Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Сергей Перевозчиков
Право

Как теперь собирать персональные данные через сайт и другие каналы, чтобы не попасть на штрафы от 100 тысяч до 15 млн

Меньше чем через неделю вступит в силу №420-ФЗ, и штрафы за ошибки в работе с персданными вырастут в десятки раз. Вместе с юристами из «Башук/Чичканов» разбираемся, как подготовиться ИП, самозанятым и организациям.

Как теперь собирать персональные данные через сайт и другие каналы, чтобы не попасть на штрафы от 100 тысяч до 15 млн
Сергей Перевозчиков
Редактор в b2b, предприниматель. Телеграм-канал про редактуру

У меня полно клиентов с сайтами, да и сам я владею несколькими интернет-ресурсами. Решил разобраться сам и поделиться с вами, как сейчас всё будет.

Материал написан при поддержке юристов, но всё равно может содержать неточности. Буду признателен, если поделитесь этим в комментариях.

Что происходит

С 30 мая вырастут штрафы за нарушения правил обработки персональных данных. Персональными считаются данные, по которым можно идентифицировать человека: ФИО, номера телефонов, электронные почты.

Новые поправки коснутся всех, у кого есть сайт или CRM-система. Если вы собираете данные, это про вас.

Видимо, это связано с массовыми утечками данных за последние пару лет. К сожалению, Россия — лидер по кол-ву утекших данных.

Какие штрафы и за что

Штрафовать будут как сотрудников, так и ИП с организациями. Про первых говорить не будем, только про вторых:

От 100 до 300 тысяч — за неуведомление РКН о начале обработки персональных данных. Да, сейчас необходимо уведомлять власти о том, что ваш сайт собирает и обрабатывает данные пользователей.

От 100 до 300 тысяч — за обработку данных без согласия пользователя, а также за сбор избыточных данных. Избыточными считаются данные, которые не соответствуют целям обработки. Например, если для договора вам достаточно паспортных данных, но вы зачем-то запрашиваете СНИЛС — это нарушение.

От 1 до 15 млн — за утечку персональных данных. Сумма штрафа зависит от числа физлиц в базе: если утекли данные от 1 до 10 тысяч человек, юрлица заплатят от 3 до 5 млн. Утечка 100 тысяч и более грозит максимальным штрафом в 15 млн.

Утечкой считается ситуация, когда персональные данные становятся доступными тем, кто не имеет права их просматривать. Неважно, была ли утечка намеренной, потеряли файлы или пострадали из-за хакерской атаки — штраф будет в любом случае.

Почему это грозит ± всем

Изменения затронут практически каждый бизнес — персональные данные сегодня собирают все. И очевидно, что раз штрафы выросли кратно, то и штрафовать будут чаще. Опыт подсказывает, что просто так их не повышают.

Причем тут полно нюансов и помимо составления документов или изменений на сайте. Например, нельзя использовать Гугл-формы для опросов: с точки зрения закона, это трансграничная передача данных в недружественную страну. Но тогда возникает вопрос, можно ли передавать данные через мессенджеры. Однозначного ответа тут нет, будем ждать разъяснений от РКН.

Что нужно добавить на сайт

Действия в основном касаются сайта. Если вы работаете без него, об этом ниже.

Политику обработки персональных данных, она же Политика конфиденциальности. Документ вроде бы всем известный, но есть нюансы, которые часто не учитывают:

  • Обязательно укажите email для отзыва согласия, сроки хранения и уничтожения данных и конкретные цели обработки.
  • Для каждой цели обработки должны быть свои категории данных: если вы только рассылаете уведомления на email, просить у пользователя телефон уже нельзя.
  • Данные из договора могут не совпадать с данными для обратной связи. Проверяйте внимательно, что и где указываете.

Согласие на обработку персональных данных. Это не Политика, а другой отдельный документ. По сути, это письменное подтверждение того, что человек готов предоставить свои данные.

