Почему ваш сайт не понравится РКН: опыт устранения нарушений по № 152-ФЗ
На сайте есть форма онлайн-записи или обратного звонка? Подключена Яндекс.Метрика? Есть информация о сотрудниках? Значит, владелец такого сайта — оператор персональных данных, и к нему в любой момент может прийти Роскомнадзор с проверкой.
Что и зачем проверяют?
С 1 сентября 2022 года в связи с внесением изменений в Федеральный закон № 152-ФЗ практически все организации и ИП стали обязанными уведомлять Роскомнадзор об обработке персональных данных. Отправка уведомления автоматически подразумевает внесение субъекта в реестр операторов, осуществляющих обработку персональных данных.
В соответствии с «Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных», утвержденном Постановлением Правительства РФ № 1046, Роскомнадзор различными способами проверяет, как операторы обращаются с персональными данными.
С этим столкнулся и один из наших клиентов. Недавно он получил письмо от Роскомнадзора, в котором примерно на пяти листах расписаны результаты исследования и перечень выявленных нарушений. Уверены, многие найдут такие же несоответствия требованиям законов и на своем сайте.
Неоспоримые наблюдения
В письме Роскомнадзор обратил внимание, что на сайте присутствуют:
- формы «сбора персональных данных»: стандартные виджеты типа «Записаться онлайн», «Задать вопрос», «Заказать обратный звонок»;
- неправильное «Соглашение на обработку персональных данных» (что именно с ним не так — напишем чуть позже);
- информация о сотрудниках, в том числе ФИО, должность и стаж;
- сервисы Яндекс.Метрика и Google Analytics, использование которых «указывает на обработку его [посетителя сайта] персональных данных».
Все это в полной мере соответствует действительности. И, пожалуй, то же самое можно сказать про подавляющее большинство коммерческих сайтов.
Что не понравилось РКН
Итак, сайт работал, как и многие другие: демонстрировал преимущества сотрудничества с компанией, приводил клиентов, служил инструментом интернет-маркетинга. Но под бдительным оком Роскомнадзора обнаружились следующие нарушения законодательства:
- отсутствует согласие сотрудников на распространение их персональных данных;
- вместо «Политики конфиденциальности» размещено «Соглашение на обработку персональных данных», которое «не является документом, определяющим политику оператора в отношении обработки персональных данных»;
- установлен бессрочный срок обработки данных в опубликованном на сайте «Соглашении»;
- не предусмотрено предоставление посетителями сайта согласия на обработку данных, собираемых Яндекс.Метрикой, Google Analytics и другими метрическими сервисами.
На исправление и информирование о результатах по ч. 4 ст. 20 Закона о персональных данных отводится десять рабочих дней. При наличии обоснования, этот срок может быть продлен на 5 дней.
Устранение нарушений
Чтобы привести сайт в соответствие с требованиями законодательства, потребовалось:
1. Предоставить в РКН информацию о наличии согласия сотрудников на распространение их данных, размещенных на сайте. Альтернативным решением может стать удаление такой информации с сайта.
2. Подготовить и опубликовать на сайте «Политику конфиденциальности» — документ, «определяющий политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных».
В «Политике» подробно разъясняются цели, принципы, способы и условия обработки персональных данных, а также сведения о требованиях к порядку обработки и защите данных. Она должна охватывать все случаи взаимодействия компании с любыми персональными данными: от возникающих вследствие трудовых отношений с работниками до относящихся к работе с контрагентами.
3. Разместить на сайте соглашение на обработку персональных данных, соответствующее законодательным нормам.
Согласие может быть дано «в любой позволяющей подтвердить факт его получения форме» по ч. 1 ст. 9 № 152-ФЗ. На сайте для подтверждения согласия, как правило, используется чекбокс в форме отправки данных, рядом с которым ставится ссылка на полный текст «Согласия».
Примером такого «Согласия» является в том числе шаблонный текст, присутствующий по умолчанию на готовых решениях от «Аспро». Поэтому мы оставили этот текст, отредактировав под себя, в частности, исправив неправильный момент про неограниченность срока.
4. Добавить на сайт решение, уведомляющее посетителей об использовании cookies и других технических персональных данных и позволяющее выразить согласие с этим. Для решения этой задачи проще всего использовать специальный готовый виджет: существует множество бесплатных и платных вариантов, в том числе встроенные в CMS.
Так как согласие на обработку персональных данных «должно быть конкретным, предметным, информированным, сознательным и однозначным», в виджете нужно указать ссылки на документы, в которых разъясняются правила обработки технических персональных данных. В готовом виде на сайте это может выглядеть, например, так:
В настоящее время законодательство не устанавливает требований к форме согласия с обработкой cookies. Поэтому оно может быть представлено или в виде отдельного документа, или включаться в «Политику конфиденциальности».
Таким образом, для соответствия №152-ФЗ на сайте обязательно должны присутствовать:
политика конфиденциальности;
- согласие на обработку персональных данных;
уведомление о cookies, позволяющее согласиться с их использованием.
Как мы уже упоминали, операторами персональных данных, обязанными уведомлять РКН и состоять в реестре, являются практически все компании и ИП, и проверка может коснуться сайта каждого из них. На наш взгляд, стоит проверить и привести в порядок функционал и документы, относящиеся к № 152-ФЗ, заранее, не дожидаясь требований по устранению нарушений от РКН.
#роскомнадзор #ркн #152фз #152фзоперсональныхданных #cookies #персональныеданные #согласиенаобработкуперсональныхданных
Тоже с этим столкнулась. Это было полной для меня неожиданностью, все устранила, до штрафов не дошло.
Как хорошо, что это освещается и вовремя можно исправить ошибки, я так и сделала, обошлась без выговоров и штрафов.
Отлично, что встретил эту статью до проверки. Устранил сразу пару несоответствий, очень полезная статья, теперь уверен, что сделал всё по закону.