В первой статье серии публикаций мы рассмотрели требования к интернет-магазинам. Сегодня остановимся на специфике соблюдения законодательства при ведении корпоративных сайтов, лендингов и блогов.
Закон о ПДн (ФЗ-152) и GDPR
Начнем с рассмотрения основополагающего вопроса: что считается персональными данными, оставленными посетителями сайта? Если люди заполняют заявки, указывая ФИО, должность и название своей фирмы, все ясно: происходит сбор ПДн, и надо проверить, не является ли он избыточным (за это тоже можно получить штраф).
Но в В2В-отрасли нередко компанию представляет в сети только лендинг, на котором можно, разве что, узнать контакты и написать/позвонить, не используя сайт. Очевидно, что сбор ПДн именно на сайте не осуществляется. Но есть нюанс: персональными данными на сегодняшний день могут быть признаны данные пользователя, собранные счетчиками Яндекс.Метрика и Google Analytics, и cookies, используемые для ремаркетинга. Чтобы избежать проблем, пока ПДн и пользовательские данные законодательно не разделены, стоит разместить на лендинге «Политику конфиденциальности» с объяснением порядка сбора, цели использования и хранения cookies и поведенческих данных. Также стоит предупредить пользователей о факте сбора cookies специальным сообщением, например, в виде баннера в верхней или нижней части страницы.
Теперь рассмотрим ситуацию с данными, которые в принципе собираются, хранятся и обрабатываются. В2В-компании, как правило, много знают о своих клиентах и потенциальных заказчиках. Но даже если просто ведется рассылка, важно соблюдать такие требования ФЗ-152 и GDPR:
- Получение согласия. Согласно законам, необходимо иметь доказательства согласия на обработку ПДн. Это может быть подписанный договор и/или подтверждение согласия на рассылку отдельным письмом от подписчика. Причем, необходимо иметь такие доказательства для всех случаев обработки ПДн, поскольку для получения новостей компании и для заключения сделки данные, разумеется, нужны разные.
- Использование ПДн только по назначению. Не будем затрагивать морально-этические нормы применения информации о клиентах, остановимся на правовых нюансах. Использование ПДн в не заявленных изначально целях может стать поводом для жалобы владельца данных и, как следствие, штрафа от надзорных органов. Например, нельзя использовать электронный адрес для рассылки рекламы, если он был получен при регистрации на сайте и иное его применение не оговорено в пользовательском соглашении. Если говорить о сведениях, полученных в процессе сотрудничества, необходим регламент работы с ПДн и информирование их владельцев обо всех способах применения и хранения данных. Разумеется, под подпись.
- Обеспечение безопасности. Специфика В2В-отрасли в том, что информации о клиентах может быть много, в том числе конфиденциальной, содержащей коммерческую тайну. И ответственность за ее сохранность возлагается на оператора и обработчика ПДн. Поэтому необходимо изучить требования РКН к организации процесса сбора, обработки и хранения данных, разработать внутреннюю нормативную документацию и обеспечить техническое соответствие оборудования и ПО правилам информационной безопасности. И сделать это не только на бумаге, поскольку от реальных проверок РКН никто не застрахован.
Если компания работает с зарубежными партнерами, необходимо изучить требования европейского регламента GDPR и законодательство стран, с представителями которых ведется сотрудничество. Общие правила, по сути, схожи, но всегда есть нюансы, которые придется учесть.
Хранение баз данных в РФ (ФЗ-242)
Отдельно рассмотрим проблему хранения баз данных. Согласно ФЗ № 242, ПДн граждан России должных храниться на серверах, физически расположенных в РФ. Но есть нюансы:
- под требования закона не подпадают корпоративные сайты, не собирающие данные физических лиц, если эти сайты не являются организаторами распространения информации (подробнее об этом читайте ниже);
- хранение базы данных в РФ не означает запрет на использование дополнительных серверов за рубежом, главное, чтобы первичный сбор и обработка ПДн осуществлялись на нашей территории.
Но в сфере В2В сложно обойтись без сбора реальных данных клиентов, а значит, хранить информацию на российских серверах все-таки придется. Нужно ли переносить сайт на хостинг в РФ, если на нем не организован сбор данных, стоит уточнить у юриста, знающего специфику конкретного направления бизнеса.
Корпоративные блоги и законодательство для ОРИ
ОРИ – это организаторы распространения информации. РКН признает таковыми корпоративные блоги в следующих случаях:
- открыты комментарии к статьям;
- блог ведется под видом личного, но представляет интересы компании;
- в блоге или на сайте есть форум.
Чтобы не получить штраф за нарушения законодательства, регулирующего работу ОРИ, нужно:
- зарегистрироваться в РКН (отсутствие регистрации не означает, что сайт не является ОРИ);
- не размещать запрещенный контент;
- модерировать комментарии, удаляя призывы к экстремизму, оскорбления групп пользователей, нецензурную лексику, ссылки на заблокированные ресурсы и запрещенный контент;
- хранить все сообщения пользователей в течение полугода на сервере в РФ;
- предоставлять данные о пользователях по первому требованию надзорных органов.
При этом информационный ресурс с посещаемостью более 3.000 человек в сутки приравнивается к СМИ, и при его ведении необходимо соблюдать требования для средств массовой информации:
- не размещать публикации о запрещенных веществах, суициде, экстремизме;
- обязательно помечать упоминаемые запрещенные организации как «запрещенные на территории РФ»;
- не размещать информацию, порочащую честь и достоинство;
- не использовать нецензурную лексику.
Конечно, сложно представить себе корпоративный блог с подобными публикациями. Но о правилах знать нужно. Тем более, если в комментариях или на форуме могут разгореться баталии пользователей из-за новостей отрасли.
Закон «О рекламе»
Как известно, основные требования к рекламе таковы:
- достоверность – утверждения о превосходстве и уникальности должны подтверждаться независимыми исследованиями.
- добросовестность – нельзя очернять конкурентов ни прямо, ни намеками;
- этичность – запрещается оскорблять людей, высмеивать принадлежность к полу, национальности и религии, использовать государственные символы.
Если говорить о В2В-отрасли, нужно отметить такие требования:
- нельзя рекламировать продукцию, не имея лицензии и сертификатов на нее;
- при рекламе услуг необходимо указывать все условия их получения;
- цены необходимо указывать в рублях;
- иностранные слова следует сопровождать транскрипцией и переводом.
В каждой тематике есть свои специфические требования, но общие – таковы. Не стоит забывать, что на этичность и добросовестность рекламы могут обратить внимание не только сотрудники ФАС, но и конкуренты, поэтому рисковать не стоит.
Лицензии и сертификаты
Наконец, остановимся еще на одном пункте. Размещать на сайте лицензии и сертификаты обязаны медицинские и образовательные учреждения, в том числе частные. Но это не значит, что всем остальным не нужно подтверждать законность своей деятельности. Штраф за отсутствие этой информации на сайте не выпишут, но вот доверие к компании может быть подорвано. А это уже важно не столько для соблюдения законов, сколько для привлечения клиентов.
Вывод
Важно уделить пристальное внимание работе с персональными данными, особенно, если у компании есть клиенты за рубежом. А забота о содержании блога и рекламы – дело, важное для репутации. Поэтому стоит следить за изменениями в законодательстве, как общими для всех сайтов, так и в своей тематике, и работать по закону, создавая репутацию ответственной компании.
