 50 тыс. руб. для компании¹²; за отсутствие согласия на получение рекламных материалов – штраф от 4 до 20 тыс. руб. для ИП, от 100 до 500 тыс. руб. для компании.

(Подробнее о том, какие ошибки совершают предприниматели при обработке персональных данных клиентов в рекламных целях и как их избежать, читайте в статье «Клиент жалуется на рекламную рассылку – предприниматель платит».)