Формы сбора согласий на сайте. Откапываем зарытую собаку
Сайты делают формы регистрации, без этого никак. Возьмите любой сайт — от частной фотостудии до городской стоматологии — и в 90% случаев там будет форма регистрации. Просят на этих формах тривиальные вещи: ФИО (в свободной форме) , телефон, электронную почту. Зачем это делается, тоже понятно: как-то же нужно сохранить пользователя в CRM и потом использовать его контакты для связи и… рекламы. Конечно, сайты размещают в форме регистрации чекбокс о согласии с политикой обработки персональных данных, иногда даже ссылки на сами согласия, еще реже — несколько чекбоксов.
Мы в HFLabs уже более 2-х лет занимаемся автоматизацией сбора согласий и понимаем, что такое правильный сбор, который не несет рисков для бизнеса. В этой статье посмотрим на то, какие формы сбора используют в Рунете сейчас, насколько они хороши, какие проблемы это может вызвать и почему так «исторически сложилось».
Да что это вообще такое, ваше согласие?
Любой сервис, который обрабатывает персональные данные (ФИО, телефон, почту, адрес проживания и т. д.) , имеет право делать это, только получив согласие клиента.
Статья 6. Условия обработки персональных данных
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) «О персональных данных»
Важно, что согласие должно быть получено корректно, то есть добровольно и доказуемо. Нельзя вынуждать клиента соглашаться на рекламу, ведь она необязательна для предоставления услуг. Недопустимо и получать согласия «хитрыми» способами, вроде предпроставленных галочек или спрятав текст этих документов.
В итоге получается, что форма согласия должна соответствовать достаточно широко определенным (152-ФЗ Статья 9) требованиям. Оно должно быть:
- дано свободно (никто не принуждал ничего давать) ;
- дано своей волей (пользователь дал согласие сам, за него никто ничего не нажимал) ;
- дано в своем интересе.
А еще правильное согласие конкретное, предметное, информированное, сознательное и однозначное
Как оно в реальности
С требованиями разобрались, давайте посмотрим, что имеем в жизни.
1. Форма регистрации крупного онлайн-магазина
Что тут не так?
- Получение кода по своему смыслу никак не связано тем, что человек соглашается на всё, что указано под кнопкой.
- Согласие на рекламу собирается заочно, то есть клиент просто хотел зарегистрировать личный кабинет, а его недобровольно подписали на рассылку.
- Нет текста самого согласия на рекламу.
Такие «согласия» не будут учтены Роскомнадзором и ФАС как корректные. Поэтому рассылать клиентам рекламу на основании этой формы компания не имеет права.
2. Форма регистрации федерального провайдера интернета
Тут нас традиционно просят указать персональную информацию, в частности телефон. И серым текстом приписывают, что, нажимая на кнопку «Войти», клиент сразу дает согласие на обработку данных.
Что тут не так?
- Действие кнопки «Войти» никак не связано с предоставлением согласия.
3. Форма регистрации крупного банка
Здесь у нас не просят ФИО, но зато нужно указать дату рождения, пол, телефон и почту. Снова мы видим, что согласие спрятано под кнопкой «Далее». Если человек нажмет на нее, а затем откажется от дальнейшего взаимодействия с компанией, согласие на обработку его данных банк все равно получит.
Что тут не так?
- Нет отдельного чекбокса на согласие на обработку данных.
- Не указано, на какие именно цели выдается согласие. Это должно быть написано явно, а не спрятано за еще одной страницей.
Сами тексты согласий, конечно, могут быть скрыты за гиперссылками, это нормально. Тем не менее из самой формы должно быть понятно, на какие цели клиент дает согласия. Эти цели нужно перечислить явно (обработку персональных данных, реклама и т. д.) .
4. Форма регистрации крупного маркетплейса
Здесь у нас классика предпроставленного чекбокса. Клиент этот чекбокс не ставил, он там уже был. Поэтому доказать, что клиент добровольно и по своей воле согласился с правилами, нельзя, — за него это сделала система. Любая апелляция со стороны компании к тому, что клиент согласие дал, будет разбита именно из-за некорректной формы.
