Скопировать ссылку
2017 год добавил головной боли всем, кто работает с личными данными. Изменения коснулись и нас — небольшой питерской компании, доставляющей готовые ужины. Расскажу, как за две недели мы застраховались от кары государства. Статья полезна тем, кто открывает бизнес или раньше не интересовался темой.
Оценили внезапное российское законодательство
Закон №152-ФЗ «О персональных данных» был принят в 2006 году. Но его реализацией озаботились лишь через 11 лет, в июле 2017-го. Тогда вступили в силу поправки к закону об административных правонарушениях, связанных с персданными.
Сначала предприниматели отмахивались: мол, добавлять на сайт какие-то галочки, составлять какие-то политики, не до того. Потом узнавали о реальных штрафах и начинали чесать затылок.
Я почитал 152-ФЗ и комментарии юристов, прикинул одно к одному — и понял вот что. Если у вас есть сайт, а на нем прикручена хотя бы регистрация с вводом логина и электронной почты, вы уже оператор персональных данных. Государство считает, что даже гостевая книга на «Народ.ру» должна соответствовать требованиям закона. Не говоря уже о доставке, которая принимает заказы в онлайне.
Штрафы за нарушения такие, что дешевле привести дела в порядок. Если юрлицо попадет в лапы Роскомнадзору, оштрафуют на 75 тысяч рублей. А чтобы дотянуть до соответствия закону, достаточно добавить на сайт дополнительную страницу да пару галочек. Затраты — несколько тысяч рублей.
В нашей компании принципиальное решение принимали так:
— Глеб Александрыч, нам нужно создать политику по данным и сайт доработать.
— Друзья, она не убежит никуда. Давайте пока отложим, а потом через какое-то время займемся, когда все осознаем.
— Глеб Александрыч, ну ты штраф на фирму в сто тысяч хочешь?
Конечно же, не хочет. Добро получено, и почетную обязанность выполнить проект поручили мне — главному маркетологу компании. Кому же еще, разумеется.
Подглядели политику защиты персданных
Компания, собирающая персональные данные, должна упаковать сведения об этом в специальный документ — «Политику обработки персональных данных». Предполагается, что перед вводом данных человек читает политику и явно фиксирует согласие с ней.
Поэтому первое — написать грамотную политику. Роскомнадзор даже составил официальные рекомендации, но без черного пояса по канцеляриту разобраться в них тяжело. Поэтому писать с нуля я ничего не стал и решил, что пойду другим путем.
Зарылся в аналоги и посмотрел, как сделали прямые конкуренты и крупные ритейлеры электроники. Логика простая: что бы ни продавал сайт, механика примерно одинаковая. Чужую политику можно взять за образец, если собираешь похожие типы данных: ФИО, телефон, место жительства и так далее.
Я решил, что при составлении политики доверия заслуживает крупный бизнес. У него обычно есть деньги, и на него выгодно подавать в суд. Пусть даже по пустячному поводу. Поэтому большие компании оформляют стандарты так, что комар носа не подточит.
Поискав несколько часов, понял: по сути все политики одинаковы. Чтобы получить хороший и понятный результат, нужно лишь отсеять самые монструозные примеры с десятками пунктов и подпунктов. В итоге мы скрестили политики магазина электроники и доставки цветов, переписав в человеческом виде без канцелярщины.
Наш вариант может показаться куцым, но в нем есть все нужное. Работали с этой политикой два года без проблем и замечаний Роскомнадзора
Минимум, необходимый для соответствия закону — расписать, какие именно данные собираешь и как используешь. Чтобы пользователь понял, что вы не будете после регистрации звонить и дышать в трубку. Или что будете, если это входит в планы.
Также в тексте обязательно упомянуть, как запросить удаление данных (в нашем случае — написать на специальный емейл).
Когда утверждали политику внутри компании, немало копий сломали вокруг передачи данных. Мы рассылаем клиентам емейлы и смс, для этого пользуемся специальными сервисами. Еще dadata.ru чистит для нас ФИО от опечаток и находит пол клиентов. Коллеги считали, что об этом нужно упомянуть. Я потратил какое-то время, чтобы собрать аргументы против раздувания политики.
Во-первых, мы и так сообщаем: будем использовать данные, чтобы уведомлять об акциях и конкурсах. Клиент видит, все в порядке. Во-вторых, нужно разделять контроллера и процессоров данных.
- Контроллер собирает и хранит персданные пользователя, обладает всей полнотой информации;
- Процессоры занимаются только вторичной обработкой, получая от контроллера какие-то емейлы и какие-то ФИО в вакууме. Это даже не персональные данные.
Нам как контроллеру достаточно предупредить, что будем использовать данные клиентов для уведомлений. Политику я составлял часа четыре: пара часов на поиск и компиляцию правил, еще час на рерайт.
Сделали страницу на сайте для политики обработки персданных
Составленный текст поместили на отдельную страницу. Обычно ее называют «Политика конфиденциальности» (международный стандарт — Privacy policy). Ну, и мы оригинальничать не стали.
Вкладываться в дизайн страницы с политикой нет особого смысла. Документ — чистая формальность, на него вряд ли вообще кто-то будет смотреть. За простую текстовую страницу в стиле сайта без специального оформления фрилансер возьмет где-то 1 000 рублей.
На нашем сайте уже был формат текстовой страницы, так что новый макет не понадобился. Сэкономили.
Добавили на форму заказа флажок для согласия с политикой
Закон установил, что собирать и использовать данные можно только с согласия пользователя. Значит, клиент должен активно и осознанно принять политику обработки персданных.
Поэтому в форму заказа, где клиент вводит личные данные, мы добавили пункт «Я согласен с политикой конфиденциальности». Еще можно написать, что сам факт заказа предполагает согласие, но тут есть риски — сейчас расскажу.
