Почему ваш сайт не понравится РКН: опыт устранения нарушений по № 152-ФЗ

На сайте есть форма онлайн-записи или обратного звонка? Подключена Яндекс.Метрика? Есть информация о сотрудниках? Значит, владелец такого сайта — оператор персональных данных, и к нему в любой момент может прийти Роскомнадзор с проверкой.

С 1 сентября 2022 года в связи с внесением изменений в Федеральный закон № 152-ФЗ практически все организации и ИП стали обязанными уведомлять Роскомнадзор об обработке персональных данных. Отправка уведомления автоматически подразумевает внесение субъекта в реестр операторов, осуществляющих обработку персональных данных.

В соответствии с «Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных», утвержденном Постановлением Правительства РФ № 1046, Роскомнадзор различными способами проверяет, как операторы обращаются с персональными данными.

С этим столкнулся и один из наших клиентов. Недавно он получил письмо от Роскомнадзора, в котором примерно на пяти листах расписаны результаты исследования и перечень выявленных нарушений. Уверены, многие найдут такие же несоответствия требованиям законов и на своем сайте.

В письме Роскомнадзор обратил внимание, что на сайте присутствуют:

• формы «сбора персональных данных»: стандартные виджеты типа «Записаться онлайн», «Задать вопрос», «Заказать обратный звонок»;
• неправильное «Соглашение на обработку персональных данных» (что именно с ним не так — напишем чуть позже);
• информация о сотрудниках, в том числе ФИО, должность и стаж;
• сервисы Яндекс.Метрика и Google Analytics, использование которых «указывает на обработку его [посетителя сайта] персональных данных».
  

Все это в полной мере соответствует действительности. И, пожалуй, то же самое можно сказать про подавляющее большинство коммерческих сайтов.

Итак, сайт работал, как и многие другие: демонстрировал преимущества сотрудничества с компанией, приводил клиентов, служил инструментом интернет-маркетинга. Но под бдительным оком Роскомнадзора обнаружились следующие нарушения законодательства:

• отсутствует согласие сотрудников на распространение их персональных данных;
• вместо «Политики конфиденциальности» размещено «Соглашение на обработку персональных данных», которое «не является документом, определяющим политику оператора в отношении обработки персональных данных»;
• установлен бессрочный срок обработки данных в опубликованном на сайте «Соглашении»;
• не предусмотрено предоставление посетителями сайта согласия на обработку данных, собираемых Яндекс.Метрикой, Google Analytics и другими метрическими сервисами.
  

На исправление и информирование о результатах по ч. 4 ст. 20 Закона о персональных данных отводится десять рабочих дней. При наличии обоснования, этот срок может быть продлен на 5 дней.

Чтобы привести сайт в соответствие с требованиями законодательства, потребовалось:

1. Предоставить в РКН информацию о наличии согласия сотрудников на распространение их данных, размещенных на сайте. Альтернативным решением может стать удаление такой информации с сайта.

2. Подготовить и опубликовать на сайте «Политику конфиденциальности» — документ, «определяющий политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных».

В «Политике» подробно разъясняются цели, принципы, способы и условия обработки персональных данных, а также сведения о требованиях к порядку обработки и защите данных. Она должна охватывать все случаи взаимодействия компании с любыми персональными данными: от возникающих вследствие трудовых отношений с работниками до относящихся к работе с контрагентами.

3. Разместить на сайте соглашение на обработку персональных данных, соответствующее законодательным нормам.

Согласие может быть дано «в любой позволяющей подтвердить факт его получения форме» по ч. 1 ст. 9 № 152-ФЗ. На сайте для подтверждения согласия, как правило, используется чекбокс в форме отправки данных, рядом с которым ставится ссылка на полный текст «Согласия».

Примером такого «Согласия» является в том числе шаблонный текст, присутствующий по умолчанию на готовых решениях от «Аспро». Поэтому мы оставили этот текст, отредактировав под себя, в частности, исправив неправильный момент про неограниченность срока.

4. Добавить на сайт решение, уведомляющее посетителей об использовании cookies и других технических персональных данных и позволяющее выразить согласие с этим. Для решения этой задачи проще всего использовать специальный готовый виджет: существует множество бесплатных и платных вариантов, в том числе встроенные в CMS.

Так как согласие на обработку персональных данных «должно быть конкретным, предметным, информированным, сознательным и однозначным», в виджете нужно указать ссылки на документы, в которых разъясняются правила обработки технических персональных данных. В готовом виде на сайте это может выглядеть, например, так:

В настоящее время законодательство не устанавливает требований к форме согласия с обработкой cookies. Поэтому оно может быть представлено или в виде отдельного документа, или включаться в «Политику конфиденциальности».

Таким образом, для соответствия №152-ФЗ на сайте обязательно должны присутствовать:

• политика конфиденциальности;

• согласие на обработку персональных данных;

• уведомление о cookies, позволяющее согласиться с их использованием.

Как мы уже упоминали, операторами персональных данных, обязанными уведомлять РКН и состоять в реестре, являются практически все компании и ИП, и проверка может коснуться сайта каждого из них. На наш взгляд, стоит проверить и привести в порядок функционал и документы, относящиеся к № 152-ФЗ, заранее, не дожидаясь требований по устранению нарушений от РКН.

#роскомнадзор #ркн #152фз #152фзоперсональныхданных #cookies #персональныеданные #согласиенаобработкуперсональныхданных