Если интересно, то вот реестр дел ФАС конкретно за рекламу без согласий.
По нашей оценке, 75% дел, возбужденных ФАС в части нарушения 38-ФЗ ст. 18, заканчиваются штрафом для компании
5. Форма регистрации городской энергосбытовой компании
Здесь форма уже более серьезная: просят сразу и данные дать, и пароль придумать и т. д. Внизу есть галочка (уже хорошо, что не предпроставленная!) на рекламу. Не будем обращать внимание на элементы социальной инженерии — выделить красным и напугать об упущенной выгоде. Это выглядит неуместно, но законно.
Что тут не так?
- Нет ссылки на текст согласия. Сервис предлагает клиенту самому додумать, на что он там согласился (исходя из формулировки в виде одного предложения) .
- Под капчей есть еще одно согласие, которое по процессу вшито в кнопку «Продолжить». Но продолжить — не значит выразить согласие.
Итого мы видим, что бизнес в Рунете в целом не понимает, как делать формы регистрации так, чтобы они не нарушали законодательство. Получается парадоксальная ситуация: сделали форму с галочками, чтобы у нас не было проблем с персональными данными, но вместо этого только проблемы и получили. А то, что собрали, — мусор с юридической точки зрения и никаких прав на обработку данных и тем более рассылку рекламы не дает.
Причин тут несколько:
- Бизнес не формирует корректное ТЗ, не вникает в суть проблемы и считает, что и так сойдет.
- Многие сайты построены на конструкторах и просто используют готовые формы. Эту тему подробнее разберем в отдельной статье.
Чем это грозит?
Закономерно можно задать вопрос: «И что?». Действительно, ну неправильная форма регистрации, ну галочка не так реализована, где проблема-то? Пользователи регистрируются, сайт работает — все счастливы. Нет, не все.
Во-первых, чем массивнее и агрессивнее реклама, тем больше риск столкнуться с негативом. Этот негатив может вылиться в жалобу в ФАС или РКН на предмет некорректной обработки персональных данных. С кривой формой отбиться от них будет практически нереально. При этом регулятор может получить жалобу, сходить на ваш сайт, все зафиксировать и уже потом сообщить вам. Так что задним числом подкрутить не получится. Главная проблема будет в том, что регулятор признает некорректной саму форму сбора, и все собранные по ней согласия автоматом перестанут действовать. Считайте, что согласий на рассылку рекламы у вас больше нет. Совсем нет.
Конкуренты тоже могут реагировать на ваш активный маркетинг, и им ничего не будет стоить подать жалобу на вашу форму регистрации от имени «озлобленного гражданина».
Во-вторых, сам РКН не сидит сложа руки. Уже были новости о том, что они разрабатывают автоматические системы мониторинга Рунета. Пока это касается экстремизма и запрещенного контента, но ничего не мешает мониторить и формы сбора персональных данных. Для нейросети искать галочки и кривые формы даже проще, чем разглядывать фотографии и вычитывать сообщения на форумах.
С финансовой точки зрения тоже могут быть потери. Каждая жалоба на рекламу без согласия — это штраф 100-500 тысяч рублей за каждое СМС, звонок или письмо на почту.
Что с рассылками?
Можно возразить, что бизнес часто делает рассылки через специализированные сервисы. Однако эти сервисы уже давно прописали в свои условия обязанность пользователя (клиента сервиса рассылки) предоставить список телефонов или почтовых адресов, по которым уже собраны согласия.
Если компания все-таки рискнет и отправит рассылку без согласий, она может не только нарваться на штраф от ФАС, но и полностью отрезать себе возможность делать любые рассылки через этот сервис с заморозкой средств. Ниже примеры отношения к рассылкам без согласий нескольких крупных сервисов.
Как все это исправить?
