Что нужно знать о новых правилах сбора персональных данных

С юридической точки зрения

С 1 июля 2017 г. вступили в силу поправки в КоАП РФ. Они увеличивают штраф для компаний за нарушения при обработке персональных данных. Вводится семь новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ).

За обработку персональных данных без согласия пользователя штраф составляет от 15 до 75 тысяч рублей. За отсутствие опубликованной политики обработки персональных данных предусматривается штраф от 15 до 30 тысяч рублей.

Что необходимо проверить

  1. Наличие «Политики конфиденциальности». На каждом сайте или странице, которая собирает персональные данные, должна присутствовать «Политика конфиденциальности», с которой можно легко ознакомиться. Положения, которые должны содержаться в таком документе:
  • перечень собираемых персональных данных;
  • цели сбора и обработки данных;
  • действия, которые могут быть совершены с данными пользователя;
  • порядок получения пользователем информации об обработке его персональных данных;
  • порядок отзыва согласия пользователем на обработку и хранение его персональных данных.
  1. Подтверждение согласия. Все формы сбора персональных данных на сайте нужно снабдить чек-боксом о согласии пользователя на обработку персональных данных и ссылкой на «Политику конфиденциальности».
  2. Доказательства согласия. Требуется сохранять историю действий пользователей. Это необходимо для того, чтобы в случае чего доказать, что согласие на обработку персональных данных было получено.

Письма

  1. Двойное подтверждение подписки (Double opt-in). Обязательно отправляйте пользователю письмо с ссылкой на подтверждение его намерения получать рассылку. В письме должна содержаться ссылка на «Политику конфиденциальности».
  2. Наличие ссылки отписки. Пользователь должен иметь возможность легко отписаться от рассылки. В этом случае его данные должны быть удалены из базы контактов в сроки, которые определены в «Политике конфиденциальности».
  3. Наличие «черного списка». Пользователи, которые однажды уже отписались от рассылки, должны быть занесены в «черный список» и более не иметь возможности снова совершить подписку. И уж точно не стоит отсылать им письма любого содержания.

А что же в реальности

Адрес электронной почты – это персональные данные или все же нет?
Вся суть персональных данных в том, что с их помощью можно идентифицировать конкретного человека. Фактически, сделать это, имея только адрес электронной почты, невозможно. Сам по себе адрес электронной почты персональными данными не является.

Если требуется дополнить или обновить данные пользователя (запросить имя или телефон), то нужно ли снова получать согласие?
Да. То есть, если пользователь дал согласие на обработку и хранение только своего адреса электронной почты, то при обновлении его профиля с занесением дополнительных данных необходимо повторно получить согласие.

Можно ли повторить активационное письмо (требуется по процедуре Double opt-in)?
Данная процедура может быть расценена, как коммуникация с пользователем, который не давал на это своего согласия. За подобное нарушение предусмотрен штраф в размере от 100 до 500 тысяч рублей.

Неужели обязательно нужна ссылка отписки?
Да. Ссылка для отказа от рассылки обязательно должна присутствовать в каждом письме, кроме активационного. Даже более того – чем она заметнее, тем лучше.

Если мой сервис хранит данные пользователей из «черного списка» – это ничего?
Ничего страшного. Главное – не взаимодействовать с такими пользователями.

В сухом остатке

Для тех компаний, которые и ранее ответственно подходили к процессу сбора данных, его обработке и хранению – глобально ничего не изменилось. Несколько мелких технических нюансов могут быть реализованы в короткие сроки и без ощутимого влияния на итоговую конверсию в подписку. Ну а для всех остальных – пора работать честно и прозрачно!

Об авторе:

Александр
administrator

Нет комментариев

Сделано: ООО "ВЕБ СЕГМЕНТ" 2016 https://web-segment.com/ ИНН\КПП: 7813173796\781301001