Важный нюанс по этим двум документам: если на сайте вы запрашиваете только телефон, а другие данные получаете из переписки с пользователем, то это всё равно нужно указать в Перечне обрабатываемых данных.

Чекбоксы (галочки) для Политики и Согласия — во все формы. Простая подпись под кнопкой «Нажимая кнопку, вы соглашаетесь с Политикой» уже не прокатит. Галочки не должны быть проставлены по умолчанию, это должен сделать человек.

Уведомление об использовании cookies. Cookies — это данные о действиях пользователя на сайте, которые хранятся в его браузере. Это могут быть персональные настройки (язык, тема, регион), данные для входа, идентификаторы товаров в корзине, географические данные и пр.

Согласие на получение рекламных рассылок, если вы их используете. Например, если человек оставляет и будет получать письма об акциях и спецпредложениях, Согласие однозначно нужно.

Про безопасность данных

Бизнесу теперь придется еще сильнее заморочиться с защитой базы пользователей. Очевидно, лучше вложить несколько миллионов в безопасность, чем заплатить штраф, а потом всё равно потратиться на защиту.

Про мессенджеры и CRM-системы

Если вы храните данные пользователей в CRM-системе или мессенджерах вместо или кроме сайта, вам также нужно иметь всё те же Политику и Согласие, а также подтверждение от клиента, что он с ними согласен (прочтет он их или нет, это уже его забота).

В мессенджерах можно разместить документы по ссылкам и указывать их на видном месте (например, в закрепе канала) либо отправлять пользователю вручную.

Это похоже на то, как клиенты подписывают бумаги в офлайне. Вы могли видеть такое в медцентрах, где вместе с договором вам на подпись дают Согласие на врачебное вмешательство.

Как уведомить РКН

Когда вы составили необходимые документы и внесли изменения на сайт, необходимо уведомить власти о том, что вы начали собирать и обрабатывать персданные. Это делается через специальную форму на сайте РКН.

Недавно клиент заполнял такую форму — пожаловался, что не отправляется, выдает ошибку.

Популярные вопросы

— У меня маленький сайт. До меня тоже доберутся?

Однозначно. У РКН есть бот, который проверяет сайты на наличие документов и на факт подачи компанией уведомления в РКН на обработку данных. Так что это лишь вопрос времени.

— Можно ли взять шаблонные Политику и Согласие?

Можно-то можно, но многие документы содержат критические ошибки. Лучше не рисковать и заплатить юристам — это выгоднее, чем платить до 300 тысяч штрафа.

— Так а можно же накидать документы в ChatGPT?

Если ваш уровень экспертизы позволяет отличить правильные положения от галлюцинаций нейросети — без вопросов.

Только вот если вы настолько хорошо разбираетесь в этих вопросах, что умеете находить и править юридические ошибки, то вы скорее всего можете составить эти документы и без GPT. А если не разбираетесь, то GPT вам не поможет. Ответственность за правильность «накиданного» он на себя не возьмет.

— Могу ли я внести изменения после 30 мая?

Можете, но опять же нет гарантий, что не прилетит штраф. Чем раньше, тем лучше.

Если нужна помощь с выполнением требований

Я и юристы из «Башук/Чичканов» можем помочь в двух вещах:

1. Проверить риски и избежать штрафов. Опытные юристы посмотрят сайт и скажут, что нужно скорректировать, а если нужно — составят документы. Запишитесь на бесплатную проверку через Яндекс-форму. Учитывая суммы штрафов, это может сэкономить сотни тысяч и миллионы рублей.

2. Если сайт на Тильде — внести изменения. Я много лет делаю сайты на Тильде вместе с дизайнером и хорошо знаю эту платформу. Пока делают документы, я подготовлю изменения на сайте и их можно будет опубликовать в один клик. Напишите мне в Телеграм.

Пишите любые вопросы про новый закон, постараемся ответить вместе с Алексеем.

22
12
3
1
107 комментариев