Владелец паблика во ВКонтакте запускает конкурс и собирает заявки через личные сообщения. Блогер в Telegram ведёт платную рассылку и просит подписчиков указать email. Фотограф в Instagram* продаёт пресеты и оформляет заказы через директ. Во всех трёх случаях происходит одно и то же: человек передаёт свои данные, а другой человек их получает и использует.
С точки зрения российского закона — это обработка персональных данных. И она требует документального оформления вне зависимости от того, где именно происходит: на сайте, в мессенджере или в профиле соцсети.
Площадка — ВКонтакте, Telegram, любая другая — несёт ответственность за свой функционал. Владелец страницы или сообщества несёт ответственность за то, что делает с данными подписчиков.
Зачем соцсетям собственная политика конфиденциальности
У каждой платформы есть пользовательское соглашение и собственная политика конфиденциальности. Но эти документы регулируют отношения между площадкой и её пользователями — то есть между ВКонтакте и людьми, которые зарегистрировали аккаунт.
Они никак не касаются того, что вы делаете с данными своих подписчиков, клиентов или участников конкурсов. Это ваша зона ответственности, и регулируется она 152-ФЗ.
Если вы собираете имена, телефоны, email-адреса, адреса доставки или любую другую информацию, позволяющую идентифицировать человека — вы становитесь оператором персональных данных. Со всеми вытекающими обязанностями.
Правила площадки ≠ ваша политика
ВКонтакте имеет собственные документы о защите данных. Но они не освобождают вас от обязанности иметь собственную политику конфиденциальности, если вы ведёте коммерческую деятельность через соцсети и собираете данные подписчиков.
Риски работы без документов вполне конкретные. Жалоба одного недовольного подписчика в Роскомнадзор — и начнётся проверка. Отсутствие политики обработки персональных данных само по себе является нарушением и влечёт штраф. Если при этом данные собирались без согласия — штраф будет выше.
Подробнее о размерах санкций — в материале про ответственность за нарушение политики конфиденциальности.
Требования законодательства к обработке данных в соцсетях
152-ФЗ не делает исключений для социальных сетей. Закон распространяется на любой способ сбора данных: через форму на сайте, через директ, через Google-форму в описании профиля или через анкету в комментариях.
Имя и фамилия
Даже одно только имя в сочетании с номером телефона или email — персональные данные. Просьба «напишите своё имя в комментарии» при розыгрыше — уже сбор данных.
Номер телефона и email
Классические персональные данные. Если человек оставляет телефон для связи — это уже требует согласия и документа, в котором объяснено, как эти данные будут использоваться.
Адрес доставки
При продаже через соцсети адрес, который клиент указывает для доставки, — тоже персональные данные. Нужно согласие на их обработку и хранение.
Данные для таргетинга и рассылок
Если вы запускаете рекламу по базе клиентов или используете email-рассылку — цель обработки данных должна быть явно указана в политике. «Будем присылать акции и новости» — это цель, которую нужно зафиксировать.
Создать политику конфиденциальности
Заполните форму ниже, и система сформирует готовый документ для вашего сайта
Обязательные разделы документа
Политика конфиденциальности для работы в соцсетях по структуре не отличается от стандартной политики для сайта. Разница — в конкретике: нужно описывать именно те данные, которые вы реально собираете, и именно те цели, для которых вы их используете.
Скопировать чужой документ и поменять название компании недостаточно. Если в чужой политике написано «для выполнения договора купли-продажи», а вы только консультируете и ведёте рассылку — документ вас не защитит.
Сведения об операторе
Полное название организации или ФИО индивидуального предпринимателя, ИНН, контактный email. Если вы самозанятый — ФИО и контакт. Именно эти данные фигурируют как «оператор персональных данных».
Перечень собираемых данных
Конкретный список: имя, телефон, email, адрес — только то, что реально запрашивается. Не нужно писать «и иные данные» для подстраховки — это создаёт правовую неопределённость.
Цели обработки
Зачем собираются данные: для обратной связи, для оформления заказа, для рассылки, для участия в розыгрыше. Каждая цель — отдельный пункт. Если цель поменяется, документ нужно обновить.
Сроки хранения и условия уничтожения
До какого момента данные хранятся: до исполнения заказа, до отзыва согласия, до окончания конкурса. После истечения срока — данные должны быть удалены в течение 30 дней.
Права пользователей и отзыв согласия
Человек вправе запросить свои данные, потребовать их исправления или удаления. В документе нужно указать, как это сделать: написать на email, отправить сообщение в директ, заполнить форму на сайте.
Передача данных третьим лицам
Если вы используете сервисы email-рассылок (например, Unisender или GetResponse), CRM-системы или передаёте данные партнёрам — это тоже нужно указать. Передача данных без упоминания в политике — отдельное нарушение.
Готовый образец политики конфиденциальности можно взять за основу и адаптировать под свою деятельность в соцсетях. Это проще и надёжнее, чем писать документ с нуля.
