Если у строительной или ремонтной компании есть сайт, аккаунты в соцсетях и переписка с клиентами в мессенджерах — с высокой вероятностью закон о персональных данных уже нарушается. Статья пригодится владельцам бизнеса, прорабам и маркетологам: разберём, за что Роскомнадзор штрафует на сотни тысяч рублей и что сделать на сайте, в чатах и договоре, чтобы закрыть риски.
Нарушения возникают не из злого умысла. Политику обработки данных когда-то слепил маркетолог при запуске сайта, чекбоксы никто не ставил, а согласия в месенджер никто не берёт. Всё это видно невооружённым взглядом любому, кто захочет навредить.
Штрафы здесь не 5–10 тысяч. Они начинаются с 50–200 тысяч и доходят до миллиона рублей. И чтобы их получить, конкуренту или обиженному клиенту достаточно зайти на сайт и написать сообщение от имени потенциального заказчика.
Реальный сценарий: жалоба от конкурента и штраф 200 тысяч
Подрядчик перешёл дорогу конкуренту на одном из объектов. Тот не стал выяснять отношения — просто зашёл на сайт, увидел отсутствие политики обработки персональных данных и чекбоксов, зафиксировал нарушения и написал заявление в Роскомнадзор.
Дальше — стандартная схема: проверка, акт, постановление. Итог — штраф 200 тысяч рублей. А ведь компания даже не подозревала, что нарушает закон: сайт работал годами, форма обратной связи стояла «как у всех», политику когда-то скопировал маркетолог.
Почему почти у каждого подрядчика есть эти нарушения
Главная причина — состояние, которое называют бессознательной некомпетентностью. Человек не знает, что он чего-то не знает. Слушает других строителей, читает блогеров, спрашивает нейросети— и уверен, что у него «всё как у людей». А «как у людей» означает, что нарушают все.
Конкретные ошибки, которые видны на сайте и в переписке за пять минут:
- Политики обработки персональных данных на сайте либо нет вообще, либо она устарела — её делал маркетолог при запуске, и она не соответствует тому, как вы реально работаете с данными.
- Нет двух отдельных чекбоксов: на обработку персональных данных и на рекламную рассылку. Это разные согласия. У многих нет ни одного.
- Нет уведомления об использовании файлов cookie.
- Клиент пишет в месенджер, оставляет телефон, имя, адрес объекта — а согласие на обработку этих данных никто не берёт.
- При заключении договора в нём нет ни согласия на обработку ПД, ни согласия на рекламную рассылку.
- Данные клиентов передаются прорабам, замерщикам, дизайнерам, субподрядчикам — без письменного согласия клиента на такую передачу.
- Отзывы клиентов публикуются на сайте и в соцсетях без согласия на публикацию.
- Обратные звонки и рекламные рассылки делаются без отдельных согласий.
Любой из этих пунктов — основание для жалобы. Заказчики и конкуренты уже разобрались, как этим пользоваться: одна жалоба запускает проверку.
Как привести сайт и переписку в порядок
Работа делится на две части: сайт и коммуникации с клиентами. По обоим направлениям нужен регламент.
Шаг 1. Проверьте политику обработки персональных данных. Откройте свой сайт, найдите ссылку в подвале. Прочитайте текст. Если документа нет, если он на полстраницы и без реквизитов, если не описано, какие именно данные вы собираете и кому передаёте, — переписывайте заново под фактические процессы.
Шаг 2. Поставьте два отдельных чекбокса в каждую форму на сайте. Один — на обработку персональных данных со ссылкой на политику. Второй — на получение рекламных рассылок. По умолчанию они должны быть не отмечены, ставит галочки только сам пользователь.
Шаг 3. Добавьте уведомление об использовании cookie. Это всплывающий баннер при первом заходе на сайт с кнопкой согласия и логированием.
Шаг 4. Введите правило для мессенджеров. Как только клиент пишет в Telegram, WhatsApp или Direct, в первом ответном сообщении вы отправляете ссылку на политику и текст согласия на обработку ПД и рекламные коммуникации — и фиксируете ответ клиента.
Шаг 5. Перепишите блок согласий в договоре. При подписании заказчик должен отдельно поставить подпись или галочку под согласием на обработку ПД и отдельно — под согласием на рекламную рассылку.
Шаг 6. Оформите согласие на передачу данных. Если данные клиента уходят прорабу, замерщику, дизайнеру, субподрядчику — в договоре или приложении к нему должно быть прямое согласие на такую передачу с перечислением, кому именно.
Шаг 7. Берите согласие на публикацию отзывов и обратные звонки. Прежде чем разместить отзыв с именем клиента или фото его квартиры — получите письменное согласие. На обратный звонок — отдельная галочка в форме.
Что прописать в договоре с клиентом
В договоре с заказчиком-физлицом нужно отдельными пунктами или приложениями оформить:
- согласие на обработку персональных данных с перечислением, какие именно данные обрабатываются и для каких целей;
- отдельное согласие на получение рекламной рассылки — звонков, SMS, сообщений в мессенджерах, email;
- согласие на передачу данных работникам, третьим лицам и субподрядчикам — с указанием категорий получателей;
- при необходимости — согласие на публикацию отзыва, фото и видео объекта.
Каждое согласие — отдельный блок с отдельной подписью или галочкой. Один общий пункт «согласен со всем» не работает: Роскомнадзор требует именно разделённые согласия.
С чем это связано и что ещё проверить
Закон о персональных данных — не единственная зона риска, которая видна с улицы. Параллельно стоит проверить договоры с заказчиками-физлицами на соответствие закону о защите прав потребителей — за пункты, нарушающие права потребителя, штрафует Роспотребнадзор, и заказчики тоже научились этим пользоваться.
Отдельная история — маркировка рекламы в Telegram, ВК и на сайте: немаркированный рекламный контент тоже даёт большие штрафы. С 1 сентября добавляется маркировка звонков и SMS действующим и потенциальным клиентам и запрет рекламы в Instagram.
И ещё одно: проверять себя по советам блогеров, других подрядчиков и нейросетей— плохая идея. Узнать, что они ошибались, вы сможете только из постановления о штрафе.
