Как собирать cookie-файлы по закону?

Если вы собираете данные о действиях пользователей на своем сайте с целью статистики и аналитики (например, с помощью Яндекс.Метрики), то вы обрабатываете куки, и эта статья для вас.

Куки уже давно считаются персональными данными (ПД), и их обработка должна осуществляться в соответствии с правилами ФЗ-152. Для этого необходимо получить согласие пользователя.

1. Разместите на своем сайте политику обработки персональных данных с описанием всех нужных по закону условий.

2. Включите на всех формах, где пользователи вводят свои ПД, чек-бокс, требующий активного согласия на обработку данных.

3. Разместите на сайте поп-ап баннер о сборе cookie и предложите пользователю нажать «ОК».

4. Уведомите Роскомнадзор о своей деятельности по обработке персональных данных. Это обязательно для всех компаний, обрабатывающих ПД (то есть для всех).

Где нужно размещать баннер?

Поскольку сбор куки происходит на каждой странице сайта, баннер должен быть размещен на каждой странице. Однако, если пользователь уже дал согласие на сбор данных на любой странице сайта, баннер больше не должен появляться (пользователь соглашается на сбор на всем сайте).

Можно ли просто разместить уведомление в подвале сайта без баннеров?

Нет, согласие должно быть активным волеизъявлением пользователя на сбор его данных.

Что касается Google Analytics

Роскомнадзор считает передачу данных в Google для аналитики трансграничной передачей ПД. Следовательно, при использовании Google Analytics вы автоматически нарушаете требование о хранении ПД на территории РФ.

1. Плановые проверки

У Роскомнадзора есть специальное ПО, которое позволяет отслеживать сбор куки, и они проводят плановые проверки в соответствии с ежегодным публичным планом.

Хорошая новость:

С 2023 года введен мораторий на плановые проверки (за исключением компаний, деятельность по обработке данных которых относится к категории высокого риска). А для аккредитованных ИТ-компаний мораторий действует до конца 2024 года.

Плохая новость:

Внеплановые проверки все еще возможны.

2. Внеплановые проверки

Внеплановые проверки могут быть проведены:

- по заявлению о нарушении, его может подать кто угодно, будь то бдительный гражданин, конкурент или бывший сотрудник.

- если вы предоставите Роскомнадзору недостоверные сведения в ответ на их запросы.

- в случае утечки персональных данных сотрудников и клиентов, особенно если вы являетесь аккредитованной ИТ-компанией (в этом случае потребуется выполнение целого ряда оперативных действий).

Если в результате проверки будет установлено нарушение, Роскомнадзор обязан проверить сайт по всем критериям, предусмотренным ФЗ-152.

Последствия:

Требования об устранении нарушений законодательства, наложение штрафа, блокировка сайта.

Как я вижу, Роскомнадзор пока не слишком активно применяет штрафы, но требования они отправляют очень многим компаниям.

Штрафы

Если хотите грамотную Политику обработки ПД или вам нужно провести аудит сайта на предмет соответствия ФЗ-152 пишите в Telegram https://t.me/AlenaBrun