Особенности размещения политики в профилях и сообществах
Главное требование закона — политика должна быть доступна пользователю до того, как он передаёт свои данные. В случае с соцсетями это означает: ссылка на документ должна быть в описании профиля или сообщества, либо в любом посте или форме, где вы запрашиваете данные.
Сам документ при этом должен находиться на внешнем ресурсе — на сайте, в Notion, в Google Docs или на любом другом публично доступном адресе. Хранить его только в заметках телефона не получится.
Описание профиля или сообщества
Самое очевидное место. В ВКонтакте это блок «Информация», в Telegram-канале — описание. Ссылка на политику здесь означает, что любой, кто зашёл на страницу, может её найти.
Меню сообщества во ВКонтакте
В сообществах ВКонтакте можно создать отдельный пункт меню «Политика конфиденциальности» с прямой ссылкой на документ. Это удобно и соответствует рекомендациям Роскомнадзора.
Мультиссылки и внешние сервисы
Сервисы типа Taplink или Linktree позволяют собрать несколько ссылок в одном месте. Среди прочих туда можно добавить ссылку на политику. Это работает, если сама страница мультиссылки доступна публично.
В каждом посте или форме со сбором данных
Если вы запускаете конкурс, анкету или продажу — ссылка на политику должна быть прямо в этом посте или форме. Не «смотрите в описании профиля», а конкретная ссылка рядом с полем для данных.
Подробнее о правилах размещения документа — в статье как правильно разместить политику конфиденциальности. Основные принципы одинаковы и для сайтов, и для соцсетей.
Если у вас есть собственный сайт — политику лучше всего разместить там и давать ссылку на неё из всех соцсетей. Это и надёжнее, и удобнее для подписчиков.
Согласие на обработку данных в соцсетях
Один из самых частых вопросов: как получить согласие, если нет сайта с формой и чек-боксом? В соцсетях это действительно сложнее, но решение есть.
Согласие должно быть явным, добровольным и информированным. Ни одно из этих условий не требует именно технической галочки — важен сам факт того, что человек знал об обработке данных и согласился.
Текст в посте или форме
«Оставляя заявку, вы соглашаетесь на обработку персональных данных в соответствии с [ссылка на политику]» — такая формулировка фиксирует информированное согласие. Ссылка должна быть кликабельной.
Чек-бокс в Google-форме или Typeform
Если вы собираете данные через внешнюю форму — добавьте обязательный чек-бокс с текстом согласия и ссылкой на политику. Без отметки форма не должна отправляться. Это технически возможно в большинстве конструкторов форм.
Форма заявок ВКонтакте
В рекламных формах ВКонтакте есть поле для ссылки на политику конфиденциальности — его нужно заполнить. Без этого форма с лид-магнитом не соответствует требованиям. Подробнее об этом — в статье про политику конфиденциальности ВКонтакте для сбора заявок.
Требования к тому, как именно должно выглядеть согласие на обработку персональных данных, одинаковы и для сайтов, и для соцсетей: добровольность, информированность, конкретность.
Типичные ошибки при оформлении
Копирование чужого документа без адаптации
Самая распространённая ошибка. В чужой политике указан другой оператор, другие цели, другой перечень данных. Такой документ не защищает — он просто не соответствует вашей реальной деятельности.
Отсутствие явного согласия
Ссылку на политику поставили в описание профиля, а в посте с конкурсом не написали ничего. Участник не знал, что данные обрабатываются. Согласие — не подразумеваемое, а явное.
Политика есть, но ссылка не работает
Документ разместили на Google Docs с ограниченным доступом или удалили страницу на сайте. Пользователь не может прочитать документ — согласие считается неинформированным.
Устаревший документ
Деятельность изменилась — добавилась рассылка, появились новые партнёры, изменился перечень данных — а политика осталась прежней. Документ должен отражать реальную практику, а не ту, что была год назад.
Нет контактов для отзыва согласия
По закону пользователь должен знать, как отозвать согласие и попросить удалить свои данные. Если в политике нет контактного email или другого способа связи — это нарушение.
Частые вопросы
Нужна ли политика конфиденциальности, если я только веду блог и ничего не продаю?
Можно ли хранить политику в Google Docs?
Самозанятый тоже должен оформлять политику?
Достаточно ли одной политики для всех соцсетей?
Что будет, если подписчик пожалуется в Роскомнадзор?
Главное
Соцсети — не исключение из закона. Любой, кто собирает данные подписчиков и клиентов через личные сообщения, формы, конкурсы или анкеты, становится оператором персональных данных и обязан иметь политику конфиденциальности.
Политика площадки — ВКонтакте, Telegram или любой другой — не заменяет собственный документ. Она регулирует отношения между платформой и её пользователями, а не между вами и вашими подписчиками.
Разместить ссылку на документ в описании профиля, добавить текст согласия в пост с конкурсом, указать контакт для отзыва согласия — это несложно и занимает час работы. Зато полностью закрывает основные риски при проверке.