Как работать с персональными данными с 1 июля? Советы от RetailCRM и Битрикс 24

С 1 июля 2017 года существенно ужесточена административная ответственность за нарушения при взаимодействии с персональными данными физических лиц. Поправки касаются, в том числе, владельцев сайтов, которые собирают данные о посетителях, ведь они тоже являются операторами персональных данных. Эксперты RetailCRM и Битрикс 24 дали советы, как выполнить требования закона и не попасть под санкции. Но сначала немного теории:

Что является персональными данными

Для начала еще раз попробуем разобраться, что входит в понятие персональных данных. Заглянем в закон:

Да, формулировка расплывчатая, но попробуем привести несколько примеров:

• ФИО
• E-mail
• телефон
• адрес
• ссылки на профили в соцсетях
• cookie
• IP-адреса
• сведения о местоположении и поведении на сайте

Из этого списка можно понять, что не попасть под действие закона практически невозможно.

Чем грозит несоблюдение закона

За несоблюдение закона грозят штрафы. Раньше их сумма не превышала 10 000 рублей, теперь достигает 300 000 рублей.

Штрафовать будет Роскомнадзор сразу по семи статьям. Тут можно посмотреть статьи и размер штрафа.

Что делать интернет-магазинам?

Советы для тех, кто использует RetailCRM:

1. Разместите на своем сайте политику обработки персональных данных. Главное, чтобы она была в общем доступе.
2. Под каждой формой, popup, кнопкой напишите, что, нажимая на кнопку, посетитель соглашается на обработку персональных данных. Например, можно разместить такой текст: "Нажимая на кнопку, вы даете согласие на обработку своих персональных данных". Важно, чтобы в тексте была ссылка на пользовательское соглашение, договор или согласие на обработку персональных данных.
3. Уведомляйте новых посетителей сайта о том, что вы используете их персональные данные, и если они не хотят, чтобы их данные обрабатывались, нужно покинуть сайт. Это можно реализовать, например, с помощью popup.
4. Проверьте, что ваш хостинг и база данных находится на территории России. Сервера retailCRM как раз отвечают этому требованию.
5. Внесите свой интернет-магазин в реестр операторов персональных данных на сайте Роскомнадзора. При заполнении формы на сайте, вам потребуется указать местонахождение базы данных. Пользователи retailCRM могут запросить эту информацию у техподдержки.

Это лишь некоторые из требований. Также вам потребуется разграничить права доступов к персональным данным. В retailCRM это можно сделать в разделе настроек. Доступ выдать определенным сотрудникам, а также настроить уровни доступов.

Как быть тем из пользователей, кто собирал персональные данные автоматизированно?

Советуют эксперты Битрикс 24: 

Мы уже подготовили универсальное «Согласие на обработку персональных данных» для вашей компании и разместили его в CRM-формах и Открытых линиях.

В CRM-формах

Что нужно сделать вам:

1. Заполнить реквизиты своей компании в настройках CRM. Если вы не заполните реквизиты, это можно будет сделать непосредственно при настройке согласия в CRM-форме.
2. Указать e-mail, на который клиент сможет отправить запрос на удаление персональной информации. Согласно закону, вы обязаны отреагировать на запрос. Сейчас указан просто пример e-mail адреса, вы можете оставить его или сменить в настройках формы.
3. Проверить настройки активных форм, убедиться, что согласие подключено и корректно отображается для клиента.

Что вы получите:

1. Два варианта подтверждения:
   • знак ✓ сразу проставлен внизу формы - соответствует согласию по типу "Нажимая кнопку «Отправить», я даю свое согласие..."

   

   • знак ✓ отсутствует - соответствует необходимости проставить "галочку" перед отправкой заполненной формы.
2. Все поля из CRM-формы будут автоматически включены в текст согласия в качестве относящихся к персональным данным, даже если это просто комментарий.
3. В настройках формы по умолчанию присутствует "галка" на согласие передачи персональных данных третьим лицам. Там же можно указать эти лица (например, ООО "Почта России" или курьерская служба) - они тоже попадут в текст согласия.
4. Можно выбрать или добавить собственные варианты использования и сроков хранения персональных данных.
5. Указанный e-mail для удаления данных также включается в текст согласия. Если на портале меньше 20 пользователей, то автоматически будет проставлен e-mail администратора портала.

В итоге это будет выглядеть вот так:

В открытых линиях 

Для открытых линий сначала нужно включить отправку предупреждения о сборе персональных данных. Это делается в настройках самой открытой линии.

После этого при начале разговора с клиентом будет сразу выведено сообщение, предупреждающее о необходимости согласия на обработку персональных данных.

Если человек продолжит писать в открытую линию, то это и будет принято как согласие. Если же клиент молчит, либо напрямую отвечает, что не согласен, то его данные должны быть удалены.