Продолжаем рассказывать про 152-ФЗ и изменения, которые нас ждут. Сегодня поговорим про оформление сайта и что нужно на нем сделать, чтобы соответствовать закону.
1. Выявляем зарубежные сервисы
Начните с того, что проверьте сайт на наличие иностранных сервисов. Если у вас до сих пор стоит Google.Аналитика, удаляйте прямо сейчас. Если стоит Google.Tag.Manager тоже самое - удаляйте. В общем, любое иностранное ПО без локализации в РФ, к сожалению, сносим.
Google Вебмастер не относится к сервису по обработке ПД.
Google Вебмастер не относится к сервису по обработке ПД.
Важно! РКН не запрещает трансграничную передачу данных. Но с 30.05.2025 нужно показать локализацию серверов в РФ. Многие сервисы ее не имеют. Поэтому удаляйте - не рискуйте.
2. Проводим аудит форм на сайте
Выделяем время и проверяем все формы на сайте. Лучше подключить программиста или маркетолога. Начинаем с того, что проверяем формы на избыточность данных. Не спрашивайте у человека адрес, если у вас форма для обратного звонка.
Далее смотрим, что бы в форме был чек-бокс для согласия человека с теми целями, которые вы указали в Политике при использовании полученных ПД (персональных данных). Если раньше, мы могли написать: "Нажимая кнопку "Отправить" вы соглашаетесь с настоящей Политикой конфиденциальности", то сейчас так не пойдет.
Далее смотрим, что бы в форме был чек-бокс для согласия человека с теми целями, которые вы указали в Политике при использовании полученных ПД (персональных данных). Если раньше, мы могли написать: "Нажимая кнопку "Отправить" вы соглашаетесь с настоящей Политикой конфиденциальности", то сейчас так не пойдет.
Ключевой и принципиальный момент - пользователь должен осуществить действие самостоятельно, т.е. это его добрая воля поставить галочку.
Неправильно
Правильно
Вопрос в том, сколько чек-боксов указывать? Например, вы собираете метрические данные, собираете базу клиентов для рассылки, вам нужны данные для оформления заказа и т.д. Если соблюдать закон, то нужно ставить 100500 чек-боксов. Оптимально, если сделать галочку на "Политику", "Согласие" и отдельно для рекламных активностей. Но тут встает вопрос - как эти данные (в случае, если пользователь не согласился на сбор этих данных) исключить на уровне Я.Метрики или Я.Директа, например? Мы пока изучаем этот момент.
Пример оформления согласия на обработку аналитической информации
3. Изучаем контент сайта
Проводим аудит материалов, которые есть на сайте. Если у вас есть фотографии сотрудников, врачей, учителей, клиентов с подписью имени, то у вас должны быть согласия со всех этих людей. Соберите их и положите в укромное место.
Важно! Не путайте "Согласие на распространение персональных данных" и обычное "Согласие на обработку персональных данных". Посмотреть шаблон можно на сайте РКН
Если вы размещаете информацию о своих сотрудниках, клиентах и т.д., то в подвале сайта сквозным блоком на всех страницах пишите: Персональные данные, опубликованные на сайте, размещены с согласия субъектов персональных данных. Условия и запреты не установлены.
Почему не нужно брать согласия с людей на фотографиях? Потому что это не персональные данные. По фотографии без подписи нельзя идентифицировать человека. Поставили ФИО - все перешли в разряд ПД.
4. Добавляем Политику конфиденциальности и Согласия на обработку ПД
Если у вас нет этих документов, они устарели или чего-то не хватает - садимся и делаем.
Если у вас есть трансграничная передача данных делаем отдельное согласие.
Если хотите размещать фото клиентов делаем отдельное согласие.
И чек-боксы ставим на них.
Мы готовим информацию по документам, но в "Политике" точно нужно прописать цели обработки, как храните, какие сервисы используете, как уничтожаете. Согласия делаем по форме РКН.
Если у вас есть трансграничная передача данных делаем отдельное согласие.
Если хотите размещать фото клиентов делаем отдельное согласие.
И чек-боксы ставим на них.
Мы готовим информацию по документам, но в "Политике" точно нужно прописать цели обработки, как храните, какие сервисы используете, как уничтожаете. Согласия делаем по форме РКН.
5. Выводим информацию про обработку файлов cookies (куки)
Обязательно делаем уведомление про куки. Тут тоже есть вопросы. По закону пользователь должен принять все, выбрать или отказаться от куки. Причем если он отказывается, то сайт должен продолжить свою работу - вы не можете человека оградить от информации. Чтобы так сложно не делать, можно дать ссылку на то, как настраивать куки в браузере.
Людей это, конечно, немного накаляет, поэтому постарайтесь сделать это окошко креативным, но с соблюдением закона. Формулировки про обработку файлов куки может быть разной, в ней главное учесть для чего вы это делаете и что это не страшно. Когда все это утихнет, мы сделаем подборку формулировок для этого окошка.
Людей это, конечно, немного накаляет, поэтому постарайтесь сделать это окошко креативным, но с соблюдением закона. Формулировки про обработку файлов куки может быть разной, в ней главное учесть для чего вы это делаете и что это не страшно. Когда все это утихнет, мы сделаем подборку формулировок для этого окошка.
Технические аудиты: нужно ли проводить
РКН пока в рекомендательном характере просит проводить технические аудиты на предмет соответствия 152-ФЗ. Но лучше взять такую работу за обязательную практику. Пусть у вас будет на руках результаты обследования, чтобы к вам не было вопросов.
Если вам нужен аудит сайта, технические правки или помощь по подготовке к исполнению 152-ФЗ, свяжитесь с нами 8-800-201-67-87 или напишите на почту office@seversait.ru