На слова «обработку своих персональных данных» ставят ссылку, чтобы пользователь тут же прочитал политику
Когда рассылаете пользователям маркетинговые письма или смс, под это дело лучше предусмотреть отдельные флажки согласия.
Если упаковать все в политику, проблем не оберешься. Неприятности начнутся, когда клиент получит нежданное письмо или смс. Казалось бы, согласие с политикой вслепую — проблема пользователя. Но нет, в итоге достанется отправителю.
Мы попали в такой капкан, когда включили в емейл-рассылку согласившихся с политикой клиентов. После первого же письма сервис рассылок заблокировал аккаунт компании и открыл разбирательство. Все потому, что люди не ожидали письма: многие нажали «Спам» или «Отписаться», из-за чего сервис рассылки принял нас за жуликов. Тогда чуть не потеряли $250 предоплаты.
Мой совет: добавьте в форму регистрации или оформления заказа флажки для будущих рассылок, звонков, других способов коммуникации. Расскажите, что и как будете рассылать. У нас это 2-3 емейла и одна смс в неделю, раз в пару месяцев — сообщение в Viber (правда, от него уже отказались — не оправдал ожиданий).
Назначили ответственного за безопасность персональных данных
С политикой разобрались, но по закону кое-чего пока не хватает — ответственного. А вон он, ответственный, сидит за компьютером:
— Леха!
— Ну?
— Тыжпрограммист? Будешь еще и спецом по защите данных.
Леха жует сухарь и не понимает, какой груз ответственности лег на его плечи. Но если серьезно, никакого груза и нет.
Ответственность за личные данные не требует от ответственного никаких телодвижений. Такой парадокс. Штраф в любом случае получает компания. Как я понял, логическая цепочка с точки зрения законотворцев такая: фирма назначает ответственного → он следит → если плохо следит, штрафуем фирму → фирма разбирается с ответственным. Поэтому должность совсем не расстрельная.
Чтобы назначить ответственного, составили в свободной форме и подписали у руководителя приказ.
Леха — парень добродушный, но в каких-то компаниях сотрудники захотят доплату за новые обязанности. На случай переговоров полезно помнить, что обязанности очень условные
После назначения ответственного закон считает, что все — данные пользователей под надежным амбарным замком!
Позаботились о хостинге в России
Уже пару лет из каждого утюга говорят, что личные данные россиян непременно нужно хранить на территории России. Иначе — штраф и другие санкции, вплоть до запрета деятельности.
Поэтому хорошо бы позаботиться, чтобы хостинг с базой данных находился в России. Правда, есть и другие варианты:
- Хранить в РФ основную часть базы, остальное — за рубежом;
- Хранить в России копию базы для вида, а реально пользоваться данными с иностранного сервера.
По факту c дислокацией базы можно не заморачиваться: никто ее не проверяет, если вы не Facebook и не Twitter. Наш сервер всегда находился на территории РФ, так что ничего менять не пришлось.
Подвели итоги
На все дела, если с бюрократией, ушло недели две. По деньгам:
- Моя зарплата за четыре часа составления политики;
- Зарплата разработчика за страницу с политикой и флажки на форме (как говорил, фрилансер взял бы где-то 1 000 рублей).
Вот что мы сделали, чтобы соблюсти 152-ФЗ. Создали политику обработки персональных данных, выложили на сайт. Причем не стали заморачиваться с юридическими формулировками, от которых рядовой клиент взвоет. Просто взяли политики коллег из крупных компаний и «облегчили» до максимума.
Можно еще уведомить государство, что являешься оператором обработки персданных. Мы этого делать не стали: я изучил практику — никого никогда не наказывали за отсутствующее уведомление. Но если хочется кристальной чистоты, заявление подают на сайте Роскомнадзора.
Явным образом предупредили на сайте, что собираем данные пользователей. А на страницах регистрации и оформления заказа добавили галочки для согласия с политикой. Рядом перечислили каналы, по которым контактируем с клиентами: емейл- и смс-рассылки, Viber. Это нужно, чтобы каждый понимал, под чем подписывается. И отказался от ненужной коммуникации.
Объяснили, как удалить свои данные из нашей базы. Для этого в политике обработки персданных и в каждом письме рассылки указали специальный электронный адрес. Также добавили этот адрес на страницу контактов. Хочешь удалить свои данные — пиши.
Отдельно договорились, что ящик для просьб проверяем каждый день. Иначе получится распространенная история, когда формально адрес есть, вот только реакции на письма никакой.
Назначили ответственного за обработку персданных. Чистая формальность — достаточно приказа за подписью директора. Важно объяснить выбранному сотруднику, что «ответственный» ни за что не отвечает и никакой ответственности не несет.
Во время всей этой истории я четко уяснил: личные данные пользователей по закону являются их собственностью. Без разрешения нельзя ничего ни собирать, ни использовать. Но для бизнеса, по большому счету, ничего не поменялось. Просто пользователь отмечает на пару галочек больше и легко может отключиться ото всех каналов взаимодействия.
В остальном мы используем тот же арсенал инструментов для маркетинга, веб- и мобайл-аналитики:
- Для имейл-рассылок — GetResponse;
- Для рассылок в Viber — SendPulse;
- Для аналитики трафика на сайте — «Яндекс.Метрика» и Google Analytics;
- Для аналитики приложения — AppMetrica и AppsFlyer;
- Для аналитики в соцсети — Facebook Analytics.
Таргетинг по интересам никто не отменяет. Контекстной рекламе вообще мало дела до всех этих движений. Так что делаем политику, уведомляем пользователя, получаем согласие и работаем спокойно.