Простого ответа на этот вопрос у меня для вас нет. Но общие рекомендации и лайфхаки такие.
- Проконсультируйтесь у профильного юриста, что нужно исправить в вашей форме сбора согласий.
Плюсы: гарантия, что все будет сделано как надо (если юрист профессиональный) .
Минусы: может быть дорого в сравнении с объемом задачи. Кроме того, законодательство может поменяться, и форма «протухнет». - «Спишите» форму у крупного сервиса.
Плюсы: быстро и дешево.
Минусы: нет никаких гарантий. Крупный сервис тоже может иметь кривой UI, все риски вы берете на себя. - Найдите гайд с эталонной формой сбора согласий для сайта.
Плюсы: можно кастомизировать итоговую форму под себя.
Минусы: такая существует? Мы такую не нашли. Если вы знаете — дайте ссылку. Добавим в статью. - Поставьте плагин на CMS, который уже имеет встроенную корректную форму.
Плюсы: решение под ключ.
Минусы: ограничение CMS.
Итог
Такая «ерунда» как форма регистрации и сбора согласий на сайте может повлечь серьезные последствия. Да, пока регуляторы не ходят лично за каждым интернет-сервисом и не предъявляют претензии. Да и штраф можно пережить.
Другое дело — это завязывание всей коммуникации с клиентами на сервисы рассылок. Они то как раз жестко относятся к несоблюдению правил сбора согласий, так как тот же ФАС сначала приходит к ним и уже через них выходит на автора рассылки. Нужно ли рисковать заморозкой всех коммуникаций на неопределенный срок (а ФАС может заниматься рассмотрением и несколько месяцев) , каждый решает сам.
Спасибо за статью! Часто вижу, что галочку снизу ставят априори, со стороны ux совершенно неправильно, потому что пользователю может показаться, что ее уже нельзя убрать)
Мало того, что с точки зрения UX неправильно, так как и не совсем законно ;)
Видимо никто не заморачивается этим, потому что по традиции штраф пару тысяч рублей, которые крупняк зарабатывет за полминуты, поэтому чем ломать поведенческий паттерн большинству пользователей, которым плевать на свои персональные данные, проще заплатить потом штраф (и не факт, что ты достигнешь величины, когда тобой заинтересуется ФАС).
Штраф там от 100 до 500к рублей. Для крупные конечно незаметно, для среднего бизнеса уже больновато.
Тут главная проблема, что если бизнес всю коммуникацию завел через сервис рассылки, то рискует её одномоментно лишиться из-за любого подозрения в спаме со стороны рассылщика.
Статья хорошая, но не раскрыта тема мессенджеров. Что если на сайте кнопки вотсап и телеграм? И далее клиент кликает и пишет первый нам в мессенджер?
Мессенджеры совсем не похожи на сайты, поэтому раскрывать их нужно отдельно. В целом, подход с точки зрения закона такой же. Обрабатываете персональные данные - соберите согласие, причем так, чтобы можно было доказать, что человек согласие вам дал.
Как практикующий юрист, проводивший не одну проверку соответствия закону о пд для сервисов, считаю необходимом добавить, что все эти формальности это хорошо и здорово.
Но когда просишь бизнес не делать галочку предустановленной тебе говоря что-то вроде "у нас воронка продаж от этого упадет на 1.5%, что выражается в 5 млн рублей в месяц, а какой там штраф по КоАп?".
К тому же, часть 5 пункта 1 ст 6 ФЗ 152 относит обработку персональных данных для исполнения договора как самостоятельный вид согласия. То есть при запросе от РКН, я сам был неоднократно свидетелем как отбивались ссылкой на эту часть: "Да, галочки нет, но лицо заказало пиццу и согласилось с условиями оферты, значит есть самостоятельное основание для обработки пд помимо галочки". К сожалению, регулирование пд в любой развитой стране сейчас это бюрократия и оторванность от реалий жизни. Как видите, даже крупные банки игнорируют требования.