Перейти к содержимому
FFormhook
Назад к блогу

Блог

Формы обратной связи, соответствующие GDPR: практический чек-лист

· 4 мин чтения

Форма обратной связи - это обработка персональных данных в чистом виде: кто-то передаёт вам имя, e-mail и сообщение в свободной форме. GDPR применяется в тот момент, когда посетитель из ЕС нажимает «отправить». Хорошая новость в том, что соответствующая требованиям форма - это в основном несколько решений, принятых один раз.

Практические рекомендации от разработчиков, которые делают это ежедневно, - не юридическая консультация. По конкретным ситуациям обращайтесь к специалисту.

1. Собирайте только то, что нужно для цели

Минимизация данных - принцип, который проще всего соблюдать и который чаще всего нарушают. Форме обратной связи нужны e-mail и сообщение. Номер телефона, размер компании, выпадающий список с бюджетом - каждое дополнительное поле должно иметь причину. К тому же меньше полей - выше конверсия, так что для разнообразия соответствие требованиям и конверсия смотрят в одну сторону.

2. Знайте своё правовое основание (вероятно, это не согласие)

Для формы обратной связи правовым основанием обычно служит законный интерес либо действия до заключения договора - человек вам написал, и ответить ему - весь смысл. Чекбокс согласия обычно не нужен просто для того, чтобы получить сообщение и ответить на него. А вот отдельное, не отмеченное по умолчанию согласие нужно для всего, что выходит за рамки ответа: рассылки, маркетинговые письма. Никогда не объединяйте это с кнопкой отправки.

3. Знайте, где физически находятся данные

Ваш обработчик форм где-то хранит отправленные данные, и то, где именно, определяет немалую часть бумажной работы. Если обработчик хранит данные в США, для передачи нужен механизм из Главы V - сейчас это Рамочная программа защиты данных ЕС–США (DPF) и/или стандартные договорные условия (SCC), - и ваша политика конфиденциальности должна это описывать. Это выполнимо, но такая домашняя работа обновляется при каждом изменении правового ландшафта (Safe Harbor и Privacy Shield были признаны недействительными; DPF тоже оспаривается).

Структурно более простой вариант - обработчик, который хранит отправленные данные в ЕС и никогда их не передаёт: тогда документировать передачу вообще не нужно. Formhook хранит отправленные данные в Германии, и точка. В любом случае пункт чек-листа один и тот же: найдите место хранения в документации вашего обработчика и убедитесь, что политика конфиденциальности соответствует действительности.

4. Заключите DPA со своим обработчиком

Статья 28: если сервис обрабатывает персональные данные от вашего имени, должно существовать соглашение об обработке данных (DPA). Любой серьёзный бэкенд для форм предлагает такое соглашение - вот DPA Formhook. Если провайдер не может показать вам DPA, этого уже достаточно, чтобы отказаться от него.

5. Определите срок хранения - и умейте на него влиять

Ограничение хранения означает, что вы знаете, как долго храните отправленные данные и почему. «На всё время отношений с клиентом» - вполне нормальный ответ, но ваш инструментарий должен предоставлять две возможности: удалять отдельные отправки (запросы на удаление) и экспортировать всё (запросы на доступ/переносимость). Проверьте наличие обеих возможностей до того, как они понадобятся; в Formhook удаление выполняется по отдельной отправке, а экспорт - это полный ZIP с JSON на любом тарифе.

6. Честно составьте абзац политики конфиденциальности

Абзац о форме должен содержать: что собирается, зачем, правовое основание, кто это обрабатывает (назовите провайдера), где это хранится, как долго хранится и как запросить удаление. Если данные остаются в ЕС, этот абзац умещается в два предложения. Если данные пересекают Атлантику, он длиннее - но главный грех - это политика, не соответствующая реальному потоку данных.

Чек-лист

  • Форма собирает только необходимые поля
  • Нет предустановленного согласия; согласие на маркетинг (если оно есть) отделено от отправки
  • Место хранения данных у обработчика известно и задокументировано
  • Механизм передачи определён (или не нужен благодаря хранению данных в ЕС)
  • С обработчиком заключён DPA
  • Срок хранения определён; возможны и удаление по отдельной отправке, и полный экспорт
  • Абзац политики конфиденциальности соответствует реальному потоку данных

Сделайте это один раз для каждого сайта - и форма обратной связи перестанет быть вопросом соответствия требованиям и станет решённой задачей. Подробнее о том, как Formhook работает с данными, - в FAQ и политике конфиденциальности.

Рабочая форма в одну строку

Размещение в ЕС, отправки хранятся вечно, push-уведомления на любом тарифе.

Начать бесплатно

Без банковской карты · читайте документацию

Читать дальше