С 1 сентября 2015 года, согласно закону № 242-ФЗ от 21.06.2014 г., многие сайты рискуют оказаться в реестре нарушителей прав субъектов персональных данных. Что это значит, и как избежать такого наказания, разберем в статье.
Кто считается оператором персональных данных?
Персональными данными называется любая информация, позволяющая идентифицировать человека, в том числе адрес электронной почты и номер телефона. Оператором персональных данных является организация, юридическое или физическое лицо, занимающееся сбором и обработкой таких сведений. По закону «О персональных данных» разрешается использование личной информации без уведомления компетентных органов при обработке данных с помощью государственных автоматизированных информационных систем, для исполнения норм трудового законодательства, в личных нуждах или исключительно на бумажных носителях. Но каждый конкретный случай требует отдельного рассмотрения.
Под действие законов, регулирующих получение и использование персональных данных, формально попадают все компании, ведущие рассылки и предлагающие «обратный звонок». При этом оказаться в реестре нарушителей может и сервис email-рассылок, и компания-заказчик этой услуги. Любой недовольный пользователь имеет право подать жалобу в Роскомнадзор, а владелец сайта, собравший и передавший сервису список адресов, также несет ответственность за хранение и обработку персональных данных.
Безбоязненно проводить email-рассылки или иным способом использовать собранные сведения о клиентах можно только в одном случае: подписчик (пользователь) сам выразил согласие на обработку его персональных данных (добровольно сделал их общедоступными), и этот факт подтвержден документально. Для этого нужно внимательно отнестись к выбору сервиса или агентства email-маркетинга, правильно настроить триггерную рассылку и разместить на сайте компании определенную информацию.
Как выбрать сервис email-рассылки?
Конечно, доступная стоимость и удобные шаблоны – важные критерии отбора, но в первую очередь следует проверить:
- представлена ли на сайте информация о владельце сервиса;
- включен ли сервис в реестр операторов персональных данных;
- указано ли в реестре месторасположение баз персональных данных (по закону, хранение такой информации разрешено только на территории РФ);
- размещены ли на сайте сервиса или агентства публичная оферта (или согласие на обработку персональных данных) и сведения о политике конфиденциальности.
Отсутствие этой информации – явление довольно распространенное, но в перспективе сотрудничество с таким «скрытным» сервисом может принести неприятности. Так, отсутствие публичной оферты (договора на обработку персональных данных, вступление в действие которого подтверждается передачей пользователем адреса) или согласия подписчика в иной форме – повод для жалобы на рассылку без разрешения получателя.
Как получить согласие пользователя на рассылку?
Самый простой способ – размещение ссылок на публичную оферту и условия обработки персональных данных (политика конфиденциальности) в форме сбора адресов. Предполагается, что пользователь ознакомится с этими документами прежде, чем оставит e-mail, и таким образом выразит согласие на дальнейшее использование его персональных данных.
Другой распространенный способ называется Double opt-in. Пользователю, оставившему адрес электронной почты, автоматически высылается письмо для подтверждения регистрации на сайте. Такую рассылку можно настроить с помощью почтового сервиса.
И в первом, и во втором случае считается, что пользователь разрешил хранение и обработку указанных персональных данных. Но во избежание конфликтных ситуаций следует точно и полно описать, в каких случаях и с какой целью будут использоваться полученные сведения. Даже если пользователь невнимательно прочитал договор или не обратил внимания на условия обработки данных, компания за это ответственности не несет.
В итоге
Как говорится, честность – лучшая политика. Доступная и понятная информация о хранении и обработке персональных данных – обязательное условие для сбора адресов и проведения email-рассылок. Причем, это касается и специализированных сервисов, и сайтов компаний и магазинов.
Если для сервисов и агентств email-маркетинга регистрация в качестве оператора персональных данных обязательна, то владельцам компаний, самостоятельно занимающихся рассылками, следует проконсультироваться с юристом. Это же необходимо тем, кто предлагает «обратный звонок» - номер телефона тоже считается личной информацией. Грамотно составленные документы о политике конфиденциальности (с отсылками к соответствующим законам) и публичная оферта обезопасят компанию от претензий как недовольных клиентов, так и Роскомнадзора.