152-ФЗ и сайт компании: какие данные нельзя собирать по привычке
Разбираемся, какие формы на сайте могут привести к проверкам Роскомнадзора и как перестать собирать лишние данные, рискуя получить штраф.
Содержание · 5
Многие предприниматели относятся к 152-ФЗ как к формальности. Мол, мы просто поставили галочку под текстом «Согласен на обработку данных», и всё в порядке. Но практика последних проверок показывает, что этого мало. Роскомнадзор смотрит не на наличие документа, а на то, как именно вы работаете с информацией о людях.
Если ваш сайт собирает данные, которые не нужны для выполнения конкретной задачи, вы уже нарушаете закон. Принцип минимизации данных, это не просто добрая воля, а требование регулятора. Давайте разберем, где бизнес чаще всего допускает ошибки.
Лишние поля в формах обратной связи
Типичная ситуация: форма заказа обратного звонка. В ней не только поле «Телефон», но и «Имя», «Дата рождения», «Адрес проживания» и даже «Пол». Зачем интернет-магазину знать дату рождения клиента, если он просто хочет купить чехол для телефона?
Каждое лишнее поле, это риск. Если вы собираете избыточную информацию, вы нарушаете принцип целевого сбора. При проверке вам придется доказывать, почему вам жизненно необходимо знать дату рождения пользователя для оформления звонка. Если обоснования нет, это повод для штрафа.
Совет: оставьте только то, без чего услуга невозможна. Для звонка достаточно номера. Для доставки, адреса. Всё остальное, в корзину.
Ловушка с куки и аналитикой
С файлами cookie ситуация еще запутаннее. Многие считают, что достаточно один раз показать плашку «Мы используем cookie» и всё. На самом деле, установка аналитических скриптов (Яндекс Метрика, системы маркетинговой аналитики) до того, как пользователь нажал «Принять», — это нарушение.
Пользователь должен иметь возможность дать осознанное согласие. Если вы сразу начинаете отслеживать его поведение, собирать данные о геолокации и устройствах без явного разрешения, вы попадаете в зону риска. Регуляторы всё чаще обращают внимание на то, насколько прозрачно настроено управление согласиями на сайте.
Политика конфиденциальности: шаблон не поможет
Копировать политику у конкурентов, плохая идея. У них может быть настроен сбор данных через CRM или другие сервисы, которые вы не используете. В итоге в документе указаны цели и способы обработки, которые не соответствуют реальности вашего сайта.
Важно, чтобы в политике было четко прописано:
- Какие именно данные собираются.
- Для каких конкретных целей.
- Кому вы их передаете (например, сервису рассылок или платежному шлюзу).
- Как долго вы их храните.
Если вы добавили на сайт новый виджет (например, чат или форму записи к врачу), проверьте, отражено ли это в вашем документе. Любое расхождение между реальностью и текстом политики, это прямое нарушение.
Хранение заявок и безопасность
Мало собрать данные правильно, их еще нужно безопасно хранить. Если ваши заявки из форм падают в общую почту, к которой есть доступ у десяти сотрудников, или хранятся в незащищенной таблице Google Docs, это уязвимость.
Согласно закону, вы должны обеспечить защиту данных. Это касается и серверов. Если вы используете облачные решения, убедитесь, что они соответствуют требованиям по хранению персональных данных граждан РФ на территории страны. В контексте работы с российским бизнесом это критически важно.
Что делать прямо сейчас
-
Проведите аудит всех форм на сайте. Удалите все поля, которые не являются обязательными для совершения покупки или записи.
-
Проверьте текст под кнопками отправки. Там должна быть ссылка на актуальную политику конфиденциальности, а не просто фраза «Нажимая кнопку, вы соглашаетесь».
-
Настройте куки-баннер так, чтобы аналитика не запускалась до момента клика пользователя по кнопке согласия.
-
Обновите политику конфиденциальности. Убедитесь, что в ней указаны все сервисы, через которые проходят данные (CRM, почтовые сервисы, системы аналитики).
-
Проверьте, где физически находятся ваши базы данных. Для работы в России это должны быть серверы внутри страны.
