На сайте я запланировал расположить в конце форму для сбора заявок от потенциальных клиентов. Я предполагал, что это удобно – заинтересовавшийся ученик может указать сразу кто он, как с ним связаться и отправить заявку. Со стороны учителя также удобно – все заявки формируются и приходят на почту.
Но оказалось, что с таким сбором заявок все не так просто. Такая вроде бы незначительная никому не примечательная форма сбора информации от потенциальных клиентов на сайте подпадает под термин «сбор персональных данных» и отдельно регулируется законом.
Разобрался в этой теме подробнее и поделюсь с вами.
Персональные данные
Если ты владелец ресурса и собираешь от посетителей какие-нибудь данные, например, имена, телефоны, почты, то ты собираешь персональные данные посетителей. А обработка персональных данных у нас регулируется на законодательном уровне.
К персональным данным относится всё, что помогает указать на конкретного человека. Собираешь ли ты только имя и телефон, либо только телефон, либо что-то другое, что может описать конкретного человека – не важно что – это все персональные данные.
При посещении сайтов сайты сохраняют в браузере посетителей специальные технические файлы, их называют куки-файлы. Также они могут их читать. Такие файлы помогают составлять профайл пользователя (хоть и не известно кто пользователь), чем интересуется, какие сайты посещает, и так далее. Например, с каких страниц пользователь пришёл, какие категории товаров смотрел. Счётчики аналитики, размещённые на сайтах, сохраняют в каждом браузере свои куки-файлы, которые не содержат персональную информацию.
Но такие куки-файлы расцениваются законом как персональные данные.
Что делать при работе с персональными данными.
Если ты собираешь персональные данные, то на тебя накладывается ответственность правильного с ними обращения.
Тот, кто данные собирает – является оператором персональных данных (это вы, владелец сайта) и у вас есть обязанности:
- сделать документ «Политика конфиденциальности» и разместить его на сайте, чтобы он был доступен всегда по одному адресу
- уведомить Роскомнадзор, что вы являетесь оператором персональных данных до того, как вы начали их собирать
- следить за безопасностью персональных данных, которые вы собираете
- удалять по запросу посетителей
- отвечать на запросы органов и клиентов в течении 10 дней
- не отправлять персональные данные за границу третьим лицам
- для юриков нельзя хранить персональные данные за границей. Вообще. (Привет, SAP).
Политика конфиденциальности
Разработка документа Политики конфиденциальности дело не сложное, есть конструкторы, которые помогают этот документ создать. У Тильды тоже такой есть. Давайте почитаем конечный формируемый документ.
Если отбросить всю юридическую шелуху, то там в нём будет написано:
Тильда – это обработчик персональных данных. Админ сайта - это оператор персональных данных. Пользователь передаёт свои данные админу сайта, разработанного на Тильде. Вы это разрешаете. Тильда как обработчик обязуется их ответственно хранить и защищать, но если что, то вся ответственность на админе, к нам (Тильде) никаких претензий.
Политика конфиденциальности раньше для меня была каким-то непонятным документом. Который у всех есть, но не понятно зачем на него дают ссылку.
Теперь стало ясно. Политика конфиденциальности – это документ, в котором описывается какие персональные данные сайт собирает и для чего. Сколько их хранит и куда писать, чтобы их удалить.
Так-то задумка интересная, но если почитать такие политики на разных сайтах, то там будет написано примерно следующее:
Мы собираем ваши данные, которые нам нужны для работы сайта. Храним из столько, сколько нужно. Если хотите, чтобы мы удалили у себя ваши данные, то пишите сюда, мы это сделаем. Совсем и сразу удалить ваши данные мы не можем, потому что это невозможно, но уберём их из активных и доступных. Они ещё какие-то время побудут в наших базах, а потом удалятся навсегда. Так нам надо. Несогласны? Тогда не пользуйтесь нашим сайтом, такие у нас тут правила.
Передача третьим лицам
В документе надо указать в том числе передаются ли данные кому-то еще.
Но если почитать опять же реальные тексты из политики конфиденциальности сайтов, то там размыто написано у всех примерно следующее:
Мы обязуемся не передавать ваши данные никому, только если это не требуется для работы сайта.
А в каком случае потребуется передать данные? Что это за нужда?
Например, это счётчики посещения от Яндекса, встроенные в код сайта.
Счётчики посещения не знают вашего имени и фамилии, но они генерируют определенный идентификатор, который будет соответствовать вашему цифровому профилю. Этот профиль составляется на основе информации, которую серверы получают от вашего компьютера автоматически для нормальной работы сайтов: разрешение экрана, сетевой адрес, под которым вы посещаете страницы, браузер, язык и так далее. Это всё тоже считается персональными данными (куки-файлы считаются персональными данными).
Ну в Яндексе еще ладно, его будут регулировать российскими законами.
Трансграничная передача
Теперь по передачу персональных данных за границу РФ.
Роскомнадзор говорит:
Передавать данные за границу можно в адекватные страны. К таким странам относятся те, которые упомянуты в конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и прочие государства, входящие в список Роскомнадзора (Конвенция от 28.01.81, приказ Роскомнадзора от 05.08.2022 n 128).
И вот я думаю.. Если вы хотите применять на сайте Гугл-аналитику или Гугл-счетчики, если вы хотите получать сформированные заявки в Телегу из формы, заполненной клиентами на сайте, и эти заявки будут лететь на вашу иностранную почту, то получается вы будете применять трансграничную передачу данных и об этом нужно указать в политике обработки персональных данных. И заранее уведомить Роскомнадзор об этом. До начала сбора данных надо уведомить.
Если я всё правильно понял, то, думаю, теперь установка иностранных систем аналитики и счетчиков на сайте влечет за собой большую бюрократию и риски получения запретов, уточнений и уведомлений от Роскомнадзора. Также как и при отправке результатов заполненных форм на гугл-почту или любую не российскую.
Уведомление Роскомнадзора
Нужно уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. В уведомлении перечисляются типы собираемых данных и цели сбора. Если у вас будет применяться трансграничная передача данных, то это так же указывается.
В течении 10 дней Роскомнадзор может запретить передавать данные или не отреагировать. Если не отреагировал, значит можно продолжать.
Пока так
Владельцы ресурсов пока выкручиваются так. Они располагают у себя на сайте Политику обработки персональных данных. В ней они пишут всё очень размыто.
Мы собираем ваши персональные данные. Только те, которые нам нужны. Если это нужно для работы сайта, то мы их передаём третьим лицам. Если хотите, чтобы мы ваши данные удалили, то пишите запрос на почту такую-то.
Официально они вас предупредили, а как дальше они эти данные обрабатывают, уведомил ли владелец сайта Роскомнадзор или нет - неизвестно.
С одной стороны регулировка отношения к персональным данных идёт в правильном направлении. Надо наводить с ними порядок, чтобы не относились к их хранению спустя рукава. Штрафовать и наказывать. Штрафы увеличиваются. Для компаний будут применять штрафы уже не просто денежные, а вроде прям процент от оборота или прибыли.
С другой стороны владельцы ресурсов делают приписки себе в договоре, что они типа все делают правильно и за всем следят, но на самом деле формулировки очень размытые и как там на самом деле происходит никто не знает.
Как быть простым пользователям? Да наверное не предоставлять свои данные кому попало, а доверять только крупным компаниям, ведь за ними контроль строже.
Учитывая всё вышесказанное форму сбора заявок я с сайта убрал. На это повлияли не только последствия обработки персональных данных, но и мысль, к которой я в итоге пришёл.
Когда клиент хочет воспользоваться услугой, то ему не хочется заполнять какие-то формы, отправлять и ждать. Ему хочется связаться с живым человеком, предоставителем услуги, сразу. Поэтому в результате вместо формы я оставил ссылку на прямой контакт через мессенджер.
В идеале я как пользователь хотел бы, чтобы у меня на госуслугах было написано в одном месте у кого есть мои персональные данные, на каких ресурсах и сайтах они хранятся. И чтобы я по нажатию одной кнопки мог отозвать их без написания писем на почту, которая у каждого ресурса своя. Ну или хотя бы видеть у кого мои персональные данные есть.